Un’altra importante organizzazione italiana ha subito l’attacco di un ransomware con conseguente indisponibilità dei dati e delle informazioni personali.
Una “class action” è stata recentemente sollevata contro una ASL a seguito della perdita di riservatezza dei dati personali dei cittadini.
Si sono verificati nuovamente attacchi di DDoS a Pubbliche Amministrazioni, con blocco dei sistemi per molte giornate.
Ecco una legittima domanda: “A fronte del crescente numero di organizzazioni colpite dai malware: che cosa si può fare?
Molto è stato fatto in questi ultimi anni; ad esempio:
- La normativa è stata adeguata ai mutati tempi e minacce.
- La tecnologia c’è, sia per bloccare il malware sia per individuare in tempo il “malevolo” che gira per la rete (da Est-Ovest inizialmente e poi Nord-Sud spargendo danni). Ora ci sono i finanziamenti per le infrastrutture critiche e per gli Enti della PA.
- Sono stati condotti corsi di sensibilizzazione informatica agli utilizzatori dei sistemi informatici (ricordiamo quelli dell’AGID alle Pubbliche Amministrazioni Locali).
- L’offerta dei servizi “cloud” è migliorata e sta migliorando (pensiamo ai servizi di cybersecurity).
- La Polizia postale, ed ora la ACN, sono vicine alle organizzazioni per consigliarle ed assisterle.
Fermiamoci qui.
Apparirebbe evidente, da queste considerazioni, che sul lato tecnico non manchi nulla; ci sono invece aspetti organizzativi che devono ricevere la dovuta attenzione.
E cerchiamo di rispondere alla domanda iniziale:perchè ancora accadono così tanti danni e che cosa si può fare?
- Esistono i corsi di formazione e relative certificazioni, ma il personale tecnico non è sufficiente. Inoltre, diverse organizzazioni complesse si sono rivolte a società esterne altamente preparate, ma non hanno addestrato delle persone interne quali interlocutori: esse sono importantissime dato che conoscono l’ambiente e possono facilitare la diagnosi degli eventi ed aiutare nel disegno e gestione delle misure architetturali.
- Se i computer non più aggiornabili possono essere sostituiti, si presenta il problema (specialmente nella PA) delle applicazioni che possono non più funzionare come prima. Se una organizzazione potesse partire da “zero” tutto sarebbe meno difficile (non più facile, per varie ragioni che è inutile elencare qui).
- Le applicazioni nuove devono essere realizzate “ieri”, come si usa dire. Dovendo consegnare in pochissimo tempo una importante applicazione, gli sviluppatori prendono da Internet dei “pezzi” già pronti e può capitare che un domani presentino delle vulnerabilità. Non ultimo, spesso non c’è il tempo per un numero e qualità adeguata di test: una vulnerabilità può sfuggire ed essere poi sfruttata da una banda di criminali.
- I software acquistati sul mercato spesso lanciano allarmi in quanto degli anonimi specialisti hanno trovato e sfruttato una vulnerabilità. La correzione arriva quindi dopo che è stata sfruttata la vulnerabilità per fare danni.
- Spesso, per varie ragioni quali le prestazioni dei sistemi, non è applicata la pseudodenominizzazione dei dati personali.
- Non sono adeguatamente strutturati e potenziati i Security Operation Center, e solo ora nella PA si sta pensando alla costituzione dei CSIRT.
L’approccio ad una maggiore protezione delle risorse e dei dati non può non partire dalla resilienza organizzativa e dalla business continuity.
Bisogna che ogni organizzazione, nell’eseguire l’analisi di impatto e di risk assessment, parta dalla considerazione che prima o poi dei criminali accederanno alla rete e colpiranno (furto dei dati? Ricatto? Blocco del servizio? Blocco totale?). Bisogna quindi essere pronti, decidendo su quali fasi dedicare in misura maggiore le risorse: nella prevenzione, o nella gestione dell’incidente o nella ripresa dell’operatività.
Come insegna la metodologia di Business Continuity, una volta individuati i prodotti e servizi altamente critici, oltre a prevedere le opportune misure preventive, bisogna:
- realizzare opportune copie di backup dei dati personali;
- segmentare la rete in modo opportuno;
- concentrarsi sulle misure di gestione dell’incidente e di una eventuale emergenza, e porsi l’obiettivo di garantire quanto prima un livello minimo di servizio,
- adottare misure per la ripresa del servizio nel tempo più breve possibile.
E, soprattutto, tali misure vanno regolarmente testate (almeno a tavolino!) con le Business Units interessate.
Chiudo qui, anche se ci sarebbe molto ancora da dire e, sopratutto, da approfondire; mi auguro che queste mie considerazioni possano generare un dibattito, inizialmente fra i soci, ma aperto, come sempre, a tutti.
(Anthony.wright @ anssaif.it)