Al giorno d’oggi, anche i bambini sembrano conoscere la parola “ransomware”: la si trova su giornali, riviste, report di sicurezza informatica, praticamente ovunque e con allarmante regolarità. Avremmo potuto indicare il 2016 come l’Anno dei ransomware, ma si è rivelato essere nulla in confronto al 2017. Dopo un 2018 e un 2019 relativamente tranquilli, nel 2020 i ransomware sono tornati a fare notizia.
Il nostro blog aziendale contiene decine di articoli sui ransomware, e quasi tutti offrono tre pratici consigli:
- Utilizzate una buona soluzione di sicurezza;
- Non scaricate mai file sospetti da siti sconosciuti o non aprite allegati pericolosi nelle e-mail, e insegnate ai vostri dipendenti a fare lo stesso;
- Eseguite regolarmente il backup dei dati.
Di tanto in tanto, sentiamo obiezioni della seguente natura: la protezione e la consapevolezza dei dipendenti sono importanti, ma perché preoccuparsi di rafforzare la protezione e la formazione dei dipendenti quando possiamo semplicemente eseguire il backup di tutto? Facciamo sempre il backup comunque e, se veniamo colpiti da un ransomware, ripristiniamo tutto, quindi qual è il problema?
Ecco il problema.
I backup devono essere recuperabili facilmente
I backup, ovviamente, sono necessari. Ma avete mai provato a ripristinare l’infrastruttura della vostra azienda a partire da un backup? Potrebbe non essere così facile come sembra, e più i computer e le infrastrutture sono eterogenei, più il compito diventa difficile. Tutti i professionisti IT probabilmente si sono ritrovati di fronte un backup dove non era possibile ripristinare tutto, o non come ci si aspettasse. Il processo non è certamente mai così veloce come si spera. E a volte i backup non funzionano affatto.
Chiunque abbia mai avuto a che fare con i backup, sa di dover controllare regolarmente la loro integrità, di dover fare un po’ di pratica eseguendo il ripristino del server in un ambiente di staging e, in generale, di fare in modo che, se necessario, il ripristino non richieda troppo tempo. E chi non ha mai provato a eseguire il ripristino dell’attività a partire da un backup non dovrebbe stare tranquillo: è abbastanza probabile che i backup non aiutino quando il danno ormai è fatto.
Ecco un altro problema nel fare affidamento su un backup: se il server di backup si trova all’interno del perimetro della rete, allora il ransomware lo cifrerà insieme a tutti gli altri computer della rete, il che significa: addio ai piani di ripristino.
Obiettivo finale: massimizzare la probabilità di un ripristino rapido segmentando la rete, eseguendo i backup in modo saggio ed effettuando dei test di recupero.
Recupero = interruzione dell’attività, e i tempi di inattività sono costosi
Per le grandi aziende con diversi dispositivi e infrastrutture, è improbabile che il ripristino avvenga in tempi rapidi. Anche se il backup funziona perfettamente, e ci si rimbocca le maniche per ripristinare il tutto, sarà comunque necessario un bel po’ di tempo.
Durante le settimane di lavoro per il ripristino (sì, probabilmente stiamo parlando di settimane, non di giorni), l’azienda sarà inattiva. Qualcuno ipotizzerà che il costo di tali tempi di inattività sarà inferiore a quanto richiesto dagli estorsori (non pensate mai di pagare il riscatto, lo sconsigliamo vivamente). In ogni caso, i tempi di inattività dopo un attacco ransomware sono inevitabili; è impossibile decifrare e far ripartire subito tutti i sistemi e i servizi, anche se i criminali informatici sono così gentili da fornirvi un decryptor. Nel mondo reale, i cybercriminali non sono così educati, e anche se lo fossero, il decryptor potrebbe non funzionare come previsto.
Obiettivo finale: per evitare i tempi di inattività legati ai ransomware, non fatevi infettare (Come? La risposta è nella protezione e nella consapevolezza dei dipendenti).
I ransomware moderni non sono semplici encryptor
I ransomware un tempo si rivolgevano principalmente agli utenti privati, chiedendo a cambio circa 300 dollari in criptomonete. Ora, però, i cybercriminali hanno scoperto i vantaggi di attaccare le aziende, che possono pagare (ed è più probabile che paghino) riscatti molto più ingenti. E alcuni cybercriminali non si fanno scrupoli nel dare la caccia alle organizzazioni in prima linea in campo medico: quest’anno sono stati attaccati molti ospedali e, di recente, è stata colpita un’azienda della supply chain del vaccino contro il coronavirus.
Il moderno ransomware non si limita a cifrare, ma si annida nelle reti e sottrae ogni bit di dati che riesce a fiutare. I dati vengono poi analizzati e utilizzati per ricattare le aziende con dati cifrati, fughe di informazioni o entrambi. Il mancato pagamento, si evince dal messaggio di ricatto, porterà alla pubblicazione dei dati personali dei clienti o dei segreti commerciali dell’azienda. Anche se non si tratta di un colpo fatale, macchierebbe la reputazione dell’azienda, forse in modo permanente. Inoltre, una fuga di dati di questo genere porterà a una chiacchierata molto sgradevole con i regolatori del GDPR e organismi simili per la protezione dei dati.
Se un intruso decide di divulgare segreti aziendali o dati personali degli utenti, i backup non vi salveranno. Inoltre, se si memorizzano i backup in un luogo, come sul cloud, che è relativamente facile da raggiungere da parte di un insider, quest’ultimo potrebbe fornire ai cybercriminali le informazioni necessarie per ricattarvi.
Obiettivo finale: i backup sono necessari, ma da soli non sono sufficienti a proteggere la vostra azienda dai ransomware.
I tre pilastri per difendervi dai ransomware
Ancora una volta, poiché non esiste un soluzione a prova di bomba per respingere i rasomware, il nostro consiglio rimane lo stesso: il backup è assolutamente necessario, ma deve essere fatto correttamente, con diligenza e prove di recupero. Parte di tale diligenza implica conoscere i dettagli dei vostri backup: con quanta frequenza la vostra azienda esegue il backup dei dati e dove vengono custoditi. Tutti i dipendenti interessati devono anche sapere esattamente come riavviare rapidamente le operazioni.
Anche la protezione è d’obbligo, non solo reattiva, ma anche proattiva, che impedirà alle minacce di farsi strada nella rete. La formazione dei dipendenti sulle basi della sicurezza informatica e il controllo regolare delle loro conoscenze è altrettanto importante.
In breve, la vostra sicurezza è racchiusa in queste tre parole: backup, protezione, consapevolezza. Tutte e tre devono essere sempre presenti e, se lo sono, potete dire con certezza che state portando avanti una strategia di sicurezza anti-ransomware ottimale.