Opinioni

Il salto di qualità nelle cyberwar ne chiede uno per contrastarle

di Alessandro Curioni

(12386)

4' di lettura

Tanto tuonò che infine piovve. Questa la sintesi della situazione attuale, se osservata dal punto di vista della cybersecurity. Come si poteva facilmente prevedere, stiamo assistendo a una crescita vertiginosa in termini quantitativi e qualitativi degli attacchi informatici. La combinazione di un evento eccezionale (la pandemia), che ha funzionato da acceleratore, e di una tendenza ampiamente consolidata (digitalizzazione a tappe forzate di qualunque cosa) hanno reso reale l’attuale scenario che qualcuno ormai definisce, un po’ impropriamente, di “guerra cibernetica”. L’attacco che ha recentemente travolto i sistemi della Regione Lazio, creando difficoltà alla campagna vaccinale, non è certo un evento straordinario, ma semplicemente quello che ci ha colpito più da vicino e, come hanno detto in molti, “prima o poi doveva accadere”. Nel mezzo della nostra crisi nazionale è invece molto più preoccupante l’allarme lanciato in Olanda, dove le aziende di sicurezza hanno dichiarato di non essere in grado di gestire tutte le richieste che arrivano, segno che il sistema è sotto una pressione senza precedenti.

In effetti se ripercorriamo gli ultimi dodici mesi abbiamo assistito a un crescendo che non ha precedenti e vale la pena ricordare alcuni degli
eventi più significativi.

Loading...

In primo luogo il caso SolarWinds. Alla fine del 2020 si scopre che i sistemi di Microsoft, di FireEye (grande operatore di cybersecurity) e di svariate agenzie governative statunitensi sono stati violati attraverso gli aggiornamenti del software di gestione di rete prodotto da SolarWinds. La rivelazione porta ragionevolmente a ritenere che le vittime siano alcune migliaia di organizzazioni ovvero tutte quelle che utilizzavano il prodotto. L’attacco è di quelli silenziosi, realizzato con lo scopo di esfiltrare informazioni, e questo fa pensare che sia opera di un gruppo “State sponsored”, e sul banco degli imputati finisce la Cina. Si tratta del tipico caso in cui si colpisce la supply chain. In altre parole, il primo bersaglio è un grande fornitore di servizi IT, ma il vero obiettivo sono tutte le aziende sue clienti. Molto più rumoroso, ma non diverso come modalità, è l’attacco a Kaseya dello scorso luglio. Si tratta di un altro grande operatore IT, ma questa volta non ci sono spie che puntano a rubare informazioni, ma un gruppo di base in Russia noto come REvil il cui obiettivo sono i soldi. L’attacco che viene veicolato, quindi, è di tipo ransomware e il collettivo criminale, consapevole della natura del suo exploit, chiede un riscatto “collettivo” in Bitcoin per un controvalore di 70 milioni di dollari. Proprio le aggressioni a sfondo “finanziario” che rappresentano circa il 95% di tutti gli attacchi noti fanno vittime in giro per il mondo con conseguenze più o meno devastanti.

Nel nostro Paese le vittime più illustri sono state Enel e Campari che rispettivamente si sono viste recapitare richieste per 14 e 15 milioni di dollari. Un destino non diverso è toccato a Luxottica, sempre nell’ultimo trimestre del 2020. Il 2021, prima di arrivare alla Regione Lazio, ha contato una serie di aggressioni che hanno coinvolto il gigante della lavorazione delle carni JBS che avrebbe pagato 11 milioni di dollari, il sistema sanitario irlandese, ma soprattutto la Colonial Pipeline. Il più grande oleodotto della East Coast degli Stati Uniti è stato precauzionalmente chiuso dopo che un ransomware era stato introdotto nella rete aziendale. Il personale ha deciso di spegnere anche i sistemi di gestione industriali per evitare che fossero a loro volta compromessi. La vicenda si è conclusa con il pagamento di circa 5 milioni di dollari di riscatto. Colonial Pipeline e il sistema sanitario irlandese prima e la Regione Lazio poi hanno avuto grande risonanza in quanto ad essere colpite sono state quelle che comunemente vengono definite infrastrutture critiche. Di fatto, a questa categoria appartengono tutte quelle organizzazioni che offrono servizi al cui venir meno si producono delle conseguenze nefaste nella vita “reale” dei cittadini. In passato ci sono stati altri casi, basta ricordare come nel 2017 la diffusione del malware WannaCry bloccò gran parte del sistema sanitario inglese e ancora prima, nel 2015, la diffusione del virus BlackEnergy nei sistemi di gestione della rete elettrica ucraina lasciò al buio 80 mila famiglie di Kiev. La grande differenza è la scala temporale perché fino ad oggi le aggressioni che avevano coinvolto infrastrutture critiche erano relativamente poco numerose, invece questo 2021 sembra indicare un’inversione di tendenza, che in qualche misura ci riporta alla considerazione di partenza.

La digitalizzazione accelerata incrementa le superfici di attacco, l’integrazione tra le normali reti informatiche e quelle industriali le rende vasi comunicanti per cui i malware si possono diffondere in entrambe, la pandemia e il conseguente smart working hanno aumentato di ordini di grandezza i punti di accesso ai sistemi delle organizzazioni.

A tutto questo si aggiunge il mondo del cloud che ha prodotto una straordinaria concentrazione di una pluralità di servizi in pochissimi operatori. Se paragoniamo i criminali a dei pescatori questi soggetti sono come delle balene e riuscire a colpirne una spiana la strada che permette di raggiungere migliaia di potenziali vittime. Il contesto è così diventato favorevole per un salto di qualità della criminalità cyber da sempre attenta a valutare l’economia dello sforzo. Questo ha prodotto una significativa evoluzione nelle tecniche di social engineering per raggirare gli utenti, una maggiore sofisticazione dei malware utilizzati che hanno
ormai notevoli capacità di ingannare le
contromisure tecnologiche introdotte dalle aziende, una più lunga e metodica esecuzione dell’attacco che consente ai criminali di compromettere backup e copie di sicurezza, rendendo spesso impossibile il ripristino dei dati.

In prospettiva, dunque, dovremo attenderci una costante crescita dei reati informatici e la situazione potrebbe aggravarsi se le organizzazioni criminali tradizionali dovessero raccordarsi con quelle cyber, fornendogli appoggi logistici e una presenza sul territorio che consentirebbe, attraverso atti di microcriminalità come il furto di dispositivi elettronici, nuove fonti di informazioni. Uno scenario da incubo che per essere contrastato richiederà un salto di qualità nella collaborazione a livello internazionale e una crescita culturale in materia da parte di tutte le organizzazioni.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti