HTA Consulenza informatica - Sicurezza informatica

Sicurezza informatica: aziende, SVEGLIATEVI!

Ma non sarà il caso di aggiungere anche altre categorie? Artigiani e liberi professionisti e Istituzioni sono allo stesso modo esposti al rischio.

Quale pericolo? Parliamo di FURTO e RICATTO informatico per il quale l’Italia nel 2016 si piazzata bene: al quarto posto di una classifica mondiale. Le cause che consentono le intrusioni sono spesso legate alla superficialità e alla curiosità degli utenti, ma i danni più gravi si verificano in mancanza di a adeguate protezioni dell’infrastruttura lavorativa e di protocolli efficienti e strutturati di Disaster Recovery, ovvero delle procedure di salvaguardia e ripristino dei dati  (N.d.R. HTA Group).

Fonte La Stampa di Carola Frediani, 12 febbraio 2017

La sicurezza degli obiettivi istituzionali è «aumentata» dopo che la Farnesina è stata hackerata l’anno scorso, assicura oggi il ministero degli Esteri dopo le rivelazioni sugli attacchi informatici. Ma cosa succede se l’attacco colpisce aziende private?

Proviamo a raccontarlo. All’inizio quella strana coppia di file apparsi in alcune cartelle sembravano solo il residuo innocuo di qualche vecchio programma. Ma quando quasi tutti gli altri documenti sul computer hanno iniziato, sotto i suoi occhi, a diventare inaccessibili, Giuseppe ha intuito che aveva un problema. Quanto grosso lo avrebbe capito solo più tardi. Giuseppe Doto aveva appena finito le vacanze, rientrando all’agenzia di comunicazione New Erredi di cui è co-titolare, in un luminoso appartamento nel centro di Torino. Quando ha visto che i documenti salvati sul server aziendale non si aprivano più perché cifrati, è andato a guardarsi quei due misteriosi file aggiuntivi.

«Ho la chiave per decifrarli», diceva uno dei due, in inglese, dando un indirizzo mail. Giuseppe ancora non lo sapeva ma la sua azienda aveva appena incrociato una delle ultime novità in materia di ransomware, i virus che infettano un computer, ne cifrano i file e chiedono dei soldi per farti accedere di nuovo ai tuoi dati. Per incontrarlo non aveva dovuto nemmeno scaricare, per errore, un allegato malevolo, come succede di solito, perché quel malware (di nome Parisher) buca i server.

«Si tratta di una gang che sfrutta una porta di connessione di un software Microsoft e compie un attacco a forza bruta, ovvero tenta molte password finché non trova quella giusta – spiega Paolo Dal Checco, esperto di informatica forense -. Parisher entra nel server, cancella le copie, cifra i file e chiede 5 bitcoin di riscatto, circa 5mila euro». Come avrebbe poi compreso Giuseppe, iniziando un tortuoso giro di telefonate ad aziende e consulenti di sicurezza, diversamente da altri ransomware diffusi in quel momento, non c’era modo di aggirarlo. L’unica era farsi dare la chiave dal ricattatore. A meno di avere una copia, un backup dei dati da qualche parte. Il problema era che proprio prima delle ferie, alla New Erredi avevano riversato molti file su quel server, eliminandoli da hard disk esterni per recuperare spazio di archiviazione.

«L’attaccante si era premurato di cancellare pure le copie fatte dal server», precisa Giuseppe, che ora passa in rassegna i fatti in modo analitico. Mentre in quei momenti, «quando pensi che potresti aver perso anni di lavoro, subito vai in panico». Alla New Erredi però non vogliono pagare. «Non era la cosa giusta da fare, e anzi abbiamo fatto denuncia». Poi hanno fatto mente locale, hanno iniziato a scartabellare fra i pc sparsi nelle stanze dello studio, le mail, altri hard disk, i server in disuso dove erano rimasti dei documenti e sono riusciti a recuperare quasi tutto. Alla fine il danno vero è stato soprattutto il mese di lavoro dedicato a ripristinare sistemi e materiali, tolto ovviamente lo stress.

