Nonostante l’attenzione crescente da parte di aziende e organizzazioni, il ransomware rimane la causa numero uno delle violazioni di dati e delle infezioni più diffuse. Dall’entrata in vigore del GDPR, cosa sta cambiando in termini di prevenzione e risposta al fenomeno?

A volte ritornano? I ransomware non se ne sono mai andati. Come la gramigna, non solo è difficile da estirpare, ma cresce molto in fretta. Ricordate WannaCry? Sophos ha dichiarato di aver bloccato più di quattro milioni di tentativi di attacco, provenienti da computer infetti, nel solo mese di agosto di quest’anno. Stima inoltre che siano più 12mila le varianti in circolazione. La cosa interessante è che tra tutti i campioni di codice analizzati, quello originario è stato individuato solo in quaranta casi. Fatto, che spinge a ritenere che si tratti di test condotti da qualcuno e non di attacchi veri e propri. Come il “mammasantissima” dei ransomware, anche i suoi epigoni continuano a propagarsi indisturbati. Secondo Sophos, i PC Windows in rete con sistemi operativi non aggiornati sono ancora tanti, come quando l’infezione più di due anni fa iniziò a propagarsi. Inoltre, questa vulnerabilità espone le macchine anche a tutta una serie di minacce che sfruttano EternalBlue, il tool sviluppato dallo spionaggio USA, all’origine del contagio. Indipendentemente dalle ragioni dei mancati aggiornamenti, il numero di persone che pagano per ritornare in possesso dei loro dati continua a essere elevato. Come dimostrano i numerosi account bitcoin connessi agli attacchi tuttora in attività. Anche se non sono molti quelli che cedono al ricatto, la loro rimane una scommessa rischiosa e garanzie di vedersi restituiti i dati non ce ne sono.

Negli USA, dove dal 2013 più di 170 municipalità sono state colpite da attacchi ransomware, i sindaci di 300 comuni, stanchi di queste continue estorsioni, si sono coalizzati in una campagna di sensibilizzazione per non cedere al ricatto. In Italia, il fenomeno è più circoscritto. Ma non sconosciuto. Anche perché difficilmente gli amministratori di enti pubblici possono cedere a una richiesta di riscatto. Di recente, la Provincia di Caserta è stata vittima di un attacco ransomware. Detto questo, serpeggia la convinzione che sia meglio pagare anziché incappare nelle sanzioni previste dal GDPR. Il tetto fissato al 4% del fatturato dell’azienda per determinare l’entità della sanzione sarebbe l’asticella di riferimento per determinare l’entità del riscatto. Una forchetta in realtà stimata tra dieci e 20mila euro.

GDPR E RANSOMWARE

Non c’è un’unica misura di protezione buona per tutte le stagioni. Gli attacchi informatici che sfruttano la potenza dei ransomware sono la causa più frequente di perdita di dati. Secondo i dati di Kaspersky, nel secondo trimestre del 2019, gli attacchi hanno registrato un aumento del 46% rispetto allo stesso periodo. Anche i vettori di attacco si evolvono di conseguenza. «Nell’orchestrazione di attacchi sempre più sofisticati è plausibile che gli attaccanti si avvalgano di tutte le tecnologie a disposizione, compresi gli algoritmi di machine learning. Soprattutto, quando possono disporre di grandi volumi di dati e informazioni» – afferma Giancarlo Vercellino, associate director research & consulting di IDC Italy. Un esempio è il crypto-ransomware denominato Sodin, in grado di sfruttare una vulnerabilità zero-day di Windows per ottenere privilegi speciali all’interno di un sistema infetto e approfittare dell’architettura della CPU per evitare di essere rilevato. «Un caso particolare proprio per i vettori di attacco usati» – ci dice Morten Lehn, general manager Italy di Kaspersky. «Di solito, un ransomware richiede una qualche forma di interazione con l’utente. I criminali che hanno progettato Sodin – invece – si sono limitati a cercare un server vulnerabile al quale inviare un comando per scaricare il file malevolo “radm.exe”. Approcci sofisticati di questo tipo sono anche più pericolosi, perché in grado di passare inosservati per qualche tempo». Dove si trovino le macchine più esposte, i ricercatori Kaspersky non lo dicono. Non sappiamo dunque quante rientrino nell’area di schermatura del GDPR. Ma non è azzardato ipotizzare una sostanziale omogeneità della loro distribuzione. Sappiamo però che il GDPR in tema di dati personali sensibili stabilisce che debbano essere difesi dalla perdita accidentale e dalla violazione da parte di terzi. «Un attacco ransomware può essere equiparato a una situazione in cui l’azienda colpita ha permesso il trattamento illegale o non autorizzato dei dati» – sintetizza Alessandro Fontana, head of sales di Trend Micro Italia. Perciò per chi tratta questo genere di informazioni, il GDPR ribadisce la necessità di mettere in campo misure adeguate di sicurezza a protezione dei dati. Come la crittografia oppure il classico backup dei dati. Protezioni che, se ben configurate, alzano una barriera contro i criminali informatici. Anche quelli che sono riusciti ad accedere alle informazioni presenti nei sistemi dell’azienda.

