Un chiaro effetto collaterale della pandemia è la trasformazione drastica del “come” e del “dove” delle nostre vite lavorative. Negli ultimi due e più anni, abbiamo assistito a migrazioni diffuse verso modelli di lavoro remoti e ibridi, seguite dalla “grande dimissione”, ovvero dalla rivalutazione da parte di dipendenti scontenti dei propri orientamenti e delle proprie ambizioni, strettamente intrecciati con le priorità del luogo di lavoro. Questi cambiamenti sismici nelle culture aziendali hanno portato a un afflusso di rischi informatici conseguenti alla pandemia, man mano che i dipendenti diventano meno vigili nei confronti delle minacce e più permissivi nel mantenimento dell’igiene di sicurezza informatica. Il nostro ultimo rapporto sulle minacce verso i dati ha mostrato che quasi un terzo delle organizzazioni ha subito una violazione negli ultimi 12 mesi.
Uno dei rischi principali che le aziende devono oggi affrontare è il ransomware, una forma specifica di malware che limita la capacità di un’azienda di utilizzare i propri dati o sottrae copie di questi ultimi per sfruttarle in seguito. Viene quindi richiesto un riscatto, con la minaccia di pubblicare dati sensibili o di continuare a bloccare l’accesso fino al pagamento. Abbiamo notato che un’azienda su cinque (21%) a livello globale ha subito un attacco ransomware nell’ultimo anno, di cui il 43% ha rilevato un impatto significativo sulle proprie operazioni.
Ora che l’ambiente di lavoro ibrido sta diventando all’ordine del giorno e l’incidenza degli attacchi ransomware è in aumento, è fondamentale che i dirigenti aziendali siano consapevoli del modo migliore per proteggere i dati della loro organizzazione e delle misure immediate da adottare per impedire i ransomware.
AUMENTO DI ATTACCHI RANSOMWARE
La migrazione dei dati sul cloud continua a buon ritmo. Quasi un terzo (32%) delle organizzazioni a livello globale ha riferito di conservare circa la metà dei propri carichi di lavoro e dati in cloud esterni, mentre quasi un quarto (23%) ne mantiene oltre il 60%. I criminali informatici hanno reagito a questa migrazione e approfittato della mancanza di urgenza da parte di molte imprese nell’adozione di solide misure di difesa.
L’attacco a Colonial Pipeline nel 2021 ha rappresentato un cambiamento significativo nella consapevolezza del pubblico riguardo agli attacchi ransomware, in passato sottostimati. L’impatto è stato rilevante: il 44% delle aziende ha riferito di aver subito una violazione o di non aver superato un audit di compliance riguardante gli ambienti cloud solo nell’ultimo anno.
Sebbene la maggior parte degli attacchi ransomware prendano di mira banche, servizi pubblici e vendita al dettaglio, sono state vittime di criminalità informatica aziende di tutto il mondo, in ogni settore. La trasformazione digitale avvenuta nelle industrie manifatturiere e infrastrutturali tradizionali ha causato la penetrazione di tecnologie operative in tutti i settori dell’economia, aprendo nuovi spazi ai criminali informatici che desiderano lanciare attacchi ransomware.
La trasformazione digitale non è l’unica variabile che favorisce l’aumento degli attacchi ransomware, poiché il denaro rimane una motivazione fondamentale per i criminali informatici. Con l’aumento degli attacchi ransomware riusciti e i conseguenti pagamenti più elevati da parte delle vittime, l’attrattiva di questa forma di estorsione è diventata più evidente.
CONSEGUENZE DI UN ATTACCO RAMSONWARE POST PANDEMIA
I settori di infrastrutture nazionali essenziali, servizi di pubblica utilità e produzione rappresentano un’opportunità molto redditizia per chi desidera lanciare un attacco ransomware, data la suscettibilità di queste organizzazioni e dell’urgenza di ripristinare le operazioni. L’attacco ramsonware a Colonial Pipeline nel 2021 è un buon esempio di un attacco ransomware efficace e di forte impatto. Le operazioni del gasdotto furono sospese per oltre quattro giorni, causando l’esaurimento delle stazioni di rifornimento negli Stati Uniti e l’aumento drastico del prezzo medio del carburante. Qualsiasi azienda, di fronte a questo livello di interruzione, pubblicità negativa e attenzione nazionale sul ripristino del servizio, è molto più propensa ad accettare le richieste di riscatto, come è stato il caso di Colonial Pipeline.
Nonostante la pubblicità negativa abbia aumentato la pressione sui criminali informatici in questione, questi ultimi hanno dimostrato un’incredibile capacità di resilienza per quanto riguarda la capacità di cambiare nome, spostarsi e riorganizzarsi per attacchi futuri. Nel 2022 e in futuro, è probabile che l’infrastruttura critica sarà presa di mira da gruppi di ransomware che desiderano sfruttare la maggiore urgenza per garantire pagamenti più elevati.
