HR&Organizzazione – Gli attacchi informatici ESISTONO DAVVERO?

di Andrea Merati, Consulente Sistemi di Gestione Aziendali

Sono trascorsi svariati giorni tra quello che è stato chiamato attacco informatico, che ha bloccato i sistemi della regione Lazio, e il ripristino dei servizi essenziali, come mai? La risposta è facile ma preoccupante: non era disponibile un backup per il ripristino delle informazioni (che il supposto attaccante aveva cifrato per renderle inutilizzabili), tutto ciò perché i backup risultavano a loro volta cifrati o cancellati. Poi, dopo un po’, ne hanno trovato uno, non si è capito dove, ma tutti ci hanno assicurato che possiamo stare tranquilli: non è stato pagato il riscatto richiesto.

I veicolanti delle notizie per buona parte hanno fatto un lavoro pessimo, raccontando male cosa era successo (mi chiedo sempre perché non si informano meglio, sarebbe come se io non studiassi le nuove tecnologie, sarei una tegola, non un professionista). Si è trattato di un triplo errore umano, uno personale e due collettivi. Il primo è quello di un impiegato in smart working cascato bellamente in una truffa informatica, permettendo l’attivazione di un Ransonware, che alla fine è un mediocre programma che rende inutilizzabili i dati che trova, criptandoli e proteggendoli con una password che sa solo chi l’ha creata, per sbloccarli bisogna pagare un riscatto (ranson), oppure ripristinare i sistemi e i dati dal backup. Il secondo errore, il primo dei due collettivi, è quello dei dirigenti di tutti i settori coinvolti nel pensiero (parola enorme che andrebbe studiata già alle medie) di come implementare il lavoro a distanza e la sicurezza informatica, in generale. L’ultimo errore, solo per il mio ordine di scrittura, è quello del gruppo eterogeneo di quelli che in tempi precedenti, a vario titolo e per diverso mestiere, dicevano “ma cosa vuoi che succeda, qui è tutto a posto”, sono gli Ottimisti Assoluti che han fatto combutta con I Saccenti della Superbia e hanno alimentato il mostro.

Altri diffusori di comunicazione non sono riusciti a stare lontani dalla narrazione dell’attacco (anche qui mi domando perché tutti nella stessa direzione, come ovini, se io facessi le stesse cose degli altri professionisti sarei inutile come una tegola in un giardino). Raccontiamoci una storia, che lo storytelling è di moda. Il Signor Aroldo va in vacanza lasciando la porta di casa spalancata, pensando che tanto c’è l’allarme attivato, il custode condominiale e il cancello con la videosorveglianza; dopo qualche giorno passa davanti al cancello un giovane veloce di gambe, che si intrufola mentre si sta chiudendo, dopo l’ingresso della Signora Bice; il custode ha messo il cartello “sono in cortile” e il nostro lesto giovane può girovagare per i piani. Quando arriva davanti alla porta aperta del Signor Aroldo entra e gli incatena la TV al frigo, con una chiusura a combinazione e, mentre l’allarme suona, se ne va.

Il signor Aroldo torna immediatamente dalla villeggiatura, si accorge di non poter accedere alle sue vivande e neppure svagarsi con gli spettacoli televisivi, denuncia il fatto e, insieme ai carabinieri, visiona le telecamere di sicurezza: nessuno sa riconoscere chi possa essere lo spedito giovane che entra appresso alla Signora Bice. Mentre il terzetto osserva il filmato, il giovane celere invia una mail al Signor Aroldo chiedendo mille euro in Bitcoin, così da ottenere la combinazione per liberare gli elettrodomestici. Il Signor Aroldo, ci pensa un paio di minuti, invita i carabinieri a occuparsi d’altro e paga, per la liberazione dei cibi prelibati e dei suoi programmi preferiti: l’intervento di un fabbro sarebbe molto disagevole e costoso, meglio risolvere tutto da sé.

Lo chiamereste attacco quello subito dal Signor Aroldo?

I crimini informatici assomigliano tanto alla mia storiella: sistemi poco sicuri, supponenza ingiustificata, dabbenaggine operativa, scarsità di informazione, studio e formazione. Un criminale informatico difficilmente attacca (se non per scopi precisi e con intenti spesso distruttivi o politici, piuttosto che economici), più facilmente sfrutta gli errori e le sviste: vengono lanciati ami (Phishing) per agganciare debolezze umane o di competenza, si cercano porte lasciate aperte nei sistemi di sicurezza informatica per inserire programmi (Trojan), in entrambi i casi per impadronirsi di qualcosa che, per la restituzione, richiede il pagamento di un riscatto.

Non scrivo contro la regione Lazio, vivo in Lombardia, dove i sistemi si fermano già per il caldo (14 agosto 2021, per chi non c’era), ma per muovere consapevolezze: è necessario investire tempo e qualche soldo in competenza e formazione, prima di tutto, poi anche in tecnologia; è importante capire cosa significa avere computer in giro per le case dei dipendenti o l’importanza di un backup e della sua protezione. Se può servire ho anche qualche dato.

Nel 2021 i pagamenti effettuati a fronte di crimini informatici hanno visto un aumento dell’82% rispetto all’anno precedente che a sua volta aveva subito un aumento del 171% rispetto al 2019 (i dati provengono dal team di ricerca Unit 42 di Palo Alto Networks). Uno dei delitti più noti ha colpito la società informatica Kaseya, a cui erano stati inizialmente chiesti l’equivalente di 70 milioni di dollari in Bitcoin, poi scesi a 50 milioni di dollari; l’ultimo pagamento confermato per un attacco Ransomware è stato invece è di 11 milioni di dollari, da parte di JBS Foods; l’Italia è quarta, poco sotto Regno Unito, Francia e Germania, per danni da Ransomware nell’ultimo anno, gli ultimi casi che ho incontrato sono quelli di Accenture ed Erg. Ma il problema maggiore è nelle piccole e medie realtà, dove la debolezza tecnica e formativa è più profonda, i settori frequentemente presi di mira sono il manifatturiero, i servizi legali e professionali e l’industria ingegneristica; qui si preferisce pagare per incompetenza o per necessità di ripartire velocemente, a volte non si pongono neanche rimedi seri, lasciando aperta la possibilità di nuovi danni. In questo modo il Dottor Aroldo (è così che lo chiamano in studio) può goffamente lagnarsi: “Ma ce l’hanno sempre con me?”

Sipario, Road to Nowhere dei Talking Heads (And we know what we want / And the future is certain / Give us time to work it out – E sappiamo ciò che vogliamo / e il futuro è certo / dateci il tempo di lavorarci).

 

Preleva l’articolo completo in pdf