«Da allora controllo ogni giorno che sia fatto il backup. Anzi, fammi verificare», scherza ora Giuseppe. Gli è andata anche bene, ma la verità è che, specie tra professionisti e piccole imprese, sono in molti a pagare.

I ransomware

HTA Consulenza informatica - Sicurezza informaticaAlla fine del 2016 l’Italia era nella rosa dei Paesi con la più alta percentuale di utenti colpiti da programmi malevoli (29 per cento, quarto posto nel mondo); tra i Paesi occidentali più colpiti da ransomware e tra quelli con più computer infettati da botnet. Eppure, nel Belpaese, ad avere visibilità sono ancora solo gli attacchi di natura istituzionale. Nel 2016 sono diventati di dominio pubblico una cinquantina di azioni contro obiettivi italiani, perlopiù di matrice hacktivista (dati analizzati da Paolo Passeri/Hackmageddon.com per La Stampa). Ma invece le grandi aziende, e soprattutto le piccole e medie imprese, i professionisti? Tutto tace. Scarseggiano numeri ufficiali, mentre le vittime non parlano, spesso non denunciano. «Il nuovo regolamento europeo sulla protezione dei dati fornirà qualche elemento in più sulla situazione», commenta l’avvocato Giuseppe Vaciago. Ma certo oggi è ancora nebbia fitta. «Chi ha avuto problemi non ha intenzione di dirlo», spiega Alvise Biffi, vicepresidente di Piccola Industria Confindustria. «Di ransomware ce ne sono quantità enormi e il 90% di quelli che non hanno backup tendono ad assecondare il ricatto».

Aiutare qualcuno a pagare l’estorsione potrebbe far rischiare il favoreggiamento, avvisa un appartenente alle forze dell’ordine attivo su questi temi, che preferisce restare anonimo. «Comunque pagare è sbagliato, si finanzia la criminalità organizzata». Anche se pure tra i tutori della legge c’è chi consiglia di versare i soldi.

La punta dell’iceberg

HTA Consulenza informatica - Sicurezza informaticaI ransomware sono solo la punta dell’iceberg. Se guardiamo ai procedimenti del pool reati informatici della Procura di Milano (tra le poche a pubblicare dati sul suo bilancio) questi sono raddoppiati fra il 2013 e il 2014, e da allora hanno continuato a crescere. Ma il numero di reati è in realtà più alto dei procedimenti registrati (circa 6400 nel 2015) perché quelli contro ignoti finiscono raggruppati in fascicoli. Più in generale sui reati informatici in Italia c’è ancora la difficoltà a raccogliere dati in modo omogeneo, fa notare Walter Vannini, criminologo del Comune di Milano che ha lavorato insieme alla Procura sul cybercrimine, sviluppando progetti di formazione poi presentati al Consiglio d’Europa.

Eppure, malgrado la scarsità di informazioni affidabili, La Stampa – dopo aver sentito decine di consulenti (o vittime) del settore – ha rilevato la crescita in Italia di uno specifico tipo di frode, particolarmente insidiosa: quella del cambio di Iban (detto anche compromissione dell’email aziendale).

I truffatori, dopo aver violato il pc o la mail di un dipendente, si inseriscono nella corrispondenza di un’azienda coi suoi debitori/creditori e, impersonando una delle parti, avvisano chi deve pagare di un cambio di conto corrente. Che però è in mano a dei «muli», dei prestanome, che poi girano i soldi via money transfer a chi tira le fila dell’organizzazione. Un colpo che può svuotare i conti di una piccola realtà. «Qui su Milano ho visto duecento casi nell’ultimo anno, anche aziende grandi, che hanno perso in media tra i 20 e i 600mila euro», spiega un’altra fonte investigativa che chiede l’anonimato. «Spesso sono aziende con clienti in Cina, nel Sudest asiatico o in Nord Africa. Il problema in questi casi è che noi arriviamo tardi: tempo che la vittima si accorga della truffa, che vada alla polizia, che si apra un fascicolo… il conto estero su cui sono finiti i soldi è stato già svuotato».

