A cura di Dave Russell, VP, Enterprise Strategy, Veeam
Negli ultimi anni, i cyber-attacchi sono diventati qualcosa di cui il grande pubblico è sempre più consapevole. Tuttavia, esiste ancora una percezione, certamente al di fuori dell’industria IT, che i cyber-attacchi siano solo qualcosa che accade su Internet. È difficile comprendere a fondo l’impatto del crimine informatico sulle sue vittime, sia che si tratti di un individuo caduto vittima di una truffa online o di un’azienda che è stata costretta a pagare un riscatto per ripristinare i suoi sistemi. Per questo motivo, non sempre il cybercrime è visto o gestito come un crimine “reale”.
Alcuni riconoscono che il cybercrime è reale mentre per altri è ancora difficile da accettare. Credere ad un hacker che colpisce da solo una multinazionale è piuttosto inverosimile, così come credere allo stereotipo del ragazzo esperto di informatica che non ha niente di meglio da fare che colpire le grandi organizzazioni. La maggior parte degli attacchi informatici sono opera di gruppi criminali ben organizzati e con ingenti risorse economiche disponibili. Attacchi altamente sofisticati che hanno l’obiettivo di rubare soldi alle aziende che generano posti di lavoro e ai governi a cui i cittadini pagano le tasse. Non vi sembra forse un crimine?
Siamo colpevoli di colpevolizzare le vittime?
Un attacco informatico è un vero e proprio crimine verso le aziende. Tuttavia, l’empatia che proviamo verso le aziende che sono state colpite è molto diversa da quella che proviamo nei confronti di un singolo individuo. Se qualcuno vi dovesse dire che è stato colpito da un hacker che ha compromesso le sue informazioni personali e gli ha rubato del denaro, la vostra prima reazione sarebbe molto probabilmente quella di non dargli la colpa dell’accaduto.
Sappiamo tutti che le violazioni informatiche causano alle aziende un danno reputazionale enorme e duraturo, così come tendiamo a supporre che abbiano fatto qualcosa di sbagliato o agito con noncuranza. Dopo oltre 32 anni nel settore della Data Protection, mi sento di concordare: la stragrande maggioranza degli incidenti informatici sono evitabili e sono spesso il risultato di aziende che non seguono delle best practice per la sicurezza, con una scarsa digital hygiene e che utilizzano software obsoleto o senza patch.
Esiste un altro tipo di crimine che si concentra quasi esclusivamente sull’incolpare la vittima e così poco sull’assicurare i criminali alla giustizia? Le aziende sono spesso viste come parte colpevole piuttosto che come vittime e, al contempo, si accetta che i criminali restino impuniti a causa della mancanza di un quadro giuridico e di un sistema giudiziario globale comune. Se un criminale di un altro paese viaggia negli Stati Uniti, per esempio, e commette un crimine contro un’azienda sul suolo americano, viene istituito un processo diplomatico per assicurare il criminale alla giustizia e per risarcire la vittima. Ciò non accade quando si tratta di ransomware.
La cooperazione internazionale e intercontinentale è l’unico modo per creare un ambiente in cui i rischi e le pene siano più alte delle ricompense che gli hacker potrebbero ottenere. Gli attacchi ransomware sono aumentati a dismisura durante la pandemia, stimolando i governi e le aziende a ripensare ai confini geopolitici che hanno permesso ai criminali informatici di operare indisturbati. Non sarà però un percorso facile e ci vorranno anni.
Imparare l’autodifesa
In assenza di un sistema giudiziario che ci protegga in modo adeguato, possiamo comunque provare a difenderci in autonomia. Quando si tratta di cybersecurity, conviene concentrarsi su alcuni elementi fondamentali. Ogni azienda ha bisogno di un responsabile della sicurezza IT che sia dedicato, che abbia accesso alla leadership aziendale e con l’autorità di guidare i processi per la security. Per le aziende più piccole, è assolutamente necessario avere una risorsa con che sia in grado di occuparsi di cybersecurity e della protezione dei dati. Un altro elemento essenziale è avere una digital hygiene impeccabile: formazione obbligatoria per tutti i dipendenti in modo che riconoscano i potenziali attacchi, la loro gravità e sappiano sempre a chi segnalarli.
Infine, non pagate mai un riscatto. Le aziende che pagano spingono i criminali informatici a continuare ancor di più la loro attività. Meno riscatti pagati dalle aziende significa ridurre la popolarità del ransomware come tecnica di estorsione. Inoltre, le aziende che subiscono attacchi informatici sono sicuramente vittime, ma sono anche responsabili dei dati che utilizzano, elaborano e conservano. Decidere di pagare i criminali informatici per far tornare online i sistemi è una strategia di difesa insostenibile. Mentre i governi stanno diventando sempre più attivi nel cercare di prevenire la diffusione del ransomware, potremmo assistere ad aziende che saranno costrette a farlo da enti regolatori indipendenti.
Per contrastare l’implacabile e massiccia attività criminale, avremo bisogno di uno sforzo collettivo e internazionale, sia nel settore pubblico che in quello privato. È assolutamente importante che il crimine informatico sia adeguatamente punito e che i colpevoli siano portati davanti alla giustizia, così come è essenziale che le aziende abbiano chiare le responsabilità che hanno nei confronti dei loro dati. L’unico modo di farlo è implementare una strategia per la Modern Data Protection che sia in grado di combinare le difese della cybersecurity con un approccio completo al backup dei dati e al disaster recovery.
