Attacco informatico all’Italiana Innovery. RHC Intervista l’azienda sull’incidente in corso. Molto bene! Quando la trasparenza e i clienti sono al primo posto! 

Giuseppe Longobardi : 30 Settembre 2023 09:05

A cura di Giuseppe Longobardi e Massimiliano Brolli

Il rischio Zero non esiste! Tutti prima o poi sono costretti ad affrontare una crisi derivante da un attacco informatico e anche i big player della sicurezza informatica non ne sono esenti come FireEye di Mandiant, Microsoft e giganti tecnologici della consulenza del calibro di Accenture e DNV, tanto per citarne alcuni. 

Ma c’è chi la crisi l’affronta insabbiando la verità – tipico della crisis management delle aziende italiane – e c’è chi affronta la crisi con trasparenza, perché sa che i clienti sono al primo posto in ogni modello di business. 

Innovery è una società multinazionale nata nel 2001, che opera nell’area dei servizi ICT per le medie e grandi Aziende. Negli anni ha esteso il suo portfolio a tutte le aree della sicurezza informatica, coprendo tutti gli aspetti. 

Questo ha permesso di ampliare il suo mercato spingendosi sui territori internazionali. Ad oggi, infatti conta 11 sedi in tutto il mondo, coprendo oltre il territorio italiano, anche quello spagnolo e latino-americano. Innovery offre soluzioni e servizi personalizzati, per soddisfare le esigenze specifiche dei clienti, completi di progettazione, realizzazione e supporto. 

Cos’è successo 

Il 26 settembre del 2023, una mail proveniente da un mittente sconosciuto arriva al whistleblower di Red Hot Cyber. In tale mail viene annunciato un attacco informatico alla società di sicurezza informatica Innovery SpA, dove vengono riportati alcuni samples. 

Da un’analisi svolta dagli specialisti in Cyber Threat Intelligence della community, tali file risultano essere presumibilmente dei contratti stipulati da Innovery con dei suoi fornitori. Tali samples lasciavano chiaramente intravedere una potenziale violazione delle infrastrutture IT dell’azienda da parte di malintenzionati.

Abbiamo contattato quindi Innovery per informarla dell’accaduto. 

Spesso abbiamo chiesto una intervista alle aziende violate, ma non è mai successo prima d’ora che una azienda acconsentisse a parlarci di un attacco informatico in corso in modo completamente etico e trasparente. 

Siamo stati quindi messi in contatto con Giancarlo Di Lieto, il responsabile dell’area Defensive Security di Innovery che gentilmente (e in modo del tutto trasparente) ci ha concesso questa intervista per comprendere cosa sia successo. 

Vogliamo ringraziare Innovery per questa intervista e per aver “dato l’esempio”, stimolando una riflessione. Non parlare è molto peggio rispetto a fornire ai propri stakeholder informazioni e rassicurazioni su un attacco in corso. Le aziende italiane, come spesso abbiamo riportato, devono imparare a fare “crisis management” e rispondere in modo “adeguato” ad un attacco informatico, non solo a livello tecnico, ma anche a livello di comunicazione.

Intervista a Giancarlo Di Lieto di Innovery 

RHC: Intanto la ringraziamo per questa intervista. E’ la prima volta che un’azienda italiana ci permette una intervista a ridosso dell’incidente informatico. Questo per noi è un segnale di grande cambiamento, in quanto si sta comprendendo che la trasparenza e l’etica, è la prima cosa sulla quale puntare in un momento di crisi. Ci potrebbe fornire una panoramica su cosa è successo durante l’attacco informatico a Innovery? Quali sono state le principali implicazioni per l’azienda? 

Giancarlo Di Lieto: l’attacco è stato condotto da un gruppo criminale che non si è ancora qualificato. Sono riusciti ad ottenere l’accesso ad una cartella del file share di un server in cloud, nel quale risiedono dei documenti prevalentemente di natura commerciale, la cui gestione avviene tramite una piattaforma applicativa, anche quella in cloud. L’attaccante è riuscito ad aggirare il Web Application Firewall a protezione della stessa, riuscendo ad accedere per un breve lasso di tempo ai contenuti di quella cartella. Il ns. SOC, nonostante l’attacco avesse tutte le caratteristiche di un accesso legittimo, ha identificato l’anomalia nel volume dei dati trasferiti ad un singolo IP ed è intervenuto con un’azione di contrasto isolando il server e limitando così il numero di file esfiltrati. Non c’è stato alcun impatto dal punto di vista della integrità e disponibilità dei sistemi e nessun servizio erogato ai ns. clienti è stato minimamente impattato. 

Le maggiori implicazioni di questo incidente sono legate più al danno di immagine che alla criticità delle informazioni esfiltrate che non presentano particolari criticità, né per la ns. azienda né soprattutto per i ns. clienti. 

RHC: Quali sono stati gli obiettivi dell’attacco? Si trattava di un attacco mirato o di un tentativo casuale? 

Giancarlo Di Lieto: é difficile poter dire se si tratta di un attacco mirato, ma chiaramente essendo rivolto ad un’azienda di cyber security può avere un’eco maggiore sui media rispetto a tante altre, quindi non escludiamo che il gruppo di criminali lo stia facendo per avere maggiore visibilità o per danneggiare la ns. reputazione di azienda del settore. 

RHC: Quali reparti o settori dell’azienda sono stati più colpiti dall’attacco? Come è stata gestita la continuità operativa? 