AMBITI E GRADI DI PROTEZIONE

Ogni misura di sicurezza ha differenti ambiti di applicazione e presenta gradi diversi di protezione. Mantenere separate una serie di informazioni – da una parte quelle sensibili come nome, cognome, codice fiscale o email – e dall’altra un codice segreto per riunirle quando serve (pseudonimizzazione) – potrebbe rivelarsi molto utile per un’azienda sanitaria. Oppure – da una parte un archivio in cui sono presenti le cartelle cliniche dei pazienti, identificate tramite un codice interno, per esempio una sequenza di caratteri senza significato che permetta di pescare i dati – e dall’altra un secondo archivio dove sono memorizzati i dati associati allo stesso codice. Serviranno però misure di protezione a tutela di entrambi gli archivi e questo complicherà un po’ le cose.

Leggi anche:  Forcepoint inaugura il Cyber Experience Center a Boston

Un’unica soluzione spesso non basta per coprire tutte le esigenze. Con l’anonimizzazione – per esempio grazie all’utilizzo di un hash, un algoritmo di cifratura irreversibile – anche possedendo le chiavi di codifica, non sarà possibile ritornare al dato originale. Al massimo, si può tentare una attacco brute-force, utilizzando un tool in grado di provare tutte le chiavi esistenti. L’utilizzo di questa tecnica ha senso per informazioni che non debbano mai essere riconvertite o mostrate agli utenti, come nel caso di protezione delle credenziali di accesso. Se però ho bisogno di cifrare i dati, renderli cioè illeggibili a terzi, è meglio adottare soluzioni che utilizzano un algoritmo di codifica, per generare una sequenza di caratteri illeggibile finché non sarà applicato il corrispondente algoritmo di decodifica che permetterà di visualizzare il dato originale. Anche in questo caso bisognerà proteggere le chiavi di cifratura. Con questa misura di protezione in campo, il malintenzionato dovrà entrare in possesso delle chiavi di decodifica dei dati, oppure, come per l’anonimizzazione, utilizzare uno strumento informatico per provare tutte le chiavi esistenti. Essere vittima di un attacco non significa automaticamente essere sanzionati. L’importante è che il titolare del trattamento possa dimostrare che per la protezione dei dati personali, sono stati adottati una serie di comportamenti (adozione di misure di sicurezza coerenti e adeguate in relazione alla criticità dei dati trattati; utilizzo corretto delle misure di protezione scelte e verifica della loro corretta applicazione) che garantiscono un livello di sicurezza commisurato al rischio. Livello che le autorità di controllo dovranno stabilire.

CHE COSA FARE DOPO?

Non sempre è chiaro quali violazioni vanno notificate al Garante. Una violazione dei dati personali è tale “quando compromette la riservatezza, l’integrità o la disponibilità di dati personali” – così si legge sul sito del Garante. Il GDPR definisce come una violazione di sicurezza quella che comporta, accidentalmente o in modo illecito, “la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. La casistica è ormai molto ampia. È una violazione di sicurezza l’acquisizione di dati da parte di terzi non autorizzati. Per esempio, un cyber criminale che è riuscito ad accedere a un database aziendale. Ma è una violazione di sicurezza anche la perdita o il furto di una chiavetta USB fuori dal perimetro aziendale. Così come la perdita o la distruzione di dati personali a causa di eventi avversi, come un incendio o un terremoto che distruggano gli hard disk, interni ed esterni, presenti in azienda.

E siamo ancora nel campo delle violazioni in presenza di divulgazione non autorizzata dei dati personali, nel caso dell’invio di una email confidenziale inviata al destinatario sbagliato. È altresì una violazione, la deliberata alterazione di dati personali effettuata da un dipendente che, in malafede, decide di modificare i dati aziendali personali di un altro dipendente, dati ai quali ha accesso in ragione della propria mansione. Ed è naturalmente una violazione l’impossibilità di accedere ai dati per un attacco informatico, per esempio, un ransomware che ha cancellato tutti i dati presenti nel server di backup o li ha resi inutilizzabili. Non tutte queste violazioni di dati personali vanno però notificate. Il GDPR stabilisce che la notifica al Garante si rende necessaria unicamente per quelle che possono comportare un rischio per i diritti e le libertà degli individui, (causando danni fisici, materiali o immateriali). Come la perdita di controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione. Ogni evento che possa innescare un significativo svantaggio economico o sociale al diretto interessato va notificato.

VALUTAZIONE E NOTIFICA

«Se i dati compromessi non erano cifrati e c’è il dubbio che possano essere stati sottratti e alterati, è necessario dare comunicazione al Garante della Privacy» – spiega Valerio Rosano, country manager di ZyXEL Italia. La valutazione dell’entità del rischio è sempre una decisione delicata da prendere. Inoltre va presa in tempi stretti, meno di 72 ore dal momento in cui il titolare del trattamento ne è venuto a conoscenza. Come specifica il GDPR, le violazioni di dati personali che il titolare è obbligato a notificare ai diretti interessati sono unicamente quelle che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Quando cioè la violazione comporta un rischio elevato per i diritti delle persone. In questi casi, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. L’obbligo di notifica agli interessati risponde a una doppia esigenza: portare a conoscenza la violazione, e al tempo stesso, le misure che si rendono necessarie per tutelare i propri diritti e interessi.

Leggi anche:  Facebook chiamato a documentare le modalità operative dei giochi “free to play”

I casi in cui è sufficiente notificare al Garante e quando invece anche ai diretti interessanti è un aspetto su cui si fonda ancora qualche incertezza. «Se il ransomware rende irrecuperabili i dati legati a uno stakeholder – dipendente, cliente, partner commerciale, fornitore – e l’unica via per ripristinarli è reperirli dall’interessato, la comunicazione a quest’ultimo è implicita» – osserva Roberto Maglieri, cyber security engineer di NovaNext. «Se oltre alla cifratura, si sospetta anche il furto di quei dati, si ricade in una casistica già indirizzata dal GDPR e la comunicazione è d’obbligo. Se invece con le misure di sicurezza messe in atto, pre e post incidente, il dato viene recuperato e ne viene verificata l’integrità, la comunicazione all’interessato non è indispensabile».

