Dall’infrastruttura aziendale, all’abitazione, ai prodotti finiti: il caso Wannacry dimostra che la minaccia è ovunque. Eppure basterebbe il rispetto di poche regole per essere più sicuri.
I recenti attacchi cyber, Wannacry e Petya (in tutte le rispettive varianti: WanaCrypt0r 2.0, NotPetya o Nyetya), di cui si è detto e scritto ovunque, evidenziano, fra le tante, almeno una problematica diffusa in tutto il mondo: le infrastrutture aziendali non sono al sicuro. In altri termini, non sono ancora pronte a vincere questa battaglia contro la cyber criminalità. A guidare gli attacchi informatici ci sono persone che sanno come colpire altre persone: non si tratta di battaglie virali tra macchine, ma di scontri tra umani. E, chi attacca, sa già dove colpire e quali siano le falle nel nostro sistema.
«Cybersecurity is almost always discussed in every customer meeting that I have. It is the single most important topic to every client I meet». Inizia con le parole di Kris Teutsch – managing director of Worldwide Defence and National Security di Microsoft – l’articolo firmato da Sean Dudley pubblicato nel numero primaverile della rivista The Record, a proposito di sicurezza informatica e del modo in cui le aziende possano mettere al sicuro i propri sistemi, anche grazie a soluzioni firmate Microsoft.
«L’attacco dello scorso maggio ha dimostrato quanto i sistemi possano essere vulnerabili. Sfruttando un exploit legato al protocollo SMB, si è riusciti a trasmettere un worm ransomware su migliaia di sistemi. Alcune aziende sono state particolarmente colpite: la Renault, per esempio, ha dovuto chiudere alcune linee di produzione. L’aspetto preoccupante è che il worm utilizzato sia uscito direttamente dalla NSA (National Security Agency). Fortunatamente la minaccia è stata sventata da un giovane britannico che analizzando il worm si è reso conto di come, con la semplice registrazione di un dominio Internet, fosse possibile annullare le azioni del worm. Con poche decine di euro è riuscito a sventare un pericolo che ha causato parecchi danni e che avrebbe potuto crearne di peggiori. In ogni caso, Microsoft aveva già dichiarato mesi prima questa vulnerabilità, rilasciando, tra l’altro, la relativa patch di sicurezza.» Così Vincenzo Russo, Head of Service Line ICT Services & Infrastructure in Spindox, racconta cos’è successo nei mesi scorsi a proposito del wormware Wannacry. La vicenda ormai è nota, niente di nuovo. Russo ribadisce come il rispetto di una semplice regola avrebbe fatto sì che oggi “wanna cry” fosse ancora, e solamente, un’espressione utilizzata in un momento di sconforto.
Si sa, il tema della sicurezza informatica è molto complesso, ma di certo non abbiamo intenzione di parlarvi, anche noi, di ransomware e wormware. Piuttosto volevamo capire il punto di vista di chi la sicurezza informatica la vive ogni giorno perché demandato a gestirla per la propria azienda e per i propri clienti. Più il mondo dell’IT evolve – IoT e cloud sono solo alcuni esempi di questa evoluzione – più crescono in maniera esponenziale i rischi legati alla sicurezza; con punti di attenzione diversi, con superfici esposte al pubblico, dalle reti aziendali interne alla propria abitazione. Ed essere connessi sempre e ovunque comporta l’aumento di questi rischi. Non è un caso se alla sicurezza informatica in ambiente domestico abbiamo dedicato un intero approfondimento.
Il primo passo verso la sicurezza? La consapevolezza
Gli attacchi informatici, tra cui il già citato Wannacry, sono sempre più virulenti e frequenti. Ma, come abbiamo detto già diverse volte, non cresce in parallelo l’attenzione alla sicurezza. «In molte aziende il tema della sicurezza viene affrontato ancora in maniera superficiale, soprattutto in quelle che in questi anni stanno demandando molto alla gestione cloud. Probabilmente si sta compiendo l’errore di credere che, per esempio, poiché AWS si assume in prima persona un certo livello di sicurezza dei suoi oggetti, lo stesso possa avvenire con i dati che noi affidiamo al cloud di sua proprietà. Ma non è così: per i nostri oggetti la sicurezza è sempre demandata a noi. E questo è un aspetto che ancora non è compreso.» La considerazione è del nostro Carlo Cotti, senior System Administrator.