Questo aumento degli attacchi all’infrastruttura non vuol dire che le piccole imprese di altri settori siano al sicuro dalla minaccia del ransomware. Molti gruppi potrebbero infatti cercare di evitare la frenesia mediatica generata dagli attacchi contro i settori principali e puntare invece a obiettivi meno in grado di mobilitare una forte difesa informatica e meno propensi ad attirare l’attenzione dei media.
Inoltre, ora che il lavoro da remoto confonde i confini tra dispositivi personali e di lavoro, per molti utenti basta un clic sbagliato per diventare il vettore iniziale di un attacco ransomware ed esporre la propria impresa a rischi significativi. In quasi tutti i settori di attività, i criminali informatici possono ancora arrecare danni seri alle operazioni aziendali interrompendo sistemi di gestione paghe, sistemi contabili, reti interne e altro. È quindi indispensabile che tutte le imprese si considerino un potenziale obiettivo e che implementino misure di sicurezza adeguate.
Nonostante una delle considerazioni principali delle organizzazioni sia l’impatto finanziario diretto del ransomware (un quinto delle organizzazioni a livello mondiale ammette di avere pagato o essere disposto a pagare un riscatto), questo non è l’unico rischio che corrono. Quando sono vittime di un attacco ransomware, le aziende possono anche subire danni significativi alla reputazione se si ritiene che non siano riuscite a mantenere misure solide di sicurezza informatica. La decisione di prestare attenzione alle richieste ransomware può inoltre rivelarsi critica: se vengono condivisi dati sensibili, le imprese possono incorrere anche in sanzioni considerevoli per aver violato le normative in materia.
IN CHE MODO LE IMPRESE POSSONO PROTEGGERSI
Le sfide rappresentate dal ransomware possono sembrare scoraggianti, ma le imprese possono adottare misure chiare e semplici per creare una struttura di sicurezza solida anche a fronte dei più moderni attacchi ramsonware. In primo luogo le aziende devono conoscere meglio il proprio ecosistema e capire quali dati sensibili detengono, la loro posizione e chi vi ha accesso. Così facendo le imprese avranno un quadro molto più chiaro di dove risiedono i loro dati sensibili e possono valutare come minimizzare il rischio.
Un altro passo fondamentale per evitare gli attacchi ransomware è rafforzare l’accesso ai dati o ai sistemi attraverso l’utilizzo di soluzioni di autenticazione multi-fattore (AMF). Così facendo, un’impresa sarà in grado di rafforzare la propria autenticazione di utenti e dispositivi utilizzando più fattori, ad esempio “qualcosa che si possiede” (come un dispositivo mobile) e “qualcosa che si conosce” (una password) e decisioni basate sui criteri per una serie più rigorosa e continua di meccanismi di verifica delle identità. SafeNet Trusted Access di Thales fornisce una piattaforma semplice per l’integrazione di applicazioni aziendali e la gestione degli accessi basata sul cloud. L’implementazione dell’AMF dovrebbe essere considerata una prima linea di difesa contro il ransomware.
Tuttavia, le violazioni dei dati continuano e, con quasi un terzo (29%) delle aziende che ha subito una violazione negli ultimi 12 mesi, le imprese non possono fare affidamento esclusivamente ai controlli degli accessi per proteggersi. La realtà è che alcuni criminali informatici saranno comunque in grado di accedere ai dati sensibili, rendendo necessaria l’introduzione della crittografia come meccanismo di difesa essenziale. Grazie a questa, le aziende possono infatti essere più sicure che nel caso in cui si riesca ad accedere e sottrarre i dati, non sarà possibile leggerli. Anche se le imprese che subiscono una violazione dei dati devono comunque affrontare potenziali conseguenze normative, i danni alla reputazione saranno ridotti poiché i dati sensibili condivisi resteranno inaccessibili a chi compie gli attacchi.
Oltre alle strategie attive di sicurezza informatica, creare un piano di continuità operativa (PCO) specializzato per il ransomware può aiutare l’azienda a mantenere comunicazioni efficaci e coordinare adeguatamente la risposta. Mentre i PCO esistono spesso in preparazione di calamità naturali, il ransomware può comportarsi indiscriminatamente nei confronti dell’infrastruttura di un’azienda. Sviluppando un PCO che assume l’inattività dei sistemi principali, le organizzazioni sono in grado di garantire una risposta rapida e immediata che non richiede la navigazione tra canali di comunicazione inaspettatamente offline.
Anche se gli attacchi ransomware sono aumentati a causa della pandemia, questi elementi rappresentano le migliori pratiche per la sicurezza dei dati. Impegnandosi nel processo e restando vigili, le imprese saranno in grado di reagire con prontezza ai cambiamenti portati dall’evoluzione del ransomware e dall’emergere di nuove minacce.
Sergio Sironi, Regional Sales Director Southern Europe di Thales