Crimini informatici: la minaccia è in aumento
Non esiste in pratica un’azienda che non subisca prima o poi un attacco informatico, e la tendenza si aggrava. Per risolvere il problema occorre affidarsi a una strategia globale di cui oltre alla tecnologia, fanno parte la consapevolezza e la formazione delle persone. 08/02/21
di Harvard Business Review Italia
Il timore dei cyber-risk, ossia di attacchi informatici, ma anche di incidenti informatici, nelle imprese è una delle maggiori preoccupazioni dei business leader che vedono, per il futuro, un aggravamento di una situazione che diventa ogni giorno più preoccupante e più difficile da gestire. Uno degli allarmi più recenti è quello che viene da uno studio della compagnia di assicurazione Allianz che, nel suo Risk Barometer 2021 pone i cyber-risk al terzo posto tra i rischi percepiti dai manager in moltissimi Paesi del mondo.
Non è certo sorprendente, d’altra parte, che dopo gli sconvolgimenti sanitari, sociali ed economici provocati a livello planetario dalla pandemia da coronavirus nell’anno trascorso, i rischi globali più temuti siano legati alle possibili interruzioni delle attività dovute ad attacchi o incidenti di questo tipo. Nella classifica del barometro Allianz questi rischi sono strettamente connessi: al primo posto, appunto, quello della Business Interruption, al secondo quello di una perdita di controllo della pandemia e al terzo i rischi informatici. Gli esperti consultati sono stati ben 2.769 in 92 Paesi, tra loro CEO, risk manager, broker ed esperti assicurativi. La loro percezione dei rischi è dunque estremamente significativa. Nel sondaggio, il cyber-risk da un anno all’altro non solo sale nella scala dei rischi percepiti, ma rispecchia un dato oggettivo: i danni di questo tipo hanno sono aumentati del 50% nel 2020, toccando la cifra astronomica di 1 trilione di dollari. Anche per quanto riguarda l’Italia sono proprio gli incidenti informatici a rappresentare il vertice delle preoccupazioni, seguiti dall’interruzione di attività e dalla pandemia in quanto tale. Dunque, i rischi e i danni informatici fanno sempre più paura e durante la crisi sanitaria l’attenzione è fortemente cresciuta proprio per il crescente utilizzo di tecnologie digitali sia in ambito individuale sia d’impresa. Non è un caso che, nel momento di picco della prima ondata di lockdown nell’aprile 2020, l’FBI abbia registrato un incremento del 300% e che gli incidenti di ransomware, che già erano frequenti, siano diventati più gravi poiché prendono sempre più di mira le grandi imprese con attacchi sofisticati e ingenti casi di estorsione. Il Covid-19 ha dimostrato la rapidità con cui i criminali informatici sono in grado di adattarsi. L'ondata di digitalizzazione provocata dalla pandemia ha creato opportunità di intrusione con nuovi scenari di rischio che emergono costantemente. I cyber-criminali si stanno evolvendo: utilizzano la scansione automatica per identificare le lacune nel sistema di sicurezza, attaccano i router scarsamente protetti o addirittura utilizzano i 'deepfake', ovvero contenuti multimediali realistici modificati o falsificati dall'intelligenza artificiale. Allo stesso tempo la protezione dei dati, la regolamentazione della privacy e le multe per le violazioni dei dati continuano la loro tendenza al rialzo. |
Frequenza in aumento
Secondo il Global Fraud & Risk Report (che Kroll redige annualmente sulla frode e altre fonti di rischio per le imprese) il rischio di attacchi informatici costituisce una delle minacce che di qui a 5 anni preoccupa maggiormente le aziende (riguarda il 68% di chi ha partecipato all’indagine). In parte, questa tendenza conferma la rilevanza del rischio cyber a livello globale, ed è guidata dalla crescente criminalità informatica economica che trae “sostentamento” dalle vite e attività sempre più connesse di Governi, aziende e cittadini. Quanto sopra, associato a scarsi livelli di sicurezza informatica nei sistemi utilizzati, ha portato al proliferare dei criminali informatici. É così che alcuni Stati europei riportano un incremento nella frequenza di episodi di crimine informatico rispetto a quelli di crimine tradizionale.
Come tutti gli altri Stati anche l’Italia è soggetta ad attacchi informatici anche se, purtroppo, vi è una minore consapevolezza rispetto ad altre economie più avanzate, causata anche dalla scarsa copertura da parte dei media locali su casi di crimini informatici che hanno colpito aziende italiane. Inoltre, l'economia italiana è caratterizzata da piccole aziende dinamiche che, da una parte, hanno meno probabilità di destinare risorse alla difesa informatica, mentre dall'altra hanno maggiori possibilità di cadere vittime dei suddetti attacchi. Ora ci sono più criminali informatici che mai ad approfittare delle opportunità disponibili, tenendo in considerazione che i reati tendono a essere perpetrati da Paesi terzi, il che rende molto difficile perseguire il crimine; le probabilità di essere scoperti sono molto basse; le pene e le sanzioni sono molto minori rispetto ad altri delitti; i costi di un attacco sono molto più bassi; e i mercati fanno sì che i proventi siano facilmente monetizzabili.