Giancarlo Di Lieto: Il reparto più colpito è sicuramente quello commerciale, i dati esfiltrati sono quasi esclusivamente documenti relativi a fatture e ordini. In fase di contenimento dell’attacco abbiamo dovuto bloccare l’accesso al ns. sistema ERP in cloud, per cui l’impatto virtualmente avrebbe riguardato vari settori dell’azienda. Essendo avvenuto sul tardi (fuori dall’orario di lavoro) il ns. team ha lavorato notte tempo per rendere di nuovo disponibile il sistema già in prima mattina, raggiungibile adesso in maniera sicura solo dai dipendenti dell’azienda. Come dicevo, trattandosi di un sistema in cloud esterno quindi alla nostra infrastruttura ICT, nessun impatto ha avuto sulle aziende alle quali eroghiamo servizi di managed security. 

RHC: Qual è stata la reazione del team di sicurezza informatica di Innovery all’incidente? Ci sono stati miglioramenti nei processi di sicurezza come risultato di questa esperienza? Giancarlo Di Lieto: la reazione è stata piuttosto tempestiva ma non tale da annullare del tutto l’effetto dell’attacco. Infatti, L’EDR in uso non ha rilevato attività malevola poiché

sostanzialmente si presentava come accesso ad una cartella, tra l’altro in sola lettura, ma è grazie all’alert del ns. sistema di monitoraggio del traffico che abbiamo rilevato l’anomalia nel volume anomalo generato da quel server. Nel frattempo comunque, l’attaccante ha potuto esfiltrare una piccola parte dei dati ivi presenti prima che isolassimo il server. L’incidente ci ha spinto a migliorare ulteriormente il processo di monitoraggio, raffinare le soglie di alerting ed il fine tuning dell’EDR, mentre dal punto di vista organizzativo, direi che la risposta dell’azienda, che da anni ha una procedura di Incident e di Crisis Management interna, è stata più che adeguata. 

RHC: Secondo lei, in che modo la trasparenza riguardo all’incidente beneficia i clienti e gli stakeholder di Innovery? 

Giancarlo Di Lieto: Un’azienda alla quale vengono affidati i servizi di cyber security deve godere della massima fiducia da parte dei propri clienti, pertanto comunicare rapidamente lo stato delle cose ai nostri abituali interlocutori per tranquillizzarli è fondamentale. E’ legittimo da parte dei clienti chiedersi se l’incidente possa aver ingenerato un rischio per le loro infrastrutture ICT che monitoriamo da remoto con i ns. servizi SOC, ma possiamo affermare con certezza che l’esfiltrazione non ha riguardato informazioni che possano in minima parte compromettere la loro sicurezza. 

RHC: In che modo Innovery ha comunicato l’incidente ai propri clienti e agli stakeholder? Giancarlo Di Lieto: L’incidente risale a pochi giorni fa e durante le fasi di analisi post-mortem, si è cercato di comprendere e valutare la natura e la portata dell’attacco. Per questo siamo stati interamente concentrati nell’analisi degli impatti sia interni che verso i ns. clienti, soprattutto per verificare se ci fossero gli estremi per la notifica del data breach e, a tal proposito, abbiamo subito attivate tutte le procedure di monitoraggio dei rischi previsti dal GDPR. Nei prossimi giorni provvederemo a contattare i nostri clienti per dovere di trasparenza nei loro confronti, spiegando l’accaduto e le azioni che abbiamo intrapreso. 

RHC: Cosa pensa riguardo alla responsabilità delle aziende di sicurezza informatica nell’educare il pubblico sulla sicurezza cibernetica? Come intende contribuire all’educazione riguardo alle minacce digitali? 

Giancarlo Di Lieto: La cyber security è un campo in continua evoluzione, con nuove minacce che emergono ogni giorno. Pertanto, la formazione deve essere parte di un processo continuo e non può essere vista come un evento isolato o sporadico. Tutte le aziende devono investire sul proprio personale per far crescere la consapevolezza e la sensibilizzazione sui rischi legati alle minacce online, a maggior ragione le aziende di cyber security. Noi in Innovery lo facciamo da anni attraverso i percorsi di formazione personalizzati per ciascuno dei team di specialisti nei vari settori della ICT & Security, erogati attraverso una piattaforma di e-learning top sul mercato, ma lo facciamo anche per i clienti, con l’ausilio dei ns. partner, per fornire loro gli strumenti e le metodologie più avanzati ed efficaci per riconoscere e contrastare le minacce digitali, in particolare legate alla ingegneria sociale. 

RHC: Quali insegnamenti chiave ha tratto l’azienda da questa esperienza e come guideranno le future strategie di sicurezza informatica di Innovery? 

Giancarlo Di Lieto: Tutto quello che accade è fonte di lesson learned e miglioramento continuo. Questo evento ci ha permesso di testare sul campo la procedura di incident management, che pur avendo funzionato in maniera più che adeguata può essere ancora

migliorata. Altro punto di miglioramento è spostarsi sempre più verso il paradigma dello zero trust, anche un accesso che può sembrare legittimo presenta caratteristiche di rischio che devono essere individuate il prima possibile e la micro-segmentazione della rete è un ulteriore fattore di prevenzione. 

RHC: Infine, cosa vorrebbe dire ai nostri lettori e a tutte le altre aziende che potrebbero essere vittime di un attacco informatico simile? Quali consigli condivide sulla gestione di crisi di sicurezza cibernetica? 

Giancarlo Di Lieto: Il primo consiglio che mi sento di dare è non farsi mai prendere dal panico e non cedere al ricatto dell’attaccante. 

Mettere in atto il prima possibile le azioni di contrasto più appropriate, anche drastiche come isolare dalla rete i sistemi compromessi, posticipando le azioni di mitigazione e i controlli correttivi in un secondo momento. 

Valutare bene la portata dell’incidente, anche con l’aiuto di aziende specializzate. Molto spesso gli attaccanti millantano volumi o tipologie di dati a cui non hanno avuto realmente accesso, mentre in realtà l’impatto reale può essere verosimilmente inferiore di quello da loro dichiarato.