ransomware data breach pa azienda cosa fare

Il recentissimo attacco subìto dal sito del Comune di Palermo, con notevole esfiltrazione di dati (poi pubblicati online), è solo l’ultimo in ordine di tempo di una lunga scia contro le infrastrutture informatiche, pubbliche o private, italiane. Non più tardi di due mesi fa, infatti, lo stesso gruppo autore dell’attacco al Comune di Palermo, Vice Society, aveva colpito l’ABI (Associazione Bancaria Italiana), pubblicando dati sensibili come quelli relativi ai dipendenti, facendo uso in ambo i casi della medesima tecnica: il ransomware.

Una modalità di attacco insidiosa, di cui i criminali informatici si avvalgono in misura sempre maggiore, come testimoniato da numerosi report dell’ENISA (Agenzia dell’Unione Europea per la cybersicurezza), e che ha colpito indistintamente pubbliche amministrazioni e settore privato, senza badare alla dimensione aziendali (da PMI a multinazionali e veri e propri colossi del settore informatico e non), con ripercussioni sulla business continuity, sulle catene di approvvigionamento, sulla privacy dei dati e sui fatturati.

A proposito di approvvigionamento segnaliamo il nostro video su come risolvere le problematiche legate ad esso:

 

Cos’è e come funziona un ransomware?

Un ransomware è un malware (dall’inglese malicious software, software malevolo) il quale inserito in un dispositivo informatico, ne cripta i dati contenuti all’interno, mediante l’uso di algoritmi di crittografia originariamente creati per la sicurezza di comunicazioni legittime; l’attaccante mantiene la chiave pubblica sul sistema dell’utente, trattenendo a sé la chiave privata, ed a quel punto può chiedere un riscatto (ransom) al proprietario, solitamente in criptovalute, per rendere non tracciabili i movimenti.

I metodi con cui i ransomware si diffondono sono molteplici, ed i più frequenti sono:

  • e-mail di phishing;
  • banner pubblicitari;
  • software da scaricare e che al loro interno hanno già un malware;
  • siti compromessi su cui navigano le vittime.

Una volta nel sistema, l’attaccante pone la vittima di fronte ad una scelta: pagare il riscatto e riguadagnare (nelle parole dell’attaccante) tutti i dati e gli accessi ai sistemi, o non cedere al ricatto ed essere impedito nello svolgimento delle sue normali attività lavorative. Spesso, per mettere pressione alla vittima, l’attaccante intima un termine allo spirare del quale parte dei dati verranno esfiltrati e pubblicati nel dark web (tecnica, questa, della cd. doppia estorsione). Per aumentare ulteriormente la pressione sull’azienda o sulla pubblica amministrazione attaccata, si può far combaciare l’attacco ransomware con uno di tipo DoS (Denial of Service), mediante cui si sovraccarica il server del sito convogliando una grande quantità di richieste che il sito stesso non è in grado di sopportare, impedendo dunque alle richieste di utenti legittimi di poter essere gestite.

 

Perché ogni azienda deve essere ben informata

In primo luogo, vi è un grosso scoglio di consapevolezza nella guerra contro questo insidioso strumento di attacco informatico: questo può infatti essere percepito molto lontano dalla realtà aziendale o dalla pubblica amministrazione in cui si lavora, e la tentazione di chiedersi quando potrebbe mai avvenire un evento del genere è comprensibile, ma da affrontare.

Secondo il report dell’ENISA “Threat Landscape” del 2020, il ransomware era la seconda minaccia più comune, ed era collegato ad un terzo degli incidenti avvenuti (28%), solo dietro il problema delle password deboli (56%). Nelle parole dell’Agenzia, “Stiamo assistendo alla golden era del ransomware” (ENISA Threat Landscape, 2021).

Occorre prendere consapevolezza del fatto che le minacce informatiche raramente riguardano una realtà isolata, proprio perché il flusso di dati ad oggi è talmente continuo da rendere interconnesse una serie di realtà solo apparentemente “autonome”.

 

Zero day: cosa sono e perché sono pericolosi

In informatica si conosce come “zero day” una vulnerabilità di sistema sino a quel giorno sconosciuta: chi per primo la scopre acquisisce un vantaggio comparato enorme rispetto al proprietario del sistema a cui si riferisce. Il mercato del dark web conosce un gran numero di zero day venduti, con prezzi variabili in proporzione al sistema che la vulnerabilità è in grado di “bucare”. Si pensi ad uno zero day di Windows, che potenzialmente permetta di accedere a milioni di dispositivi, rispetto a quello di software molto meno noti, meno usati, e pertanto meno appetibili. Con questo si vuol porre l’accento sulla circostanza che un virus come il ransomware, può avere effetti a cascata non prevedibili ex ante.

A fare scuola da questo punto di vista è stato il caso del ransomware “WannaCry”, lanciato nel 2017, il quale ha sfruttato una vulnerabilità di Windows prima che gli sviluppatori del sistema potessero aggiornarlo, colpendo 230.000 organizzazioni in 150 paesi del mondo, soprattutto tra le piccole e medie imprese, con una perdita stimata tra i 4 e gli 8 miliardi di dollari.

ransomware data breach pa azienda cosa fare

 

Gli attacchi alla supply chain

Altra categoria di attacco molto frequente è quella dei cd. attacchi alla supply chain, come testimoniato dal fatto che la stessa ENISA dedica al fenomeno un report annuale (il “Threat Landscape for Supply Chain Attacks”). Con ciò, l’attaccante vuole colpire il fornitore di beni e servizi informatici di una platea indiscriminata di soggetti, aumentando di molto il suo raggio d’azione.

Nel report si legge che nel 58% degli incidenti al fornitore analizzati, i beni dei clienti presi di mira sono stati per lo più i dati dei clienti stessi, compresi quelli relativi alle informazioni di identificazione personale e alla proprietà intellettuale. L’Agenzia stimava nel report del 2020 che nel 2021 ci sarebbero stati attacchi alle catene di fornitura quattro volte più frequenti che nell’anno precedente, e non è impensabile che ci si sia di molto avvicinati, se il report dell’anno successivo registrava un aumento del 150% dei soli attacchi di tipo ransomware.

Dal report ENISA 2021 sullo scenario delle minacce, invece, si evince come laddove nel recente passato i gruppi dediti ad attacchi di tipo ransomware individuavano come principali piccole e medie imprese, con sistemi di sicurezza poco appropriati, ora sembrerebbero rivolgersi ad aziende più strutturate e dunque economicamente più capienti, alle quali dunque poter chiedere riscatti ancora più alti. Ciò non può tuttavia far abbassare la guardia alle PMI, posto il rischio sistemico che, come detto, attacchi del genere possono causare.

Lo stesso report indicava che nel 2019, il riscatto medio ammontava ad 80.000 dollari; nel 2020 era più che raddoppiato, sino ad una media di 170.000 dollari, e nei primi due trimestri del 2021 era intorno ai 180.000 dollari.

 

Cyber Assicurazioni: una soluzione sensata contro i ransomware?

Spesso una soluzione individuata da diverse organizzazioni, non tanto al fine di difendersi direttamente dagli attacchi informatici, quanto più per esternalizzarne i rischi, è quella di stipulare quelle che vengono definite cyber assicurazioni.

A lungo le compagnie assicurative si sono dimostrate riluttanti ad assicurare questo genere di rischio e ciò, soprattutto, a causa della esiguità di dati ed informazioni affidabili sulla base dei quali stabilire una politica dei prezzi delle polizze. Ad oggi, tale base di dati non manca affatto, e questo costituisce uno dei motivi della floridità di tale mercato.

Alcuni esperti, tuttavia, non mancano di rilevare criticità in questo genere di assicurazioni: è stato osservato infatti come ciò potrebbe addirittura risultare controproducente, specialmente riguardo i ransomware. Ci si riferisce soprattutto alla possibilità che gli attaccanti vedano nell’assicurazione un incentivo volto ad alimentare, naturalmente in maniera indiretta, gli attacchi a cui facesse seguito un pagamento dall’assicurazione.

