Che succede? Attacchi, attacchi ovunque! Ma spesso la colpa non è dei clienti!

•  22 Ottobre 2021: San Carlo viene attaccata da una cyber-gang, parte dei dati vengono trafugati e pubblicati in rete a dimostrazione della violazione (carte di identità, dati di produzione, numeri di telefono, etc.). Viene chiesto un riscatto a scopo estorsivo. https://milano.repubblica.it/cronaca/2021/10/26/news/attacco_hacker_san_carlo_azienda_patatine_chiesto_riscatto_ransomware_gang_conti-323808439/

• 21 Ottobre 2021: SIAE viene attaccata, i dati (estremamente sensibili) di autori, cantanti e personale vengono trafugati e viene chiesto un riscatto di 3 milioni di euro. https://www.ilsole24ore.com/art/attacco-hacker-siae-esfiltrati-dati-chiesto-riscatto-AE5HBGr?refresh_ce=1
  

• 20 Ottobre 2021: L'IRAN subisce un attacco informatico che blocca le stazioni di rifornimento di carburante, bloccando di fatto l'intero paese. https://www.redhotcyber.com/post/l-iran-%C3%A8-a-secco-di-carburante-a-causa-di-un-attacco-informatico

Anche alla meno tecnica cronaca generalista certamente non è mancato di sottolineare l'attacco informatico a Regione Lazio, alla struttura sanitaria di San Giovanni Addolorata a Roma, a Luxottica e persino alla nota multinazionale informatica Accenture.

E nel nostro mondo più locale, personalmente in media ricevo un paio di telefonate a settimana di imprenditori che hanno prima sottovalutato il problema e poi si sono trovati ad essersi amaramente pentiti, con dati persi e quella sensazione di smarrimento che hai quando improvvisamente qualcosa che davi per scontato diventa (spesso) irrimediabilmente perduta.

Che succede? Succede che la consapevolezza che la sicurezza informatica sia un cardine delle attività produttive sta certamente aumentando, ma non sufficientemente. Ieri per l'ennesima volta sollecitavo una soluzione di backup in cloud ad una S.p.A. che non ne vuole proprio sapere di investire una quota irrisoria per un salvagente così importante.

Dal World Economic Forum la sicurezza informatica è stata inserita tra i principali rischi per l’economia globale. E' evidente: ci troviamo in un momento storico in cui non è più pensabile sottovalutare il problema, così come non è più pensabile lasciare la serranda e le porte di accesso alla propria azienda aperte di notte. 

 

Cari tecnici, spesso la colpa non è del cliente...

Va detto con estrema onestà intellettuale: ciò che è meno evidente è che non tutti gli operatori IT hanno la sensibilità e le competenze giuste per occuparsi di sicurezza. Così come un elettrauto non è solitamente in grado di riparare un paraurti ed un cardiologo non è un ortopedico, a prescindere da chi fa la parte gestionale o hardware, un supervisore della sicurezza delle infrastrutture IT potrà dare certamente un parere più specialistico e accurato per evitare errori spesso fatali (backup crittografabili, accessi lasciati aperti, permessi generosi, etc.). 

Nella stragrande maggioranza dei casi che mi trovo ad analizzare, l'incidente di sicurezza era estremamente evitabile e causato, perlopiù, da tecnici che mettono in atto pratiche francamente sconsiderate. In oltre vent'anni di esperienza, posso stilare un piccolo elenco di errori che spesso i tecnici (IT interni o aziende esterne) commettono in relazione alla sicurezza delle infrastrutture informatiche:

1. "comodità": "nnnah, devo fare un tunnel vpn per accedere al desktop remoto? Troppo impegno!"
2. "sottovalutazione": "non ho niente da nascondere! Che gliene importa dei miei dati!"
3. "ignoranza": "Tunnel chee? Io giro la 3389 e pace."
4. "errore umano": Questo caso è più raro, ma accade. Apro una porta sul firewall che mi serviva per testare qualcosa, la lascio aperta e dopo qualche mese diventa un ricettacolo di attacchi. Motivo per cui quando i miei tecnici installano un firewall, un primo tecnico lo installa e configura ed un secondo tecnico fa "pelo e contropelo" alla configurazione del primo. E randomicamente i firewall vengono ricontrollati da cima a fondo.
   
5. "sottomissione al cliente": "io ho proposto di avviare un Tunnel VPN... ma il cliente non vuole sapere di fare un click in più!".
   

E su quest'ultimo punto davvero ci sarebbe da scrivere un libro... Vuoi la sicurezza? Allora gioco mio e regole mie. Se invece il cliente proprio non ne vuole sapere di adottare delle pratiche corrette, mi permetto di suggerire un piccolo trucco che funziona sempre: vuoi la comodità e fare di testa tua? Allora mi firmi una liberatoria con assunzione di responsabilità. Non la firma nessuno.

Sulla sicurezza non si scherza. Andiamo sempre più verso un mondo informaticamente duro, complesso ed ostile. Facciamocene una ragione. Gli sforzi fatti oggi, vengono spesso premiati in futuro con uno sterile stato di "non succede niente". Agli occhi dei meno attenti "tutto funziona" è poca cosa, agli occhi di un esperto di sicurezza è certamente la soddisfazione più grande. Apprezziamo il "non succede niente"!

 

 

Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione, anche parziale, è vietata salvo autorizzazione.