Quali sono i rischi connessi al conflitto in Ucraina?
La situazione geopolitica delle ultime settimane ha determinato un’evoluzione dello scenario della sicurezza informatica in Italia, in tendenziale peggioramento rispetto alla situazione del cyber crimine già preoccupante del 2021. Con l’avvento del covid-19 e il conseguente passaggio al lavoro in smart working per milioni di lavoratori, abbiamo infatti assistito a una impennata degli attacchi informatici a partire dal Luglio 2021.
Ricordiamo tutti l’attacco ransomware portato alla Regione Lazio, di cui abbiamo parlato in un precedente articolo, che ha tenuto la Regione in scacco per diversi giorni. Sono poi seguiti centinaia di altri attacchi ramsonware a organizzazioni pubbliche e private tra i quali citiamo: Campari, Geox, Enel, Luxottica, Carraro, HoMobile, Clementoni, IGuzzini.
E’ di fondamentale importanza che la reazione a possibili attacchi sia “tempestiva e coordinata”, come afferma Claudio Telmon, membro del comitato direttivo Clusit, l’Associazione Italiana per la Sicurezza Informatica. Nel report 2022 del Clusit uscito proprio qualche giorno fa (scarica il rapporto) ci sono alcuni dati molto interessanti che ci fanno capire l’aggravarsi del rischio cyber in Italia.
Nel 2021 gli attacchi sono aumentati di oltre il 10% rispetto al solo anno precedente.
Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Gli attacchi crescono non solo in quantità ma anche in “qualità”: la severità degli attacchi è infatti in forte aumento. Nel 2021 il 49% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 36% dell’anno precedente. In dettaglio, il 25% è stato caratterizzato da una severity “critica” e il 49% “alta”. A fronte di queste percentuali, sono diminuiti invece gli attacchi di impatto “medio” (-11%) e “basso” (-16%).
Una minaccia per tutti?
Sono venti i settori merceologici individuati dagli analisti Clusit per capire quali ambiti produttivi sono stati maggiormente presi di mira. In particolare sono aumentati nel primo semestre 2021 gli attacchi a queste categorie:
- Transportation / Storage: +108,7%
- Professional, Scientific, Technical: +85,2%
- News & Multimedia: +65,2%
- Wholesale / Retail: +61,3%
- Manufacturing: +46,9%
- Energy / Utilities: +46,2%
- Government: (+39,2%)
- Arts / Entertainment: +36,8%
- Healthcare: +18,8%
Cyber attacchi: come difendersi?
Clusit raccomanda in primo luogo ad imprese istituzioni pubbliche di seguire con attenzione le comunicazioni e le indicazioni che vengono fornite dal CSIRT nazionale, il Computer Security Incident Response. Il team italiano, dispone infatti di informazioni a cui altre fonti potrebbero non avere accesso.
E’ inoltre necessario aumentare il livello di attenzione su possibili anomalie all’infrastruttura IT che possono essere indicatori di attacchi in corso.
Questa indicazione ovviamente non riguarda solo le aziende che hanno rapporti con l’Ucraina o con la Russia ma, sostanzialmente tutte le imprese e le pubbliche amministrazioni.
A conferma dei dati sopra indicati portiamo la nostra esperienza quotidiana sul campo per evidenziare come da un attento monitorando risulti chiara l’evoluzione degli attacchi specialmente nelle ultime settimane.
A partire dal 16 di Marzo abbiamo fatto fronte ad una serie di attacchi ai VPN ai danni di nostri clienti, rilevati dalle policy di monitoraggio continuo attive e consistenti in reiterate richieste di accesso provenienti da indirizzi giapponesi e americani.
A questa minaccia la nostra organizzazione ha contrapposto una serie di misure immediate necessarie a respingerle, come ad esempio il restringimento delle richieste di accesso alle VPN solo da indirizzi IP pubblici italiani, avvisando poi i clienti per attenzionare gli effetti e avere feedback diretti.
Anche grazie al costante presidio dei sistemi di protezione e alla protezione fornita dai Firewall UTM di ultima generazione installati da Microtel, gli attacchi non hanno avuto alcun esito sulla normale attività tanto che se non ne fossero stati da noi informati i nostri clienti, non si sarebbero accorti del rischio corso.
La formazione del personale e le policy interne (Human Firewall)
Questa è stata comunque una buona occasione per tornare a ribadire alla dirigenza e al personale coinvolto l’attenzione alle politiche aziendali in termini di sicurezza delle informazioni, rinnovando in particolare la vigilanza sulle regole di comportamento necessarie ad evitare di essere fatti oggetto di attacchi di vario genere come il phishing o addirittura strumenti di diffusione di minacce come i malware o i famigerati ransomware.
Verifica e aggiornamento dei sistemi.
Alla luce di quanto riportato diventa oggettivamente necessario verificare preventivamente l’efficacia delle misure di sicurezza esistenti, comprese le politiche di gestione per assicurare la disponibilità di servizi e informazioni anche in caso di attacchi importanti ai propri sistemi; in particolare, verificare almeno la disponibilità e la correttezza di backup aggiornati e offline e, se non ancora presenti, attivare dei processi e meccanismi di disaster recovery cosi come assicurarsi che i servizi di early warning e threat intelligence siano attivi, funzionanti e soprattutto monitorati.