Un ulteriore rischio potrebbe essere quello di far confidare coloro che abbiano ruoli di responsabilità e sicurezza nell’azienda che abbia stipulato un’assicurazione di questo tipo, sul fatto che la polizza in qualche modo coprirà i costi, rinunciando a mettere in atto ogni misura che invece si dovrebbe tentare di porre a difesa dei propri sistemi informatici. Ciò, oltre a porsi in contrasto con la normativa europea e nazionale (GDPR in primis, ad esempio con il suo noto art. 32), potrebbe ridursi ad una mera analisi costi/benefici: se si dovesse ritenere il pagamento del riscatto la soluzione migliore per le compagnie assicurative e per i clienti, rispetto all’onere che viene da una potenziale perdita di dati, o dai costi collaterali del ripristino degli stessi e della contestuale interruzione delle attività, questo potrebbe costituire un pericoloso motivo per aumentare ulteriormente gli attacchi.

La strategia di rischio, dal punto di vista aziendale, è in questo caso il semplice trasferimento dello stesso ad una terza parte, in una logica di esternalizzazione. A quel punto, è ben più probabile che un’azienda ceda al ricatto e paghi quanto chiesto dall’attaccante, sapendo di avere la copertura dell’assicurazione. Al momento, secondo l’ENISA le compagnie assicurative non impongono sufficienti procedure di risk assesment preventivi che includano validi test di sicurezza.

Un requisito comune è invece quello di effettuare un’analisi delle vulnerabilità del perimetro esterno dell’infrastruttura IT dell’organizzazione. Per quanto meritorio, l’ENISA fa notare come i risultati di questo tipo di analisi possano tuttavia rappresentare la sicurezza aziendale e del rischio associato solo in maniera parziale.

 

Il diritto penale nei reati informatici

Pur con la consapevolezza che, spesso, il diritto segue e si conforma alla realtà con un certo margine di ritardo, nell’ultimo decennio, sotto il profilo giuridico, siano stati fatti significativi passi in avanti nella lotta ai reati informatici.

La normativa previgente, risalente ai primi anni ’90, puniva ai sensi dell’art. 635-bis c.p. il “danneggiamento di sistemi informatici e telematici”. Tale norma è stata sostituita ed integrata dalla legge 48/2008, che ha peraltro ratificato la Convenzione contro il Cybercrime, adottata dal Consiglio d’Europa e siglata a Budapest il 23.11.2011.

In materia ad oggi le più rilevanti fattispecie di reato sono:

– art. 615 – ter c.p.: “Accesso abusive ad un sistema informatico o telematico”;

– art. 615 – quater c.p.: “Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”;

– art. 615 – quinques c.p.: “Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico;

– art. 635 – ter c.p.: “Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità”;

– art. 635 – quinques c.p.: “Danneggiamento di sistemi informatici o telematici di pubblica utilità”;

Il tratto comune di queste fattispecie è sempre il “danneggiamento di un sistema informatico”, ossia la realizzazione di un’alterazione tale da impedire o comunque ostacolare il buon funzionamento dell’apparecchio informatico.

La peculiarità dell’attacco ransomware rispetto alle altre tipologie di malware è la presenza di una vera e propria condotta estorsiva, per cui il soggetto che la subisce si configura come vittima e, in caso di pagamento del riscatto, deve escludersi la commissione di un reato da parte dello stesso.

La situazione sarebbe peraltro differente nel caso in cui un ente pubblico subisca un attacco ransomware e pagasse il riscatto: a carico del funzionario che ha provveduto al pagamento si potrebbe ipotizzare una ipotesi di danno all’erario, soggetto al controllo amministrativo e contabile della Corte dei Conti, laddove il funzionario non dimostri che la sua condotta ha evitato danni ancora maggiori all’amministrazione pubblica.

Il problema sofferto dalle fattispecie penali in questo settore è da un lato la possibilità di attribuire in modo diretto ad un soggetto (come molto spesso accade, all’estero), un fatto costituente reato commesso dietro un pc (quand’anche si riuscisse a risalire, ad esempio, all’indirizzo IP da cui è partito l’attacco stesso), e dall’altro la giurisdizione e la titolarità ad indagare e successivamente sottoporre a processo i presunti autori del reato.

 

Come comportarsi quando si verifica un data breach ransomware

Per data breach si intende una violazione informatica di natura volontaria, come nel caso di un attacco ransomware, o accidentale, ma che determina in ogni caso la perdita, l’acceso abusivo, la compromissione e altre numerose ipotesi che vedono coinvolti i dati personali.