Il quadro dei rischi
Le tendenze del cyber-crimine nel mondo possono essere classificate in sette macroaree:
- Cyber-crime come servizio. I criminali informatici non devono essere necessariamente esperti ingegneri informatici. Attacchi già pronti possono essere acquistati e scambiati su internet all’interno di appositi mercati; alternativamente, i committenti possono acquistare un servizio dando semplicemente i dettagli dell’obiettivo e lasciando al fornitore il compito di creare l'attacco. Un’attività molto redditizia per la criminalità organizzata e alcune organizzazioni terroristiche.
- Ransomware. Negli ultimi due anni si è assistito a due dei più grandi attacchi di ransomware mai registrati e la tendenza sembra destinata ad aumentare. Il ransomware è una delle principali famiglie di malware disponibile da acquistare su internet, con molte nuove varianti scoperte ogni mese.
- Manomissione della posta elettronica aziendale. La presentazione di fatture false o la richiesta di modificare le coordinate bancarie del destinatario in caso di pagamento di fatture legittime è un altro trend in rapida crescita che costa ogni anno miliardi di dollari all’industria globale. Anche questa è una tendenza in crescita, non destinata a rallentare.
- Vendita di dati. I dati rimangono una merce chiave per i cyber-criminali in quanto facilmente scambiabili e monetizzabili. A volte, i criminali rubano i dati per le possibilità di guadagno finanziario immediato, ma stiamo rilevando sempre più frequentemente accessi tramite back-door, che vengono venduti a terzi per lo sfruttamento dei dati. L'ultimo gruppo che beneficia del furto di dati sono gli Aggregatori di Dati che raccolgono piccoli volumi (spesso dati di carte di credito o di conti bancari) che poi vendono in grandi volumi - spesso decine o centinaia di migliaia. Anche le vendite record di milioni di dati stanno diventando sempre più comuni.
- Pagamenti e frodi con carta di credito. Il crescente utilizzo di chip-and-pin in tutto il mondo sta riducendo i casi di frode “card present”, invece, gli attacchi a carte di credito tramite reti ATM e NFC (Near Field Communication il c.d. “contactless”) e altri dispositivi come Apple Pay attuati da bande di criminalità organizzata sono in crescita.
- Cyber bullismo e abusi. Il cyber bullismo rientra nella categoria dei cyber-rischi anche se si fa generalmente riferimento a bande e piattaforme online create per attaccare minorenni e individui vulnerabili. Le forze dell'ordine hanno sgominato diverse bande internazionali che operano all’interno di questo tipo di mercati, ma altre hanno rapidamente preso il loro posto.
- Crypto-valute. Mentre Bitcoin sta rapidamente perdendo la propria posizione come valuta prescelta all'interno della criminalità organizzata, la crescita di crypto-valute difficili da tracciare continua a sostenere l’economia sotterranea e la criminalità organizzata.
Mentre questa lista rappresenta le tendenze criminali più ampie, tra i rischi più sensibili alle violazioni informatiche, il furto di dati aziendali o la sottrazione di proprietà intellettuale sono stati indicati come gli attacchi che hanno significativamente colpito le aziende nell’ultimo anno (53%). Le aziende italiane riportano che è una priorità significativa, rispettivamente per l’83% e il 79% degli intervistati. In entrambi i casi, il trend italiano si mostra superiore del 7% rispetto alla media globale. La più grande minaccia per i dati aziendali si conferma venire dall’interno (insider), mentre per il furto di proprietà intellettuale il rischio maggiore arriva dai competitor.
Nel nostro Paese, il 66% degli intervistati da Kroll ritiene il rischio di attacchi informatici su larga scala come la minaccia più rilevante dei prossimi 5 anni, con un dato che è soltanto il 2% inferiore alla media globale. Il 92% delle imprese italiane ha indicato che le proprie capacità interne in ambito di sicurezza informatica hanno risposto agli attacchi informatici in modo molto efficace. Un dato significativamente superiore alle tendenze globali (una media dell’81%).
Per gli attacchi esterni, il ransomware rimane la minaccia singola più grande per le imprese, questo anche escludendo gli attacchi WannaCry e NotPetya. Tuttavia altre forme tradizionali di attacco rimangono ancora molto diffuse:
- Drive-by Downloads. Il malware viene installato automaticamente sul computer di un utente quando accede a un sito compromesso.
