La giornata del 5 febbraio 2023 è stata contraddistinta da un rilevante attacco hacker che ha coinvolto almeno 19 server italiani sparsi in tutto il Paese, con una lieve prevalenza nel Centro e nel Sud, e intestati a società per lo più medie e piccole, e poco note. Un’escalation inevitabile difficile da controllare. In questo articolo vediamo cosa è successo e come difendersi dagli attacchi informatici.
Nell'articolo
Attacco hacker: cosa è successo il 5 febbraio 2023
Si è trattato di una massiccia offensiva di gruppi di hackers ben organizzati. Un attacco così detto ransomware, quello cioè in grado di bloccare le reti in modo tale da renderle inaccessibili (e inaccessibili possono essere anche importanti quantità di dati).
Tale tipologia di attacco piuttosto diffusa negli ultimi tempi è contraddistinta dall’utilizzo di un programma che, una volta installato in un sistema, lo rende inaccessibile al legittimo proprietario. Per potervi riaccedere, chi subisce un attacco deve pagare agli hacker un riscatto. In questo caso i criminali informatici hanno dato tre giorni di tempo per pagare un riscatto di 2 bitcoin, circa 42mila euro.
Attacco informatico: quale è stato il problema
Il problema è che la vulnerabilità era già nota ed era stata trattata dal nostro CSIRT nell’alert AL03/210224/CSIRT-ITA. Sulla relativa campagna il Computer Emergency Response Team Francese (CERT-FR) aveva pubblicato un security advisory. Purtroppo, come spesso accade, molti enti non hanno aggiornato i sistemi.
Proprio in considerazione di quanto accaduto qualche giorno fa dobbiamo essere consapevoli del fatto che attacchi simili si ripeteranno senz’altro con altre caratteristiche, con altre vittime, con altre tecniche. Tuttavia l’effetto sarà sempre quello di creare grossi rischi per la funzionalità dei nostri sistemi informatici e per l’integrità dei nostri dati personali.
Attacco hacker ed importanza della sicurezza informatica
La realtà è che va finalmente compreso che il tema della sicurezza informatica riveste un’importanza fondamentale perché necessaria per garantire la disponibilità, l’integrità e la riservatezza delle informazioni del Sistema informativo.
Un’area tecnologica in continua evoluzione, quasi giornaliera, nella quale gli investimenti devono essere rafforzati in continuazione tenendo conto anche dei principi di privacy previsti dall’ordinamento giuridico.
Attacco hacker: i pericoli della minaccia cibernetica
Negli ultimi anni il numero complessivo di attacchi e di incidenti legati alla sicurezza informatica, specialmente nella PA, è aumentato in modo esponenziale. Tutti gli studi e le ricerche che analizzano e studiano questi fenomeni sono concordi nell’affermare una preoccupante tendenza alla crescita.
I pericoli legati alle minacce cibernetiche sono particolarmente gravi per due ordini di motivi:
– Il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati.
– Il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.
La combinazione di questi due fattori fa sì che pur tenendo nella massima considerazione le difese tradizionali, quali gli antivirus e la difesa perimetrale, diventa fondamentale porre l’accento sulle misure rivolte ad assicurare che le attività degli utenti rimangano sempre all’interno dei limiti previsti.
Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.
Attacco informatico: come difendersi
Naturalmente le misure preventive, destinate ad impedire il successo dell’attacco, devono essere affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi pericolosamente lunghi, che intercorrono dal momento in cui l’attacco primario è avvenuto e quello in cui le conseguenze vengono scoperte.
Rilevazione delle anomalie per prevenire l’attacco hacker
In questo quadro diviene fondamentale la rilevazione delle anomalie operative e ciò rende conto dell’importanza data agli inventari dei dispositivi e dei software, che costituiscono le prime due classi di misure, nonché la protezione della configurazione (di hardware e software), che è quella immediatamente successiva.
Analisi delle vulnerabilità
La quarta classe deve la sua priorità alla duplice rilevanza dell’analisi delle vulnerabilità.
