Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Le lezioni che abbiamo imparato da un anno di crisi informatica.

Massimiliano Brolli : 3 Gennaio 2022 10:02

  

Autore: Massimiliano Brolli
Data Pubblicazione: 03/01/2021

In questo strano 2021, in un periodo di pandemia dove questa “digital transformation” di assalto ha invaso tutte le case, portando anche le aziende più reticenti ad investire nella digitalizzazione, il crimine informatico è esploso in maniera inverosimile.

Abbiamo assistito all’attacco di Kaseya, rivendicato da REvil che ha violato 1.500 aziende in quello che è stato definito il più grande attacco ransomware della storia. Ma anche a DarkSide, che interrotto la maggior parte delle operazioni di Colonial Pipeline, che fornisce quasi la metà del carburante e altri combustibili utilizzati sulla costa orientale USA.

Questi incidenti sono già molto gravi.

Ma immaginate un attacco informatico peggiore, uno che non solo metta fuori uso le condutture o la produzione di carne, ma spenga l’elettricità in centinaia di ospedali, distrugga i sistemi di controllo del traffico aereo e spenga la rete elettrica nelle principali città nel cuore dell’inverno.

Il costo potrebbe essere contato non solo in dollari persi, ma anche centinaia o migliaia di vite umane.

Questi incidenti informatici “di rilievo”, hanno invaso la “sicurezza nazionale” di molti governi, portato sul tavolo di due superpotenze quali USA e Russia il problema del crimine informatico, tanto da essere dibattuto nel recente summit tra Biden e Putin.

La cybersecurity è da prima pagina dei giornali

La sicurezza informatica sta diventando sempre più argomento da prima pagina. Abbiamo visto questo anno molti incidenti invadere le prime pagine dei giornali, portando all’attenzione di tutti che il rischio informatico è uno tra i rischi più complessi da gestire, anche se molti ancora non ne afferrano il concetto.

Abbiamo anche compreso che il cybercrime da profitto, che inizialmente era in mano a singoli e piccole organizzazioni criminali, sta diventando una piaga che risulta difficile da estirpare, anche perché risulta altamente remunerativo e a basso rischio. Le recenti indagini hanno mostrato che solo l’1% dei crimini informatici commessi vengono perseguito.

Avremmo mai pensato nell’era della guerra fredda, che un piccolo gruppo di persone, di criminali organizzati, avrebbero messo sotto scacco la più grande superpotenza del mondo quali gli USA?

Ma questo sta succedendo oggi.

La guerra come la conoscevamo un tempo sta per essere riscritta in quanto chiunque, se tecnicamente e finanziariamente motivato può violare una infrastruttura critica nazionale. Di questo occorre prenderne atto.

REvil e Darkside ci hanno insegnato proprio questo e ci hanno fatto capire che i singoli sono equiparati ad un grande stato, e che mentre prima un obiettivo sensibile (una centrale elettrica/nucleare, un subappaltatore di armi, un fornitore di elettricità) poteva essere colpito solo se era in atto una guerra “reale”, oggi questa guerra non esiste, ma quel danno è possibile arrecarlo lo stesso senza sapere chi sia realmente stato.

Devi essere altamente preparato

Questo ultimo anno ci ha insegnato ancora più che i precedenti, che esiste una forte “asimmetria” tra le competenze di chi sta dietro le barricate, in quanto i criminali informatici sono sempre più competenti nelle materie tecniche, e se non conosci “tecnicamente” come si articola una violazione informatica, c’è poco che tu possa fare.

Non puoi contrastare le minacce con le belle slide. Devi conoscere con precisione come i criminali attaccano le organizzazioni per poter correre ai ripari.

Ma proprio di queste figure siamo altamente carenti.

Su RHC ne abbiamo parlato innumerevoli volte che non è possibile contrastare un attaccante se anche tu non sai come l’attacco si svolge, si articola, fino alle più piccole variabili tecniche.

Ma l’attrazione alla cybersecurity cessa quando si deve entrare nel “tecnico specialistico” perché risulta ostica e difficile ed è meglio rimanere a livello alto, il lavoro sporco meglio farlo fare ad altri.

Ma quali altri?

Questo ci porta ad avere una inflazione di ruoli di “high level security”, che dicono cosa occorre fare, che danno direttive e definiscono policy e procedure. Ma per fare le cose, per metterle in atto, occorre un esercito di “tecnici”, di “cyber guerrieri” e questi tecnici non ce ne sono.