Il GDPR prevede nel dettaglio anche le modalità e i contenuti che devono essere presenti nella notifica. «La notifica deve fornire una descrizione particolareggiata della natura del data breach. Inoltre, deve descrivere anche le conseguenze della violazione e le misure adottate, o che saranno adottate, per rimediare all’incidente» – sintetizza Carmen Palumbo, marketing manager Italy e regional marketing manager UK & Europe di F-Secure. Non solo. La comunicazione, redatta con un linguaggio semplice, in modo che anche i non specialisti possano capire la situazione, dovrebbe fornire – prescrive il regolamento – anche consigli e linee di comportamento per far sì che gli interessati possano tutelarsi nel migliore dei modi. Un punto questo su cui lo scorso maggio il garante per la privacy ha sentito la necessità di ritornare, intimando lo stop alle notifiche generiche. Nel provvedimento adottato nei confronti di Italiaonline, uno tra i principali fornitori nazionali di servizi di posta elettronica, il Garante ha ribadito che in caso di violazioni – in questo caso il furto delle credenziali di 1,4 milioni di account di posta dalle caselle di Libero Mail e Virgilio Mail – le comunicazioni agli utenti dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, in primo luogo il furto di identità.

COMPLIANCE E CONTROLLI

Anche quando la perdita di dati non comporta un rischio per i diritti e le libertà di terzi, il GDPR stabilisce ugualmente che il titolare debba essere in grado di spiegare le ragioni per cui tale rischio non sussiste. Ed è altresì tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro. In questo modo, l’Autorità in caso di accertamenti sarà in grado di valutare più agevolmente la conformità alla normativa. «L’aderenza alla compliance normativa si impronta sull’adeguatezza dei controlli e ne valuta l’efficacia» – spiega Andrea Ferrazzi, head of Security Competence Center & CISO di Maticmind. L’elencazione delle misure tecniche e organizzative che hanno mitigato il rischio assieme alla registrazione degli eventi di sicurezza consentiranno al titolare del trattamento di dimostrare all’Autorità di aver agito nel rispetto della normativa.

Per attivare le procedure di notifica in maniera agile, VM Sistemi insieme a Talea Consulting, società del gruppo, ha predisposto dei template che – «attivati da un SIEM consentono la compilazione semi-automatica e l’invio alle autorità e ai responsabili aziendali delle comunicazioni previste dal GDPR di eventuali data breach» – spiega Valerio Della Casa, ICT security manager di VM Sistemi. Tuttavia, sono ancora molti coloro che ritengono che – in caso di perdita dei dati, in conseguenza di un attacco ransomware – la sola presenza dell’antivirus sia sufficiente a scagionare l’azienda dalle responsabilità previste dal GDPR. In realtà – ci dice Fontana di Trend Micro Italia dipende da quali dati sono stati violati. «Se si tratta di dati sensibili il regolamento prevede che l’azienda si protegga con la soluzione e le strategie migliori. Quindi non basta un antivirus qualsiasi».

E Rosano di ZyXEL Italia osserva che è necessario dotare la rete di sistemi di sicurezza perimetrale attiva, reportistica e incident response. «Questo anche per documentare le misure attuate in base al rischio, al fine di rispondere ai requisiti imposti dal regolamento». Come per altri aspetti del GDPR legati alla sicurezza, un adeguato livello di preparazione riveste un ruolo importante per progettare la propria conformità al GDPR. Allo stesso tempo però, anche i piani di contrasto agli incidenti necessitano di aggiornamenti periodici comprensivi di una serie di misure da adottare dopo che è avvenuto un attacco. «In molti casi, l’attivazione di un ransomware è solo l’ultima fase di una più ampia azione di infiltrazione e spionaggio, che di solito prende di mira un bersaglio per poi raggiungere il vero obiettivo attraverso il cosiddetto “movimento laterale”» – spiega Gianluca Busco Arrè, vice president sales and operations di Panda Security. Pertanto, dopo un attacco ransomware – ma il discorso può essere tranquillamente esteso a tutte le minacce – l’IT dovrebbe muoversi seguendo una procedura stabilita a priori. «La cosa più importante è che esista un momento per fare analisi critica. Con l’obiettivo di apprendere, correggere e migliorare» – osserva Ferrazzi di Maticmind.

