Negli ultimi anni le aziende pubbliche e private sono costantemente sotto tiro delle minacce alla loro sicurezza informatica, che si manifesta attraverso attacchi sempre più violenti e sofisticati. Ciò accade anche quando parrebbe non esservi un nesso pratico tra l’attaccante e la vittima designata, come nel caso delle tensioni geopolitiche su scala mondiale, come quella che sta interessando l’Ucraina.
Vediamo le ragioni per cui tale contesto favorisce l’attività a livello globale e quali sono, secondo le agenzie di sicurezza internazionali, i principi generale da adottare per cercare di mantenere i malintenzionati al di fuori dei nostri sistemi informatici. Poche buone norme, da cui possono derivare enormi benefici.
La crisi ucraina non è solo una questione tra Russia e Ucraina: l’aumento dei rischi globali per la sicurezza informatica
Sull’Ucraina soffiano ormai da tempo violenti venti di guerra e l’invasione delle truppe russe non invita certo all’ottimismo. I timori di un aspro conflitto sono del resto tangibili sia a livello diplomatico che nei riflessi socio-economici che ne derivano, come confermato dalle grandi incertezze delle borse nell’ultimo periodo. Sul piano puramente informatico, Ucraina e Russa la guerra la stanno già combattendo da tempo, come rilevano i devastanti attacchi a cui le istituzioni e le aziende di Kiev sono ormai vittime da mesi, se non addirittura da anni, considerando che gli attacchi di NotPetya risalgono ormai al 2017.
Le agenzie di sicurezza internazionali non stanno a guardare, ma osservano con crescente apprensione quanto accade, anche sulla base dei dati che ricevono dai principali stakeholder in fatto di cybersicurezza, il cui quadro è tutt’altro che confortante.
La CISA (Cybersecurity and Infrastructure Security Agency), agenzia di sicurezza nazionale degli Stati Uniti ha prontamente evidenziato, secondo quanto rilevato da Microsoft, la presenza del malware WhisperGate su moltissimi sistemi informatici in Ucraina. Al di là degli effetti relativi alle vittime in prima intenzione, si teme che questo malware possa ripetere il malevolo operato del già citato NotPetya, capace di diffondersi globalmente sui sistemi di aziende pubbliche e private in tutto il mondo, causando danni diretti ed indiretti per miliardi di dollari.
I problemi relativi alla minaccia di WhisperGate potrebbero derivare da vari fronti, a cominciare dalla diretta esposizione delle aziende che fanno in vari modi parte delle supply chain che coinvolgono i sistemi informatici delle aziende ucraine. Non si tratta di prendere in considerazione soltanto gli attacchi di natura nation-state, occorre infatti tracciare il quadro di tutte le possibili ramificazioni che ne derivano.
È ormai evidente che quando il livello di tensione a livello internazionale aumenta, debba crescere anche il livello di attenzione relativo agli aspetti di sicurezza informatici delle aziende, anche perché la grande diffusione di malware che si verifica in questi contesti favorisce le infezioni a livello generale.
Una minaccia che nasce per un contesto specifico ma può facilmente propagarsi globalmente è quella costituita dagli attacchi zero day che i cybercriminali finanziati a livello nation-state predispongono per mettere in seria difficoltà i sistemi delle nazioni avversari. Tali vulnerabilità possono essere infatti sfruttate in tantissime situazioni che nulla hanno a che vedere con il conflitto che ha generato la minaccia, colpendo ovunque venga utilizzato il software violato, fino al rilascio del fix necessario per risolvere il problema.
I consigli pratici di NCSC (National Cyber Security Centre) per prevenire e mitigare le conseguenze degli attacchi di sicurezza informatica “in tempi di guerra”
Da ciò che si evince nei vari report e dalle raccomandazioni rilasciate dalle agenzie di cybersicurezza nazionali, non vi sarebbero di per sé degli accorgimenti particolari da tenere in occasione di particolari eventi geopolitici, ma si tratterebbe semplicemente di prendere atto del fatto che insiste un livello di rischio di subire un attacco ancora maggiore rispetto alle situazioni per così dire ordinarie.
Rimangono dunque valide tutti i buoni principi e le buone prassi che le aziende sarebbero sempre tenute ad assumere per prevenire e mitigare i possibili attacchi alla sicurezza informatica dei loro sistemi. Per l’occasione, l’Agenzia Nazionale per la Cyber Security britannica (https://www.ncsc.gov.uk/) ha formulato undici punti essenziali, un piccolo framework attorno a cui articolare la propria condotta in materia di sicurezza informatica, precisando come, in linea generale: “E’ complesso che un’organizzazione sia in grado di ridurre il livello della minaccia, le azioni devono quindi concentrarsi sulle vulnerabilità agli attacchi e sulla riduzione dell’impatto nel caso in cui un attacco vada a segno”. In altri termini, risulta fondamentale assumere un atteggiamento proattivo. Le undici raccomandazioni che NCSC prevede per la salvaguardia e messa in sicurezza dei sistemi informatici sono le seguenti:
- Aggiornare di frequente i sistemi: assicurarsi che tutti gli endpoint (desktop, notebook, dispositivi mobile, ecc.) abbiano sistemi operativi e software aggiornati con le ultime patch ufficiali;
- Verificare i controlli di accesso: aggiornare frequentemente le password ed accertarsi che non vengano diffuse al di fuori dell’ambito in cui sono strettamente necessarie per effettuare gli accessi ai sistemi aziendali;
- Verificare i sistemi di difesa: controllare che firewall e antivirus siano attivi ed aggiornati;
- Monitorare le attività: predisporre un adeguato sistema di monitoraggio con log in grado di tracciare tutti i sistemi e gli utenti aziendali, con grande attenzione per il luogo in cui i log vengono archiviati durante tutta la loro conservazione;
- Verificare i backup: accertarsi che i sistemi di backup siano sempre attivi e lavorino in maniera coerente con la pianificazione prevista;
- Verificare il piano di incident response: controllare frequentemente i contenuti e le disposizioni del IRP, ivi comprese le attività di esercitazione utili a formare il personale sul comportamento da tenere in caso di incidente;
- Vulnerability Assessment: effettuare regolarmente scansioni di sicurezza in grado di rilevare tutte le minacce provenienti dalla rete;
- Attenzione al phising: formare e informare in maniera adeguata il personale su come riconoscere e come comportarsi nei confronti di mail contenenti attacchi phising;
- Controllo della supply chain: estendere il monitoraggio e i controlli di sicurezza anche verso tutti i fornitori e le terze parti che interagiscono con la rete aziendale, soprattutto quando vi accedono dall’esterno con privilegi elevati;
- Avvalersi dei servizi NCSC: registrarsi al servizio Early Warning, in modo da ricevere tutti gli aggiornamenti relativi alle minacce in corso (suggerimento valido anche per altri contesti nazionali, qualora le agenzie di sicurezza offrano un servizio analogo, NdR);
- Formazione continua: informare e disciplinare il personale per creare una cultura diffusa in fatto di sicurezza informatica a livello aziendale.
La NCSC precisa che tali accorgimenti “Sono importanti sempre, ma assumono ulteriore rilevanza nei periodi più critici a livello globale”, quando è opportuno non farsi cogliere impreparati dall’improvvisa impennata delle minacce.