Gli attacchi cyber sono diventati un problema sempre più pressante, tant’è che si parla di “guerra cibernetica diffusa”. Le cause di questo scenario si trovano nelle crescenti tensioni internazionali e nelle situazioni di conflitto, che rendono sempre più necessario, anche per le aziende, adottare misure di sicurezza informatica efficaci.
L’Italia è particolarmente colpita da questo fenomeno, secondo l’ultimo Rapporto sulla Sicurezza ICT in Italia di Clusit nel 2023 ha subito il 9,6% degli attacchi globali con una crescita del 40% rispetto all’anno precedente (mentre a livello globale la crescita è stata dell’11%). Per far fronte alla situazione, le istituzioni hanno un ruolo centrale, ma anche a livello aziendale è possibile seguire delle buone pratiche per prevenire gli attacchi.
Le metodologie di attacco
Il ransomware è un programma dannoso che codifica i dati della vittima. Per poter accedere ai dati così criptati, viene chiesto un riscatto che può variare da poche centinaia sino a milioni di euro, spesso in criptovalute non rintracciabili. Una volta pagato il riscatto, l’hacker invia una chiave di decrittazione che permette di ripristinare l’accesso ai dati.
I metodi principali attraverso i quali avvengono gli attacchi di tipo ransomware, secondo il Rapporto di Clusit (ottobre 2023), sono: il maleware, cioè un software “malevolo” che mette a rischio il sistema (35,7%); tecniche sconosciute (21%); lo sfruttamento delle vulnerabilità, cioè di falle note nei sistemi, ma anche attraverso l’utilizzo degli exploit kit ovvero programmi, o parti di codice, progettati per scovare e sfruttare una falla di sicurezza o una vulnerabilità in un’applicazione o in un sistema informatico; il phishing, comunicazioni fraudolente che sembrano provenire da una fonte attendibile, o il Social Engineering, che induce l’utente a “fidarsi” dell’hacker e compiere azioni compromettenti (8,6%).
Difendersi dal ransomware è una sfida continua poiché il settore è in costante e rapida evoluzione: tipologie di attacchi sempre più sofisticate, nuovi gruppi di criminali informatici e nuove tecnologie come il Ransomware-as-a-Service (RaaS), una soluzione pronta all’uso che permette anche a gruppi criminali senza particolari competenze informatiche di “affittare” il software malevolo e concentrarsi soltanto sulla scelta della vittima da colpire.
Spesso si pensa che l’unica soluzione per ripristinare i dati sia pagare: ma è davvero la scelta giusta? Gli esperti di security sconsigliano fortemente il pagamento. Prima di tutto per fermare il ciclo di attacco: un aggressore che riceve un pagamento sarà sicuramente più motivato a prendere di mira la stessa azienda, sapendo che molto probabilmente pagherà di nuovo. In secondo luogo, pagare non significa che i dati verranno automaticamente ripristinati o che le informazioni sensibili non verranno divulgate ad altri criminali.
Come allontanare il rischio di essere infettati
Esistono però alcune pratiche di Cyber Hygiene che consentono di acquisire una maggiore sicurezza informatica allontanando il rischio di essere colpiti. Vediamone alcune consigliate da Cisco.
Prevenire l’infiltrazione. La maggior parte degli attacchi ransomware avviene tramite un allegato e-mail o un download dannoso. È possibile, però, bloccare i siti web, le e-mail e gli allegati sospetti attraverso un approccio di protezione a più livelli e un programma di condivisione dei file sicuro e approvato dall’azienda.
Tenere sotto controllo le attività della rete aziendale. È essenziale essere in grado di vedere ciò che accade all’interno della rete aziendale: soltanto così è possibile scoprire attività sospette e tentativi di attacco. L’unico modo è scegliere una soluzione per la sicurezza informatica che unisca in un unico luogo tutte le informazioni, l’analisi e la capacità di rispondere ad un attacco in modo rapido. È molto importante fare un inventario accurato e aggiornato delle risorse informatiche: le macchine più vecchie e dimenticate spesso forniscono una via d’accesso agli aggressori.
Conoscere il nemico attraverso la Threat Intelligence. È fortemente consigliato tenersi informati sui rischi e sulle tattiche difensive più recenti, poter fare affidamento su un solido piano di risposta agli incidenti ed essere in grado di gestire le minacce impreviste.
Aggiornare con regolarità i software utilizzati. Controllare e applicare sempre gli aggiornamenti più recenti è fortemente consigliato. Gli hacker sono sempre alla ricerca di software senza patch: utilizzare un programma aggiornato è uno dei modi più efficaci per evitare un attacco.
Sfruttare il backup. Eseguire sempre il backup dei dati in modo che possano essere recuperati in caso di emergenza. Archiviare i backup offline, in modo che non possano essere scovati dai cybercriminali. Sviluppare un piano di recovery dei dati che possa aiutare a ottenere un ripristino su larga scala garantendo la continuità aziendale.
Attenzione all’errore umano. Condividere le conoscenze sulla sicurezza informatica è un dovere di tutti: dipendenti, collaboratori e manager devono avere familiarità con le buone pratiche di protezione, essere informati sull’importanza di cambiare e custodire bene le password, su come riconoscere un’e-mail di phishing e su cosa fare se ricevono una comunicazione sospetta.