Si pensi all’incendio dei data center di OVH, o al recentissimo data breach ai danni del Comune di Palermo di cui si accennava in apertura. La casistica sta diventando purtroppo sconfinata: per questo, la legge sulla protezione dei dati personali, il regolamento UE 679/2916 (c.d. GDPR), detta precisi obblighi da rispettare al verificarsi di una violazione.

Nell’eventualità di un data breach ransomware, il titolare del trattamento deve effettuare una valutazione del caso concreto, individuando effetti potenzialmente lesivi dei diritti e delle libertà degli interessati. Se questa valutazione dovesse avere esito positivo, e la violazione per diritti e libertà degli interessati venga qualificata di grave entità, dev’essere data notifica al Garante per la protezione dei dati personali entro 72 ore, o si dovrà dare adeguata spiegazione del ritardo, con possibilità di essere sanzionati.

Riguardo le comunicazioni agli interessati coinvolti dal data breach, dev’essere data adeguata e tempestiva comunicazione anche a questi soggetti, singolarmente o tramite opportune modalità, come ad esempio comunicati stampa, annunci sui siti istituzionali ecc., direttamente dal titolare o per il tramite del DPO – Data Protection Officer, laddove questo sia stato nominato.

Per maggiori approfondimenti si rimanda all’articolo “Data breach e attacchi informatici: come comportarsi”.

 

Le raccomandazioni ENISA per prevenire i ransomware

Evitare i ransomware, così come altri malware, non è facile. Tuttavia, per scongiurare o quanto meno limitare attacchi di questo genere e tutelare i propri dati è utile ed opportuno essere prudenti e adottare alcuni accorgimenti.

L’ENISA (Agenzia dell’Unione europea per la cybersicurezza) ha elaborato una serie di raccomandazioni, parte delle quali si riporta di seguito, a titolo esemplificativo e non esaustivo, come punto di partenza per una buona strategia di difesa:

  • Implementazione di strategie di backup;
  • Implementazione di audit della gestione delle identità e degli accessi (secondo il principio del least privilege e della compartimentazione);
  • Formazione e crescita della consapevolezza in azienda;
  • Recovery plan testati adeguatamente e periodicamente;
  • Monitoraggio costante dei sistemi per una veloce identificazione di possibili infezioni;
  • Formazione continua e controllo dei trend delle più recenti modalità di penetrazione ransomware, con ipotesi e proposte di prevenzione.

 

Prevenire o agire tempestivamente in caso di Data Breach

La sicurezza dei dati e delle infrastrutture informatiche passa soprattutto per una approfondita conoscenza dello specifico sistema che si deve proteggere: Proprio per questo è importante rivolgersi a soggetti qualificati e professionisti del settore, che possano aiutarti nel comprendere se sei stato vittima di un attacco informatico, oltre che aiutarti a tutelare i tuoi dati personali qualora ciò si sia già verificato.

Se hai bisogno di una consulenza legale informatica per comprendere come tutelarsi per un attacco informatico oppure hai già subito una violazione e vuoi tutelare i tuoi diritti e soprattutto i tuoi dati, affidati a professionisti qualificati, come i nostri partner dello Studio Legale FCLEX.

avvocato giuseppe croari bologna privacy

 

Ultimi aggiornamenti

spid cns azienda
La pandemia da Covid-19 è stata un fattore propulsivo di un processo che era già in progressivo e rapido avanzamento: l’avanzamento digitale dei servizi delle Pubbliche Amministrazioni è infatti un obiettivo a lungo perseguito dal legislatore, europeo ed italiano. L’auspicio è quello, fra tutti, di snellire […]
cookie policy generator iubenda privacy
Navigando in rete, è diventata sempre più alta la probabilità di imbattersi in siti web del tutto diversi fra loro – sia perché i gestori dei siti sono diversi, sia perché diversi sono i contenuti all’interno della pagina stessa – ma che hanno una Privacy & […]
e-commerce sanzioni direttiva omnibus
Il già ampio novero di strumenti legislativi previsti a tutela dei diritti dei consumatori (ed imposti agli eCommerce) è stato recentemente arricchito dall’entrata in vigore della Direttiva Omnibus (direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE del Consiglio e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE del […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.