Ransomware: pagare o non pagare? Ecco cosa consigliano gli esperti

Chiara De Carli

7 Febbraio 2023 - 13:53

condividi
Facebook
twitter whatsapp

Bastava un aggiornamento e la tragedia poteva essere evitata. Invece migliaia di aziende in tutto il mondo sono state vittime dell’attacco hacker messo a segno nel fine settimana scorso.

Ransomware: pagare o non pagare? Ecco cosa consigliano gli esperti

Sono migliaia le aziende coinvolte nell’attacco cyber avvenuto tra venerdì e domenica scorsa. Germania, Francia, Stati Uniti e Canada gli stati più coinvolti. All’appello tuttavia non manca nemmeno la Svizzera: nella nostra nazione sono stati compromessi una ventina di server.
E se da un lato tutti gli esperti tuonano che «bastava aggiornare i sistemi» per ridurre al minimo la possibilità di attacco, dall’altro la situazione è ben più grave di quanto si possa pensare. Il server preso di mira viene utilizzato a livello professionale da parte di grandi aziende, che basano la loro attività sull’informatica.

Mancato aggiornamento, «colpa grave»

«L’aggiornamento dei server - spiega Paolo Lezzi, presidente di InTheCyber Group - era disponibile a partire da febbraio 2021. Vuol dire che per due anni è stato ignorato. È una colpa grave».
Sottolinea infatti che «un’azienda o un’istituzione che sistematicamente aggiorna i software non viene colpita dai ransomware. Ma solo chi non lo fa».
Questo genere di attacchi non sono particolarmente sofisticati: per entrare nei server sfruttano le vulnerabilità presenti. «Tramite dei sistemi semi automatici vagliano i vari indirizzi IP e quando le trovano, se hanno un ransomware a disposizione, attaccano».

Essenziale un buon backup

Il ransomware è un genere di aggressione informatica che prevede l’invio di un malware che limita l’accesso del dispositivo infettato, chiedendo un riscatto da pagare per rimuovere la limitazione. In questo caso corrisponde a 2 Bitcoin, ovvero circa 42 mila franchi. Cosa dovrebbe fare allora un’azienda vittima dei cybercriminali? Cedere o meno al ricatto?
Per Lezzi vale generalmente la regola del non pagare «se sono in grado di ricostruire i dati tramite backup». La faccenda cambia nel caso in cui siano stati sottratti «dati strategici che non sono più in grado di ricostruire. In questo caso bisognerebbe cedere al ricatto, nella speranza che questi criminali rilascino le chiavi corrette». Il dubbio è che poi, pagando le ingenti somme richieste, i dati non vengano restituiti: «Dipende dalla serietà professionale di questi hacker. A volte non rilasciano le chiavi corrette e chiedono un altro riscatto. Sicuramente bisogna intervenire tecnicamente con professionisti per valutare i danni subiti e che questi criminali non rimangano all’interno del server per ricriptare un’altra volta».
Alle aziende dunque spetta il compito di prevenire questi attacchi «implementando i sistemi di monitoraggio, per permettere di individuare un attacco e poi di neutralizzarlo, prima che si diffonda. Le aziende devono stare all’erta. E se non si può fare affidamento sulle forze interne, è giusto rivolgersi a un supporto esterno».

Presi di mira obiettivi sensibili?

Sulla questione concorda anche Matteo Colombo direttore di Privacy Desk Suisse SA che conferma: «Un’azienda virtuosa dovrebbe avere un buon IT al suo interno o un buon fornitore di servizi che tenga aggiornati su queste vulnerabilità scoperte a livello internazionale».
«Il tema è nazionale: gli attacchi potrebbero aver preso di mira obiettivi sensibili come un’azienda tecnologica o di produzione di armi. Ma anche un acquedotto comunale, scuole o ospedali. In questi casi, il problema diventa più ampio. Rubando questi dati potrebbero compromettere un servizio, per esempio interrompendo la fornitura di acqua, o modificando la concentrazione del cloro, o mettendo in vendita dei dati sanitari». Cosa fare allora in questi casi? «Bisogna verificare che i dati non siano già in vendita sul dark web, tramite un team specializzato».

La Svizzera è più o meno esposta rispetto agli altri Stati?

Spesso sono le altre nazioni a giungere alla ribalta per questo tipo di eventi, di Svizzera si parla poco. Gli «incidenti informatici avvengono anche nella nostra nazione e alcuni di questi diventano anche data breach, ovvero violazione dei dati». Colombo spiega che nei prossimi mesi il settore privato «sarà aiutato dalla nuova normativa che entrerà in vigore a partire dal primo di settembre, ovvero la nuova legge sulla protezione dei dati. Le aziende saranno obbligate a rispettare delle misure minime e soprattutto idonee che comprendono l’aggiornamento dei sistemi e le buone pratiche aziendali». A oggi, tuttavia, non c’è una norma che imponga alle società di valutare gli attacchi informatici, tanto meno di notificarli. Fatta eccezione per il settore bancario. «A partire dai prossimi mesi, l’Autorità garante metterà a disposizione un portale in cui saranno riportati tutti gli eventi informatici a rischio grave, cioè che hanno portato alla compromissione dei dati. Sarà una risorsa importante per poter imparare e tenere sotto controllo la situazione».
Quello che deve cambiare, inoltre, è il senso di responsabilità di chi tratta i dati. In questo caso, si potrebbe parlare di negligenza a fronte del non aggiornamento consapevole del server? Oggigiorno infatti si parla sempre più spesso di accountability, ovvero «della responsabilizzazione di chi tratta i dati di consumatori e cittadini. Non è più sufficiente difendere solo il dato. È necessaria un’organizzazione informatica e un buon Data protection officer (Dpo) che aiuta le aziende a costruire questa infrastruttura non solo informatica ma anche organizzativa». Dunque, se il soggetto che doveva custodire i dati ha subìto l’attacco, le vittime hanno diritto a un risarcimento.

Prevenire gli attacchi informatici, come?

Per correre ai ripari dagli attacchi informatici, Colombo ribadisce che è necessario disporre di «un buon sistema di backup, prevenire formando il personale e ricorrere a sistemi informatici avanzati. Non è più sufficiente avere solamente un buon antifurto». I cybercriminali sono dei criminali a tutti gli effetti e nel caso del ransomware «Non si deve cedere alla richiesta di riscatto». «Non sempre restituiscono i dati e potrebbero anzi rilanciare l’offerta».
Tra i sistemi più sofisticati a cui ricorrere, vi sono quelli che utilizzano l’intelligenza artificiale per imparare dalla rete e dall’utente le abitudini. «Nel momento in cui si presenta un comportamento anomalo, come un download di dati a un orario diverso dal solito a soggetti non abilitati, il sistema blocca tutto e invia un alert all’IT, segnalando un’attività anomala». Generalmente gli hacker sfruttano quei momenti in cui è altamente probabile l’errore umano: «Per esempio il sabato e la domenica, quando non tutti i sistemi sono online e il tecnico è assente». Come è avvenuto a questo giro.

Iscriviti alla newsletter