Basta una sola vulnerabilità di sicurezza mal gestita, per compromettere un programma cyber multimilionario.

In tutto questo il mercato delle soluzioni di sicurezza impazza e molte aziende pensano ancora che una buona protezione perimetrale, uno strumento armato di una fantastica AI, possa garantire la sicurezza informatica delle infrastrutture installando un prodotto e dimenticandolo acceso in un rack. Questo non è così ed occorre sfatare definitivamente questo falso mito.

Oltre questo, da diversi anni, ma soprattutto in questo, la richiesta di specialisti in cybersecurity non riesce ad essere colmata e l’interesse per questa materia è scarso, soprattutto per le specializzazioni più verticali, quelle tecniche specialistiche e le scuole non danno molto aiuto ad attrarre i ragazzi.

Occorrerebbe incentivare la specializzazione in attività tecniche, soprattutto nei percorsi pre universitari. I black hat hacker sono tecnici altamente specializzati e devi essere più competente di loro se vuoi poterli sopraffare.

Non è più il tempo di procrastinare

E’ anche vero che se da un lato ci sono attacchi di rilievo, è anche vero che questi sono la punta dell’iceberg in quanto il 90% degli altri attacchi ransomware non sono da prima pagina dei giornali, ma colpiscono la piccola e la media azienda, ed è lunga la lista di imprese che sono fallite dopo un attacco ransomware.

Va da se che il 2021 è l’anno in cui dobbiamo prendere atto che la sicurezza informatica deve essere un rischio da gestire nel CDA di ogni organizzazioni e che se non hai un programma cyber, è arrivato il momento di avviarlo in quanto i rischi e le insidie sono innumerevoli.

Inoltre molti oggi si affidano alle polizze cyber. Questo è corretto ed è giusto finché ci saranno, anche se i costi stanno vertiginosamente aumentando ed alcune assicurazioni hanno rimosso la copertura per gli attacchi ransomware, ma è anche vero che dopo un attacco informatico, è il nome del brand che va sui giornali e la tua “brand” e “web” reputation, potrebbe essere dopo un attacco informatico compromessa.

Questo vuol dire che non è possibile affidarsi solo ad una copertura assicurativa per risolvere il problema della sicurezza informatica, ma occorre lavorarci sopra. Questo a maggior ragione oggi che le assicurazioni prima di emettere una polizza verificano con precisione il programma cyber messo in atto. Pertanto, se non vi muovete, potreste rimanere da soli contro un mondo di criminali informatici alla ribalta.

Una previsione per il futuro

Lo sapevamo che sarebbe andata così. Non avremmo saputo 10 anni fa che sarebbe stato il ransomware a tenere sotto scacco il mondo, ma sapevamo che la guerra cibernetica, la cyber warfare, sarebbe divenuta ben presto un problema e per questo che ne abbiamo ripetutamente parlato su Red Hot Cyber.

Ma se questa escalation continuerà, dove ci potrà portare?

Probabilmente le risposte possono essere due. Da un lato la “chiusura ermetica” delle infrastrutture e degli stati, che costruiranno muri “digitali” che elimineranno alla radice la filosofia di “internet” di Berners Lee. L’altra sarà la dedigitalization.

Di fatto alcuni stati si stanno organizzando in tal senso. Ricordiamoci la Russia con la sua “Runet” (la rete nazionale pronta a scollegarsi da internet in caso di cyber-attacco), oppure le infrastrutture cinesi come “the great firewall of a china” e “the great cannon of a china”.

Ma se inizieranno veramente a saltare le infrastrutture critiche nazionali, gli aeroporti, gli ospedali, l’elettricità, l’acqua (come dicevamo agli inizi e alla sanità già ci siamo arrivati in modo massivo), il passo verso il passaggio alle armi convenzionali potrà essere rapido ed infatti già si inizia a parlare dell’uso delle armi nucleari in risposta ad un cyber-attacco di rilievo.

In sintesi, tutte le cose belle che ha inventato l’uomo, come Internet (diversi anni fanno venne paragonato ad un “arma di unione di massa”, proprio per l’accesso indiscriminato al sapere e alla conoscenza) potrebbe divenire un’arma di distruzione di massa.

Anche in questo caso come in molti altri casi, la storia ci insegna che l’uomo è un un animale fondamentalmente egocentrico, opportunista, materiale e masochista, in quanto tutte le cose belle che crea, alla fine le vira verso la sua stessa distruzione.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.