Cyber risk e Cyber security: Case History

(Ipsoa) – L’azienda Alfa è vittima di un attacco attraverso il Cryptolocker, una delle versioni più recenti e diffuse di ransomware capace di propagarsi attraverso le connessioni in maniera molto rapida e criptare i file relativi a dati di clienti dell’azienda presenti sul device e sulle cartelle di rete. L’attacco è partito dall’apertura, da parte dello smart worker Tizio, di un allegato ad una mail contenente il Cryptolocker. Il virus ha immediatamente attaccato il pc del dipendente, spostandosi successivamente sulle cartelle del server connesso. Quali le contromisure?

È ormai assodato e riconosciuto apertamente che, di pari passo con il vertiginoso progresso tecnologico, si accrescano anche i rischi connessi alle nuove possibilità da esso prospettate.

Non è un caso che si parli ormai da tempo di “Cyber risk” come concreta criticità che interessa, in differente gradazione, tutti coloro che hanno a che fare quotidianamente con la tecnologia, e della connessa questione della “Cyber security”, quale insieme di situazioni e strumenti da integrare e valorizzare per prevenire le insidie nascoste nel settore dell’Information Techology.

Quello lavorativo rappresenta sicuramente uno degli ambiti in cui è più diffusa ed immediata la possibilità di apprezzare la portata di tali fenomeni, ed in cui si sta gradualmente affermando una presa di coscienza della “Cyber security” quale asset da sviluppare e utile risorsa – anche commerciale – per le imprese. I risvolti della sicurezza informatica, tuttavia, non si esauriscono in una proiezione esterna della realtà aziendale, presentando un impatto evidente anche dal punto di vista interno. Come già ricordato, il sempre più frequente ricorso a strumenti informatici per rendere la prestazione lavorativa espone questa a costanti rischi. A ciò si aggiunga come la prestazione stessa abbia mutato i propri connotati nel corso del tempo, assumendo forme e vesti sempre più difficilmente riconducibili alle categorie “tradizionali” e i cui confini si fanno sempre meno definiti.

Lo smart working

Quest’ultima descrizione ben si attaglia alle ipotesi ricomprese nel c.d. smart working, un nuovo modo di concepire il mondo professionale e finalizzato a garantire flessibilità nelle attività lavorative e responsabilizzazione dei dipendenti. Le prerogative del “lavoro agile” impongono necessariamente valutazioni di Vulnerability and Risk Management differenziate rispetto a quelle normalmente effettuate.

Alla luce della “perdita di contatto” connaturata allo smart working e all’incremento di soluzioni di “Bring Your Own Device” e di “Mobile Device Management”, va da sé che il primo baluardo contro il rischio di breach è sicuramente quello di predisporre un regolamento informatico il più dettagliato e completo possibile, comprensivo di tutte le concrete modalità attraverso cui presidiare la riservatezza della prestazione lavorativa, soprattutto per quanto attiene l’utilizzo degli strumenti aziendali.

Il caso

L’azienda Alfa è stata vittima di un attacco attraverso una delle versioni più recenti e diffuse di ransomware, il c.d. Cryptolocker, avente la capacità di propagarsi attraverso le connessioni in maniera molto rapida e criptare i file relativi a dati di clienti dell’azienda presenti sul device e sulle cartelle di rete connesse. A seguito della criptazione, viene richiesto un riscatto in denaroper ottenere il ripristino dei documenti in un formato leggibile. Nel caso di specie, l’attacco è scaturito a seguito della ricezione di una mail – proveniente da un indirizzo conosciuto – da parte del dipendente Tizio, operante dalla propria abitazione al momento dell’attacco. Tizio ha aperto l’allegato alla mail stessa, contenente il Cryptolocker. Il virus ha immediatamente attaccato il pc del dipendente, e tutti i file su di esso contenuti, spostandosi successivamente sulle cartelle del server connesso.

Tizio si è attivato telefonicamente per raggiungere la direzione IT aziendale, che ha riscontrato non poche difficoltà in ordine alla gestione “a distanza” del problema.

Una volta arginato il Cryptolocker, il pc di Tizio è risultato completamente compromesso, così come due server aziendali, oggetto di successivo ripristino.

Le contromisure

La problematica legata agli attacchi con ransomware, e in specie il Cryptolocker, consiste principalmente nella possibilità di approntare misure di contrasto adeguate: antivirus e firewall, solo per citare quelle più ricorrenti, risultano quasi del tutto inefficaci, alla luce dell’impossibilità di avere database sempre aggiornati rispetto ai predetti virus. In questo senso diviene fondamentale quindi investire su alcuni aspetti:

– Good practices da internalizzare nei processi aziendali, in tema di gestione degli strumenti informatici;

– La definizione di un regolamento informatico completo e puntuale;

– La formazione dei dipendenti in materia.

Nel caso esaminato, il fattore tempo è risultato fondamentale nel fronteggiare l’attacco, considerate le caratteristiche del Cryptolocker. Il fatto che il dipendente rendesse la prestazione lavorativa in una situazione di smart working, ha ingenerato un ritardo nell’affrontare il breach; in questo senso diventa fondamentale prevedere nelle procedure, nei regolamenti e in ambito formativo peculiari considerazioni inerenti proprio le attività rese in regime di lavoro agile.

La Cyber Insurance

L’impossibilità di una diretta gestione da parte di personale qualificato dell’attacco subito hanno incrementato i danni arrecati da quest’ultimo; di conseguenza, oltre a considerazioni in merito ai mezzi tecnici con cui dare risposte difensive immediate, è necessario valutare strumenti “di riparazione”. La garanzia offerta dallo strumento della Cyber Insurance risponde proprio a tale esigenze, in virtù delle caratteristiche intrinseche del momento assicurativo; in particolare, vengono così ad essere gestiti:

– I differenti livelli di responsabilità e le ipotesi coperte rispetto al breach; elemento non di poco rilievo, considerando quanto già affermato in relazione ai perimetri meno definiti assunti dalla prestazione professionale in ambito “Smart”

– I costi e le perdite conseguenti al breach stesso, che nel caso in esame hanno comportato anche costi immateriali di non poco conto, soprattutto sul versante del ripristino degli standard di reputazione aziendale.