Cybercrime e Cybersecurity, due mondi che si fronteggiano
I dati contenuti nel rapporto M-Trends 2018 di FireEye, riferiti a cybercrime e cyber-war, parlano chiaro e non sono per nulla rassicuranti: nella zona Emea, lo scorso anno, il tempo medio intercorso fra un attacco informatico andato a segno e la sua scoperta è stato di ben 175 giorni e, come si è rilevato, si tratta della “media del pollo”. Infatti, ci sono aziende (13% del panel analizzato) che riescono a reagire in tempi piuttosto rapidi a un attacco informatico da parte di cybercriminali (da poche ore a una settima), ma al contempo esiste una stessa percentuale di aziende che hanno avuto bisogno di oltre 1.000 giorni di tempo per rilevare un’intrusione informatica. In un lasso di tempo così lungo, è sicuramente superfluo ricordare la quantità di danni che le aziende possono subire, dal furto di proprietà intellettuali a infezioni di massa. Per non parlare dell'imminente entrata in vigore del Gdpr.
Tra le informazioni più rilevanti emerse da M-Trends, spicca il fatto che è il settore finanziario a essere quello maggiormente colpito. Nel 2017, il 24% delle investigazioni effettuate da Mandiant (società di FireEye) nell’area Emea hanno coinvolto organizzazioni del settore finanziario. Questo ha fatto del settore finanziario quello più colpito davanti al settore governativo, con il 18%. I servizi professionali alle aziende sono stati il terzo settore più colpito con il 12% delle investigazioni.
Il cyber come campo di battaglia
Il cyber crime, negli ultimi anni è molto cambiato ed è in continua evoluzione. Il mondo hacker non si compone più di singoli o piccoli gruppetti di nerd che si accontentano di violare siti dichiarati inespugnabili, ma si compone di veri e propri gruppi organizzati con team estremamente qualificati, ognuno dei quali tende a specializzarsi verso uno o più insiemi di bersagli, con scopi a volte economici, a volte politici.
Nel rapporto M-Trends 2018 emerge inoltre la figura di “Stato sponsor” del Cybercrime. Stato che si accorda direttamente con gruppi di hacker per attaccare paesi nemici, intervenendo con obiettivi politico-militari laddove possibile, con malware o sistemi altamente sofisticati, a riprova del livello di importanza che oggi riveste la “guerra” informatica. Ma anche Stato che si accorda con gruppi di Cybercriminali per attaccare comparti industriali di stati nemici, per aggirare politiche protezionistiche, rubare brevetti, mettere in difficoltà finanziariamente interi mercati, etc. Insomma, condurre una vera e propria guerra economica senza mai uscire allo scoperto e rischiare sanzioni.
Oggi non esistono regole di ingaggio informatiche: se uno Stato sovrano avviasse azioni militari ostili verso un altro Stato, la reazione sarebbe immediata dato che ogni forma di attacco, sia aereo, marittimo o terrestre, è ampiamente codificato e causerebbe anche dalla comunità di Stati meccanismi sanzionatori. Il terreno informatico, invece, a oggi non ha questi limiti nemmeno a livello legislativo; sebbene tutti sappiano quale Stato sia direttamente sponsor di un determinato gruppo di hacker, la reazione è virtualmente nulla.
Alla ricerca di competenze mirate
All’atto pratico, guerre informatiche avvengono continuamente (Iran e Cina per citarne alcune), molto spesso senza che l’opinione pubblica ne sappia qualcosa e il Report M-Trend sottolinea che le modalità sono così variabili che bisogna mettere in capo sempre nuove competenze e personale specializzato per riuscire a contrastarle. E questo personale, al momento, scarseggia.
Reperire personale con skill sempre nuove e aggiornate è uno dei problemi della Cyber sicurezza. Manca il personale specializzato per soddisfare tutte le richieste delle aziende. Si è rilevato che lo scorso anno solo negli Usa sono state oltre 250.000 le richieste di personale specializzato nella sicurezza informatica e che pochissime di queste siano state soddisfatte.
Oggi più che mai la percezione di essere potenziali bersagli di attacchi da parte di hacker si sta diffondendo a tutti i livelli, e anche società di piccole dimensioni stanno facendo i conti con una realtà che hanno ignorato o hanno tentato di ignorare fino ad oggi, ossia che tutte le aziende sono “esposte ad attacchi di cybercrime”, non solo quelli più grandi. Oggi il punto non è più “se ti attaccheranno”, ma “quando” e “non farsi trovare impreparati”.
Prevenzione e tempestività di intervento
L’indagine condotta da FireEye ha rilevato che il 44% delle aziende ha scoperto di essere stata vittima di un attacco informatico solo dopo l’ispezione da parte di un consulente esterno. E che spesso le aziende sono vittime di attacchi informatici ripetuti e successivi, con modalità del tutto diverse e nuove. Come dire che una volta individuato il bersaglio, un ladro o bande di ladri cercano di entrare a ripetizione dalla finestra, dalla porta e dal condotto dell’aria e magari sfondando il muro del vicino di casa che confina per rubare soldi, gioielli o documenti riservati. Senza un attimo di tregua. Fino a quando non decidono di colpire un nuovo bersaglio.
Ad ogni livello si inizia a considerare il budget destinato alla sicurezza informatica non più come costo necessario, ma come investimento fondamentale per la continuità e salvaguardia del proprio business. Per questo sono sempre di più i responsabili della sicurezza informatica che si relazionano direttamente con il board della società, mentre fino a poco tempo fa sarebbe sicuramente stato attraverso il responsabile informatico aziendale.
Prevenire e contrastare gli attacchi informatici è diventato quindi fondamentale. Come fondamentale è accorgersi per tempo di essere sotto attacco per ripristinare il business ed essere in grado di studiare sempre nuove attività per contrastare gli attacchi.