Le misure di sicurezza basate esclusivamente su firewall o controlli a posteriori non bastano a fronteggiare le minacce odierne: sono necessarie tecnologie in grado di proteggere i sistemi aziendali da Wannacry et similia. Russo, che coordina un team di sistemisti della delivery Operations, oltre a occuparsi dell’infrastruttura IT di Spindox, gestisce datacenter on premise, fornisce supporto al cloud, guida progetti di software distribution su scala internazionale. È lui che ci racconta come in quest’ambito l’aspetto più rilevante sia la protezione del dato sensibile. Parlare di tutela della privacy è un concetto in parte superato: per nostra scelta decidiamo di mettere on-line la nostra vita, le nostre abitudini, le nostre amicizie.
«Noi stessi rinunciamo alla nostra privacy. Quante volte leggiamo di aziende accusate di vendere “basi di dati” – vedi social network – ad altre aziende? Mi spaventa invece la possibilità di furto di dati sensibili. Troppo spesso si sente parlare di furti di centinaia di migliaia di numeri di carte di credito, codici bancari o altro. In passato la sicurezza informatica era per sua natura un problema che interessava esclusivamente le aziende, adesso la cybersecurity interesserà sempre di più ognuno di noi.» Il furto delle informazioni è l’aspetto che fa più paura (il furto di database dei clienti, per esempio) soprattutto se l’informazione viene utilizzata illegalmente. A proposito di furto di database, per chi fosse rimasto indietro, nei giorni scorsi sono stati violati i dati personali di 400 mila clienti UniCredit. Non sono state rubate password per accedere ai conti dei clienti, ma l’accesso ai dati anagrafici e ai codici IBAN di loro proprietà non è escluso a priori. Come sostiene Alessandro Curioni – presidente di D.Gi. Accademy che scrive per Il Sole 24 Ore – l’attacco informatico alla principale banca italiana dimostra quanto sia difficile scoprire di essere stati vittima di una violazione che ha prodotto la «perdita di confidenzialità dei dati».
Aggiunge Russo: «storicamente si parlava di sicurezza informatica con riferimento a tutte quelle azioni intraprese aziendalmente per proteggere i dati. Oggi la parola designa un concetto più ampio. Non solo dobbiamo proteggere il dato personale o aziendale, oggi dobbiamo proteggere un intero sistema socio-economico che si basa su centinaia di sistemi informatici con cui ci interfacciamo giornalmente. Sviluppare un piano di sicurezza per un’azienda significa adottare una serie di regole atte a prevenire e monitorare eventuali azioni dolose sia interne che esterne. Come prima azione da intraprendere bisogna sensibilizzare gli utenti.» Per questo occorre lavorare sull’educazione e il costante aggiornamento.
Insomma, è una questione di consapevolezza. A maggior ragione sarà necessario che le aziende costruiscano una cultura adeguata in questa direzione dal momento che fra meno di un anno entrerà in vigore il General Data Protection Regulation (GDPR). Diversi sondaggi confermano che la maggior parte delle imprese, in particolare nel nostro paese, ignora i contenuti del nuovo quadro normativo, il quale imporrà vincoli molto più cogenti di quelli attuali in materia di protezione dei dati. E per chi sgarra sono previste multe molto salate.
Uno studio condotto nel Regno Unito da Lee Hadlington della De Montfort University – sul rapporto tra i comportamenti rischiosi, gli atteggiamenti, la dipendenza da Internet e l’impulsività dei dipendenti sul luogo di lavoro – ha dimostrato come la dipendenza da Internet possa essere un valore predittivo positivo ai comportamenti rischiosi in materia di sicurezza informatica. Stesso risultato se si parla di individui caratterizzati da impulsività, scarsa attenzione e incapacità organizzativa: tutti e tre rappresentano fattori di rischio. Lo studio ha confermato, ancora una volta, la necessità di un focus su consapevolezza e formazione.
IoT e vulnerabilità
«Il settore dell’IoT ha mostrato una crescita rapida, con proficui ricavi per le aziende protagoniste. L’Industria 4.0 permetterà a ogni elettrodomestico di dialogare con la rete. La nuova serie di servizi – dallo Smart Metering (monitoraggio dei consumi), alla Smart Home, Smart Car – avrà diverse ripercussioni. Tra queste, le necessità di banda aumenteranno notevolmente, ma soprattutto – l’aspetto più interessante – sarà che questi nuovi oggetti continueranno a essere particolarmente vulnerabili perché allo stato attuale, implementare sistemi di sicurezza per essi non è conveniente per le aziende.»