In primo luogo le vulnerabilità sono l’elemento essenziale per la scalata ai privilegi che è condizione determinante per il successo dell’attacco; pertanto la loro eliminazione è la misura di prevenzione più efficace.
Secondariamente si deve considerare che l’analisi dei sistemi è il momento in cui è più facile rilevare le alterazioni eventualmente intervenute e rilevare un attacco in corso.
Gestione degli utenti
La quinta classe è rivolta alla gestione degli utenti, in particolare con riferimento all’attività degli amministratorie ad un uso appropriato dei relativi privilegi.
Difese contro i malware
La sesta classe, rappresentata dalle difese contro i malware, deve la sua considerazione al fatto che anche gli attacchi complessi prevedono in qualche fase l’installazione di codice malevolo e la sua individuazione può impedirne il successo o rilevarne la presenza.
Copie di sicurezza
Le copie di sicurezza, settima classe, sono alla fine dei conti l’unico strumento che garantisce il ripristino dopo un incidente.
Protezione dei dati per contrastare l’obiettivo dell’attacco hacker
L’ultima classe, la Protezione dei Dati, deve la sua presenza alla considerazione che l’obiettivo principale degli attacchi più gravi è la sottrazione di informazioni.
Nell’ottica del Regolamento Europeo n. 2016/679 sulla protezione dei dati (GDPR) il concetto di sicurezza informatica ha assunto un significato più attuale alla luce anche dei sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno.
Nel GDPR un chiaro riferimento alle misure di sicurezza già si trova nell’art. 24 quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).
Mentre, più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento.
Titolare e responsabile del trattamento: le misure tecniche ed organizzative
Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La pseudonimizzazione: un particolare trattamento dei dati
In particolare, quindi, si pone l’accento sulla pseudonimizzazione intesa come un particolare trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
La crittografia
La crittografia, invece, è una scienza matematica avente il fine di costruire un sistema in grado di cifrare un testo, così da impedirne la lettura a soggetti diversi dal mittente e dal destinatario, con un elevato livello di attendibilità. Semplificando, si può affermare che i due processi principali applicati alla crittografia si distinguono in “cifratura” e “codifica”.
La resilienza dei sistemi informativi
Inoltre per la prima volta si parla di resilienza dei sistemi informatici intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.
Il Disaster recovery
Notevole rilevanza viene attribuita dal legislatore comunitario anche al disaster recovery, per cui diventa fondamentale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi di inoperatività del sistema EDP (informatico) e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.
Cyber risk e nuovi reati informatici
L’avvento della rete e la sua conseguente evoluzione, si pensi al web 2.0 (ma ormai già si parla di web 3.0) se da un lato ha sicuramente migliorato la nostra qualità della vita in termini di servizi, utilità, comodità, ecc. dall’altro ha inevitabilmente determinato un innalzamento di livello del c.d. cyber risk con una maggiore diffusione di reati comuni che sfruttano lo strumento informatico e la nascita di nuovi reati e nuove insidie che hanno nell’informatica e la telematica la loro genesi.
Nella maggior parte dei casi abbiamo i cosiddetti programmi “VIRUS”, destinati ad alterare od impedire il funzionamento dei sistemi (la rete ha determinato un proliferare di particolari virus menzionati in precedenza).
Le truffe informatiche
Ma vi sono anche le truffe informatiche che vanno dai banali casi di phishing a tipologie di frode molto più complesse. Ed ancora la pedopornografia, il cyberbullismo, i ricatti a sfondo sessuale derivanti da videochat on line, mettono sempre di più in pericolo la nostra tranquillità di utenti della Rete e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese.
Naturalmente per evitare attacchi informatici, o almeno per limitarne le conseguenze, è necessario adottare delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile.
Il modo per proteggersi è imparare a riconoscere le origini del rischio. Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, antispyware, blocco popup, firewall ecc., ma tuttavia non sempre si rivelano efficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l’inconsapevole complicità degli stessi utenti.
Per saperne di più consulta il volume di EPC Editore
Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II. Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore
