E’ allarme rosso per le aziende, che adesso devono difendere i loro dati dagli attacchi di criminali più o meno esperti, visto che sta germogliando un mercato dove i professionisti del cybercrime, quelli veri, propongono programmi di affiliazione a potenziali “distributori” di ransomware, ovvero virus che bloccano i computer impossessandosi di tutti i dati in esso contenuti, e chiedendo in cambio un riscatto per restituirli che può andare dai 500 ai 2.000 euro.
I venditori di ransomware si trovano spesso nel Dark Web, oppure anche in Internet su siti e forum perlopiù russi dedicati ad attacchi informatici neanche troppo difficili da raggiungere, e assoldano chiunque sia in cerca di soldi facili e che per “entrare nel giro” sia disposto a pagare 100 dollari in bitcoin, ricevendo in cambio un kit di lavoro composto da un file eseguibile da diffondere tramite email alle potenziali vittime, e l’accesso a un pannello di controllo che funziona in pratica da “cassa”, attraverso il quale è possibile monitorare i pagamenti provenienti dai malcapitati che sono stati infettati, da cui il cybercriminale mandante trattiene solo una commissione sugli incassi del 15%, lasciando il resto al “rivenditore”.
Se fino a poco tempo fa il bersaglio preferito dei ransomware erano gli utenti tradizionali di Internet, l’evoluzione attuale vede nel mirino dei criminali del web anche le aziende ed i professionisti, che nei loro pc e devices possiedono spesso dati preziosi o comunque fondamentali per esercitare le loro attività.
Nei giorni scorsi, è stato infatti scoperto “KeRanger”, il primo ransomware completo per Mac OS X che colpisce anche il sistema operativo di Apple molto usato dai professionisti, mentre l’FBI ha segnalato attacchi alle reti aziendali che cercano di installare ransomware e allo stesso tempo cancellare i backup dei dati, per costringere così le aziende a pagare la somma richiesta per riavere l’unica copia dei dati rimasta nelle mani del ricattatore.
Che il pericolo riguardi però da vicino anche le nostre imprese, lo conferma l’ondata di attacchi ransomware che ha colpito 250 aziende di Vicenza, e anche la Polizia Postale della capitale italiana dell’oro, nel darne notizia non ha potuto fare altro che alzare bandiera bianca, affermando che a danno fatto “non c’è nulla da fare, purtroppo, se non pagare“ per decriptatare i dati e rientrarne in possesso.
Le aziende sono quindi chiamate a lavorare sulla prevenzione alzando il livello di protezione dei dati, anche perché le ripercussioni che possono colpire l’impresa sono potenzialmente devastanti, come spiega Nicola Bernardi, presidente di Federprivacy:
“Il vero danno per le aziende colpite non sta tanto nella cifra che viene chiesta loro di pagare, ma lo stato di paralisi in cui si vengono a trovare nell’impossibilità di proseguire normalmente l’esercizio della loro attività, essendo totalmente privati del loro patrimonio dei dati, che può riguardare tutti i dati sensibili dei dipendenti e delle loro paghe, dati industriali e relativi a proprietà intellettuale, e anche riservatissima corrispondenza commerciale, che se finisse nelle mani sbagliate metterebbe l’azienda nei guai – afferma Bernardi -. E dato che le aziende che cadono vittima di attacchi ransomware si trovano di fronte ad individui senza scrupoli, neanche pagando il riscatto richiesto c’è la certezza che i dati vengano effettivamente restituiti, oppure che i criminali non se ne tengano comunque un backup per venderli al miglior offerente o per altre attività e trattamenti illeciti. Oltre al danno, c’è il pericolo anche della beffa, perché se l’azienda non è in grado di dimostrare di aver adottato le necessarie misure di sicurezza, c’è anche il rischio di vedersi multati dal Garante della Privacy, o essere chiamati a risarcire i danni agli interessati coinvolti”.
Agli esperti di protezione dati e ai privacy officer, sono richieste quindi elevate conoscenze non solo sulla parte normativa e sul nuovo Regolamento UE in emanazione questa primavera, ma anche competenze trasversali come quelle sui sistemi di gestione della sicurezza delle informazioni, e per questo Federprivacy ha prontamente inserito nel programma formativo del 2016 anche un corso specifico per gli addetti ai lavori sulla norma internazionale ISO/IEC 27001:2013, che fornisce una serie di requisiti e standard per impostare e monitorare un sistema di gestione e controlli di sicurezza adeguati e proporzionati all’interno di aziende pubbliche e private.