Ogni device è una porta per l’intero sistema. Quindi, se è vero che con Internet siamo tutti vulnerabili, in che modo un’azienda può difendersi dagli attacchi informatici, come Wannacry? «Un’azienda può cercare di difendersi, ma difficilmente potrà evitare azioni malevoli», risponde Russo. Sicuramente c’è il buon senso, come suggeriva Conti, e «le regole da seguire possono essere semplici e alla portata di qualsiasi azienda. Ma è difficile stabilire regole che valgano per tutte: un buon piano di sicurezza va studiato in base alle esigenze della singola azienda, partendo dalla sua organizzazione. Chiaramente il livello di sicurezza che si vuole raggiungere è direttamente proporzionale agli investimenti che si vogliono effettuare.»
Per Russo, dopo una prima bolla, l’IoT si ridimensionerà: «trovo conveniente e pratico gestire il termostato di casa tramite la rete mentre sono in ufficio, ma controllare con lo smartphone il robot che pulisce il pavimento è semplicemente uno spreco di risorse. Sicuramente l’IoT troverà il proprio equilibrio, soddisfacendo reali bisogni e rispondendo correttamente ai requisiti di sicurezza necessari e indispensabili. Ma ci vorrà ancora un po’ di tempo.»
La sicurezza va costruita dalla base. Spindox è attualmente impegnata nel consolidare tutta l’infrastruttura on-premise rispetto a soluzioni in cloud. «Aggiornandosi con firewall di ultima generazione, cercando di uniformare il più possibile il proprio parco clienti, sistemi di antivirus centralizzati e mettendo in campo azioni mirate, Spindox punta a sensibilizzare gli utenti rispetto a un utilizzo corretto ed etico delle risorse aziendali.» Confessa Russo: «sono fortemente convinto che tutto debba iniziare da questo. Ricordiamoci sempre che alla fine la forza di una catena si stabilisce dal suo anello più debole.»
Non solo nella propria infrastruttura, attenzione anche ai prodotti
Tutti i dispositivi fisici e virtuali che possono connettersi utilizzando qualunque tipologia di rete fissa e mobile, in generale via Internet sono vulnerabili a un cyber attack. Violare la sicurezza di questi dispositivi potrebbe avere un impatto nella vita delle persone e in alcuni casi creare gravi problemi. Com’è noto, uno di questi casi è nell’ambito dell’industria automobilistica (abbiamo parlato di smart cars e sicurezza in un post precedente). È nel settore automotive, infatti, che Spindox sta fornendo – nell’ambito della cybersecurity – servizi di consulenza per sviluppare soluzioni in grado di rafforzare la sicurezza dei veicoli connessi. «Mentre la tecnologia diventa sempre più profondamente integrata nelle nostre vite, noi diventiamo sempre più dipendenti dalla tecnologia. Ma questa dipendenza ci rende vulnerabili se la tecnologia fallisce. Quindi per essere in grado di utilizzare queste tecnologie liberamente ed evitare gli attacchi informatici – anche se evitare è quasi impossibile-, siamo costretti ad applicare cybersecurity policy», racconta Azin Pooya, Junior Project Manager in Spindox. Azin si occupa di analisi funzionali per i sistemi informatici, sviluppo di soluzioni tecniche in fase di progetto, esecuzione delle analisi dei requisiti e preparazione delle proposte specifiche per modifiche o sostituzioni di sistemi, studio di fattibilità delle soluzioni fornite dai fornitori. Inoltre – ed è l’aspetto che più ci interessava in questa occasione – Azin fornisce supporto tecnico per il progetto cybersecurity FCA in Aftersales, come application manager.
Nell’ambito della cybersecurity Spindox sta seguendo per alcuni clienti attività massive di Patch Management su migliaia di sistemi. «In altri ambiti stiamo mettendo on line POC di sistemi avanzati come Cyberark, che permette di verificare e monitorare ogni richiesta di sessione su sistemi di qualsiasi sistema operativo», spiega ancora Russo.
La sicurezza non passa, quindi, solamente dalla gestione dell’infrastruttura. Essa deve rappresentare un valore trasversale: dall’azienda al prodotto finito. Se oggi l’attenzione sta crescendo internamente, con l’IoT anche i prodotti, in quanto oggetti coinvolti in un sistema connesso, dovranno avere e rispettare standard di sicurezza sempre più elevati. Nelle società di servizi, come Google, i due aspetti della sicurezza sono strettamente connessi e già attuati. È logico continuare a preoccuparsi del cloud e dei dati sensibili, ma il tema della sicurezza informatica coinvolge anche i prodotti finiti e la progettazione di questi prodotti deve considerare che ogni oggetto rappresenta una porta di accesso passibile di attacchi.