Ci vorrebbero tavoli sovranazionali con magistrati che possano ottenere provvedimenti immediati. «L’impatto delle violazioni di cybersicurezza sull’economia aziendale è tanto reale quanto sconosciuto. Le piccole e medie imprese restano più indifese delle grandi o degli enti istituzionali, e non sanno neanche bene a chi rivolgersi», commenta Corrado Giustozzi, membro dell’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione. «Sono tanti i privati colpiti, ma la maggior parte non denuncia per pudore, e perché a volte il danno non giustifica le spese», spiega la penalista Alessandra Bersino. «Per questo, con l’ordine degli avvocati, abbiamo aperto uno spazio di consulenza allo sportello del cittadino del tribunale di Milano per aiutare le vittime di simili reati».
Nelle aziende minori manca la cultura della cybersicurezza, in quelle più grandi la volontà di investire. Eppure il 44% delle piccole medie imprese avrebbe rilevato almeno un attacco informatico, con perdita economica, nell’ultimo anno, secondo un’indagine Yoroi. È stato un test a mettere in allerta Coop Italia, centrale d’acquisto del consorzio di cooperative. Nel corso di una prova di una nuova tecnologia si è accorta che la macchina di un loro fornitore era stata infettata da un malware, si agganciava a una botnet e si collegava a un centro di comando in Romania. Non solo: il malware stava registrando le attività della macchina e stava trasferendo informazioni. Subito staccata, anche se non accedeva a dati sensibili. «Abbiamo capito che non bastano antivirus e firewall: abbiamo aggiunto al sistema di difesa tecnologie di analisi del traffico della rete, per individuare anomalie», dice Andrea Favati, responsabile della sicurezza informatica.

La difesa

HTA Consulenza informatica - Sicurezza informaticaChi ha provato a prendere di petto almeno il rischio di truffe, specie il phishing, è stata Carel, azienda padovana specializzata nel settore del condizionamento e della refrigerazione. Manifattura italiana, con 1200 dipendenti, 19 filiali, 7 siti produttivi, e pagamenti internazionali. Insomma, il target ideale di chi punta a dirottare bonifici. «Nel 2015 avevamo ricevuto via mail diversi tentativi di frode, in cui gli attaccanti impersonavano alcuni nostri manager, dando indicazioni ad altri dipendenti di effettuare dei pagamenti», spiega Gianluca Nardin, responsabile della sicurezza informatica. Almeno in un caso la truffa è particolarmente elaborata: alla mail segue addirittura una telefonata. Alla Carel decidono di stare al gioco per individuare la fonte dell’attacco.

«La telefonata proveniva da un call center di Londra che poi rimandava a un contatto di un sedicente avvocato che stava in Svizzera. Il tizio cercava di convincere il nostro direttore della filiale spagnola a spostare 150mila dollari in una banca dell’Europa dell’Est e addirittura aveva mandato un’approvazione scritta dell’operazione da parte di un membro del Cda (ovviamente era tutto finto)». Arrivati a quel punto alla Carel hanno numeri di telefono e altri elementi utili per identificare la banda di truffatori e fanno la denuncia.

Altro problema: i furti di insider. Il 69% delle minacce per le aziende italiane, spesso ricche di proprietà intellettuale, secondo un’indagine Ey. Il furto di proprietà intellettuale da parte di ex-dipendenti è una minaccia diffusa che può portare a vicende giudiziarie complicate. È quello che è capitato a V., imprenditore del Centro Italia con un’azienda di software. «Dopo aver terminato i rapporti lavorativi con alcuni dipendenti, ci siamo accorti che questi, da fuori, usando le loro credenziali che ci eravamo dimenticati di cambiare, avevano effettuato accessi abusivi alla nostra rete aziendale. Hanno prelevato il database dei nostri contatti commerciali e molto altro know-how. Poi sono andati alla concorrenza», racconta. L’episodio è del 2011, inizia ora il processo.