Chiara Ponti degli Idraulici della privacy mi ha chiesto qualche riflessione
in merito ai recenti (e meno recenti) attacchi ransomware. Lei era partita
da un articolo oggettivamente superficiale e quindi non lo cito.
Intanto dobbiamo distinguere due tipi di attacchi: quello ransomware mirato
direttamente alla vittima e gli attacchi sulla filiera di fornitura o
"supply chain". Questi ultimi prevedono di attaccare un fornitore in modo
poi da usarlo come "ponte" per colpire altre vittime. In questo caso, il
fornitore è stato attaccato per impiantare ransomware presso le vittime.
Per il ransom qualcosa l'avevo già scritta
(http://blog.cesaregallotti.it/2021/05/attacco-colonial-pipeline.html), ma
vorrei ribadire che la prima regola è quella di segregare le reti, oltre a
fare backup e aggiornare i sistemi. Tutto questo richiede molti investimenti
e non è sempre fattibile (per esempio, se i software possono essere
compromessi dagli aggiornamenti di altri software). Inoltre difendersi da
questi attacchi è super difficile, soprattutto quando sono mirati. Basta
solo un errore e i danni sono altissimi.
Tutto richiede un'ulterore riflessione sulla spinta alla convergenza, sempre
più elevata. Pensiamo al fatto che vogliamo farci connettere la casa, i
sistemi di ufficio, la macchina, l'industria, i giochi elettronici e via
così. Tutti sulla stessa rete e basati su tre o quattro protocolli e sistemi
operativi. O si cambia tendenza o attacchi come quello alla Colonial
Pipeline saranno all'ordine del giorno. Recentemente si è anche avuto il
blocco dei POS di una catena di supermercati.
E' difficile, per il singolo, evitare la spinta alla convergenza, anche
perché questa permette, alle organizzazioni, di avere maggiori risparmi e
dati e, ai privati, maggiore comodità. Inoltre le stesse tecnologie sono
fatte per spingere alla convergenza; in particolare gli smartphone cercano
di far convergere su di loro ogni attività degli utenti. Eppure, solo una
certa separazione permetterà di ridurre i danni.
Per quanto riguarda gli attacchi alla filiera di fornitura, bisogna dire che
è difficile controllarla. Anzi: impossibile.
Purtroppo, da questo punto di vista, l'approccio che vedo imporsi è quello
sbagliato: documenti, analisi, registrazioni; non strumenti, formazione,
tecnologie. Gli auditor e le autorità di controllo spingono verso
investimenti sbagliati: un mio cliente ha dovuto assumere una persona (oltre
al mio supporto) solo per rispondere ai questionari privacy e "Sicurezza"
dei clienti. Tutta roba burocratica e spesso inutilmente dettagliata. Molti
suoi progetti di miglioramento tecnologico (presidio del patching, uso
dell'MDM, separazione netta tra sviluppatori e sistemisti).
Anche Renato Castroreale ha risposto a Chiara, dicendole: Questi attacchi
sono oggi un business, anche appoggiato da Stati come Russia e Stati Uniti
(Kaseya è utilizzato da Apple, dalle forze armate statunitensi, da molte
agenzie governative inclusa l'FBI che sta lavorando assiduamente con il
brand). La consapevolezza, l'attenzione e la voglia di investire fanno la
differenza. Ma nessuno può realmente essere al sicuro, mai ed in nessuna
condizione".
Renato aggiunge che la sua azienda è riuscita a resistitere all'attacco, e
dà il merito alla sua prontezza, ma anche alla fortuna e agli investimenti
fatti (chiedendosi quanti possono farli).
Ringrazio Chiara e Renato perché ci permettono di ricordare che la sicurezza
non si ottiene con uno schiocco delle dita o facili formulette.
Nessun commento:
Posta un commento