I ransomware sono programmi informatici che prendono in ostaggio i dati in cambio di un riscatto. Qual è l’ampiezza della minaccia per le PMI e come possono proteggersi? Intervista con Mathieu Simonin, analista per la centrale federale MELANI.
La centrale di registrazione e di analisi per la sicurezza dell’informazione MELANI riunisce partner che lavorano nell’ambito della sicurezza dei sistemi informatici e di internet, oltre a quello della protezione delle infrastrutture critiche.
Dispone di un sito internet che si rivolge in particolare agli utenti di computer e internet, così come alle piccole e medie imprese svizzere. Il sito permette in particolare di comunicare tramite un formulario online gli attacchi di cui si è stati vittima. Uno strumento importante per permettere alle équipe della Confederazione di misurare l’intensità di un nuovo attacco.
Cosa è un software ransom o ransomware?
Mathieu Simonin: È un particolare tipo di software maligno che rende inaccessibili i dati di un’impresa o di un privato cifrandoli. Lo scopo è estorcere denaro in cambio dei dati decifrati. Nel 2013, il primo strumento di questo tipo che ha causato danni importanti in Svizzera si denominava Cryptolocker. Da qualche anno, il fenomeno ha conosciuto un’accelerazione.
Si ha un’idea di quante imprese siano toccate dal fenomeno?
MS: Non esiste una statistica valida in questo ambito. Veniamo messi al corrente quando le imprese ce lo riferiscono. Non tutte però lo fanno e nemmeno sporgono denuncia penale: annunciare un incidente di questo genere non è obbligatorio in Svizzera. Presumiamo tuttavia che la "cifra nera" sia piuttosto elevata. Per i cybercriminali, gruppi molto dinamici che hanno sviluppato durante gli anni modalità operative efficaci, è un mercato succulento e vasto.
Perché alcune PMI possono esserne toccate?
MS: Potenzialmente, qualunque computer può essere infettato e il numero di vittime è illimitato. Ma prendere di mira un’impresa può avere un impatto economico molto più pesante rispetto all’attacco di un privato. Inoltre non tutte le PMI sono sufficientemente sensibilizzate e non tutte hanno procedure di gestione dei rischi ben rodate. In seno all’impresa talune funzioni sono particolarmente a rischio: le risorse umane ad esempio, abituate a ricevere mail con allegati da parte di destinatari sconosciuti. In effetti spesso i ransomware operano attraverso e-mail con allegati per istallare un "malware" su di una macchina, ad esempio attraverso dei macro contenuti in documenti Office.
A proposito, come viene infettato un computer?
MS: Ci sono diverse possibilità: come illustrato sopra, l’e-mail è la pratica più corrente. Un’altra possibilità consiste nel compromettere un sito web incaricandolo di propagare l’infezione mentre viene visitato. Nella maggior parte dei casi, il software maligno approfitterà della presenza di software che non sono aggiornati per istallarsi sulla macchina dell’utente. Infine, alcuni ransomware prendono di mira anche i protocolli di accesso a distanza non sufficientemente protetti.
Cosa fare in caso di infezione? Bisogna pagare il riscatto oppure no?
MS: Noi sconsigliamo di pagare poiché il business dei cybercriminali necessita del pagamento da parte delle vittime per svilupparsi e migliorarsi.
L’ammontare del riscatto è variabile e dipende dal bersaglio, alcuni pirati domandano grandi somme e lasciano la possibilità di negoziare. Inoltre, pagare non sempre corrisponde a restituzione dei dati rubati: a volte il ricatto può continuare.
In ogni caso, qualora notiate l’infezione – spesso la si nota perché l’accesso ad alcuni dati diventa impossibile e/o giunge una domanda di riscatto – è necessario disconnettere il computer dal sistema e dalla rete per evitare il rischio di propagazione. Consigliamo inseguito di istallare nuovamente la postazione. Sarà quindi necessario ripristinare i dati in base ai salvataggi.
Dal punto di vista di un’impresa, è meglio contare su misure tecniche o su di un’accresciuta formazione degli impiegati per proteggersi?
MS: Le due cose vanno di pari passo. È chiaro che degli impiegati ben formati, che hanno a cuore la sicurezza, rappresentano la linea difensiva più efficace. La cultura della sicurezza deve regnare nelle imprese.
In molti casi, i ransomware funzionano perché gli utenti non hanno il senso della portata negativa del loro agire. Quindi un impiegato formato può meglio identificare un’e-mail sospetta ed evitare un incidente.
Sul piano tecnico, bisogna predisporre dei salvataggi su di un supporto esterno connesso unicamente durante l’uso. Se possibile, in una PMI, spetta al responsabile IT gestire i rischi. È inoltre importante che la cybercriminalità sia presa in conto a livello di management, il quale deve propagare le buone pratiche.
Quali sono queste buone pratiche?
MS: Bisogna dotarsi di una strategia contro i rischi connessi all’utilizzo dei mezzi informatici. Ciò avviene attraverso diverse tappe: conoscere i propri sistemi e dati, così come il loro diverso valore. Una domanda che ogni dirigente dovrebbe porsi è quella di sapere da quale processo dipende l’informatica e quale sarà il costo se il sistema dovesse essere bloccato.
Inseguito si deve far conoscere questi rischi al personale ed eventualmente effettuare dei test di comprensione. È anche necessario prevedere delle procedure per recuperare e trattare gli incidenti. Bisogna infine identificare chi, in seno all’azienda, ha il diritto di procedere a dei pagamenti e come proteggerli o approntare delle firme collettive, ad esempio.