Leggi anche:  Malware: il bilancio del 2018

Sulla stessa lunghezza d’onda Della Casa di VM Sistemi, secondo cui ogni nuovo attacco può insegnare qualcosa: «L’importante è imparare e mettere in atto soluzioni che possano mitigare quanto già avvenuto, implementando nuove tecnologie, formando il personale aziendale, ottimizzando le procedure di risposta agli attacchi». Secondo Maglieri di NovaNext, un attacco rappresenta paradossalmente – «il momento migliore per effettuare una valutazione sull’efficacia dei propri sistemi di sicurezza e procedere di conseguenza. Non solo a livello infrastrutturale ma anche promuovendo programmi di sensibilizzazione per i propri utenti sui temi della “cyber self-protection”». Detto questo, pragmaticamente Alberto Brera, country manager Italia di Stormshield evidenzia che dopo un attacco occorre innanzitutto – «identificare con precisione il punto d’ingresso e le modalità di diffusione del malware e quindi valutare con cognizione di causa quali misure adottare per meglio tutelarsi in futuro». Per Ferrazzi di Maticmind dipende molto dalla dimensione e dagli effetti dell’attacco. «La risposta accademica suggerisce di concentrarsi sull’intensificazione dei piani di security awareness e sul rivedere i processi di vulnerability management. Ma tecnicamente, potrebbe essere più urgente correggere le procedure di air gapping o rivalutare e integrare la qualità degli strumenti di detection e contenimento».

IL BILANCIO DELLA SITUAZIONE

WannaCry potrebbe provocare ancora più danni rispetto a due anni fa. A distanza di quasi 18 mesi dall’entrata in vigore del GDPR, come è cambiata la risposta al fenomeno ransomware da parte di aziende e organizzazioni? Secondo il report dell’European Data Protection Board , agenzia UE indipendente, i Garanti dei 28 paesi membri hanno ricevuto dal 25 maggio 2018 poco meno di 65mila notifiche di data breach. Le multe comminate da 11 autorità statali sono pari a circa 63 milioni di euro. Numeri importanti. Nel computo, sono conteggiate sia le violazioni microscopiche come per esempio una email inviata per sbaglio a un errato destinatario, sia gli attacchi catastrofici con decine di migliaia di utenti colpiti. Dati più disaggregati sono reperibili in un altro report, redatto da DLA Piper, studio legale internazionale.

Secondo la ricerca, condotta su 23 dei 28 membri UE, alla fine di gennaio di quest’anno a fronte di poco meno di 60mila notifiche recapitate ai rispettivi Garanti – l’Olanda con 15.400 notifiche guidava la classifica dei paesi più virtuosi a notificare. Seguita da Germania e UK rispettivamente con 12.600 e 10.600 violazioni. L’Olanda è anche il paese in cui si registrano più breach in rapporto alla popolazione, davanti a Irlanda e Danimarca. L’Italia con 610 notifiche, sempre in rapporto alla popolazione, è tra quelli che ne registra meno preceduta solo dalla Grecia. Molto basso anche il numero di sanzioni elevate, solo 91 le multe comminate, molte delle quali risalenti addirittura a prima del 25 maggio 2018. L’entità delle sanzioni varia ancora parecchio. Per esempio, c’è un divario abissale tra quella più salata – i 50 milioni di euro comminati dalla Francia a Google in relazione all’utilizzo fraudolento di dati personali per aver inviato pubblicità senza una valida autorizzazione e quindi non direttamente collegata a una violazione di dati personali – e quelle minime tra 1.500 e 2.000 euro.

Come ci spiega Giancarlo Vercellino, IDC Italy, in generale, sul mercato italiano si osserva una progressiva crescita dell’attenzione sulla protezione dei dati. Attenzione che però sembrerebbe essere collegata più al timore delle potenziali cause e penali contrattuali che potrebbero derivarne, che al timore di ricevere sanzioni direttamente dall’autorità pubblica. La perdita di datimodifica o divulgazione senza autorizzazione comprese – potrebbe riguardare almeno un milione di connazionali. Una cifra quasi certamente sottostimata. Anche perché nel GDPR non c’è l’obbligo da parte dei titolari del trattamento di dati di informare l’Autorità sul numero di profili coinvolti. Dato – che molto spesso – neppure loro sono in grado di calcolare.