- Cross-site Scripting. Un altro malware che sfrutta i siti legittimi per rubare le credenziali di accesso e le password memorizzate nel browser. La maggior parte degli utenti riutilizza le password per più siti e scopi.
- Attacchi Watering Hole. Questi sono una tipologia di attacco più mirata nei quali il codice dannoso viene iniettato in un sito utilizzato spesso da un'azienda o un settore. Gli utenti di solito sono infettati con i download drive-by o “malware” dopo aver visitato il sito.
- In questo caso il malware è nascosto in software legittimo, che lo rende invisibile. Il malware viene inviato come un documento PDF o Word che permette al file di non essere rilevato dalla maggior parte dei software antivirus.
L'aumento della criminalità informatica ha portato a una recente proliferazione di leggi e regolamentazioni per tutelarsi dalla crescente minaccia. In Europa, il Regolamento generale UE sulla protezione dei dati, che si applica a partire da maggio 2018, introduce una serie di requisiti a cui dovranno sottostare le imprese che raccolgono, processano o memorizzano dati personali. I nuovi requisiti sono molto più esigenti dei precedenti e i livelli di multe per non conformità o in caso di perdita dei dati sono aumentati significativamente fino ad arrivare al 4% del fatturato globale dell’azienda oppure 20 milioni di euro.
Le misure di difesa
Cosa possono fare le aziende per difendersi dai rischi e proteggere i loro dati? Ecco alcune indicazioni di strategie di difesa efficaci.
Formazione e consapevolezza del personale. Il primo luogo in cui migliorare le difese della propria azienda è il personale. Investire nella formazione di una coscienza informatica aiuterà le persone a individuare e combattere gli attacchi di social engineering e di phishing. Le aziende dovrebbero inoltre essere in grado di indagare e identificare l'attività sospette prima che diventino un vero e proprio incidente e formare il personale sull'attuazione di solide politiche di sicurezza, considerando che i controlli basilari di “igiene informatica” possono neutralizzare la gran parte degli attacchi.
Policy e procedure. Oltre alla formazione del personale e alle policy degli utenti, le aziende dovrebbero esaminare le loro politiche di sicurezza più ampie. Mantenere i sistemi aggiornati ridurrà notevolmente la possibilità di essere attaccati. Un caso celebre è quello che si è verificato nel 2016-17. La vulnerabilità di Eternal Blue, un exploit che si ritiene sia stato scritto dalla National Security Agency Usa, è stata scoperta nel mese di novembre 2016. Nel mese di febbraio 2017 Microsoft ha rilasciato un patch per la protezione contro di esso e nonostante ciò a maggio 2017 centinaia di migliaia di computer sono stati infettati da ransomware WannaCry che sfruttava appunto la sua vulnerabilità.
Governance. Le aziende dovrebbero identificare una specifica persona e carica per la sicurezza informatica e permettere a tale persona di attuare misure di sicurezza in linea con le necessità dell’azienda. Gli amministratori dovrebbero richiedere che le politiche e le procedure di sicurezza informatica vengano osservate e il consiglio direttivo dovrebbe esaminare regolarmente l'efficacia delle norme di sicurezza e monitorare regolarmente i KPI per misurarne i miglioramenti.
Tecnologia. Anche se il cyber è prevalentemente una questione legata alle persone, tuttavia la tecnologia gioca un ruolo fondamentale. Comprendere i sistemi; i punti di accesso e di uscita alla rete; come questi processi vengono monitorati e gestiti sono tutti passi importanti per difendere la società dagli attacchi informatici. Gli apparecchi di sicurezza hanno un ruolo fondamentale nella difesa degli asset aziendali e dei dati, ma, raramente, sono l'unica soluzione richiesta.
Le relazioni. Uno dei modi più semplici per aiutare a difendere asset critici dell'azienda è quello di agire tempestivamente rispetto a potenziali minacce (threat intelligence). Stabilire rapporti all'interno del settore, area geografica e con il mondo accademico e le forze dell'ordine per ricevere informazioni sulle ultime minacce e prepararsi di conseguenza. Avere stretto relazioni e avere pronto un piano di risposta coinvolgendo fornitori che possano assistere nel ripristino dei sistemi per garantire la continuità del lavoro e nel comunicare con le autorità è cruciale per minimizzare l’impatto nel breve e nel lungo termine.
Purtroppo, non esiste una soluzione definitiva per risolvere il crescente problema della criminalità e delle minacce informatiche, ma è necessario affidarsi a una strategia globale di cui la tecnologia è solo il 20% della soluzione.
Una strategia globale di difesa
di Harvard Business Review Italia