APPROFONDIMENTI

Business Continuity e Disaster Recovery

Cosa insegnano gli attacchi informatici alla Colonial Pipeline ed al Servizio Sanitario Irlandese

14/05/2021

di Avv. Gianluca Marmorato

I vari autorevoli Report recentemente pubblicati confermano come il trascorso 2020 e questi primi mesi del 2021 vedano un forte incremento di attacchi informatici.

Senza dubbio l’emergenza sanitaria ha determinato uno stress test per gli apparati informatici di tutti i settori, ma le statistiche parlano chiaro: il mondo sanitario e quello delle infrastrutture critiche hanno visto un sostanziale raddoppio degli attacchi rispetto al precedente anno.

Certamente questa indicazione è molto preoccupante, in considerazione della delicatezza dei dati ”sensibili” che sono oggetto di interesse e di necessaria tutela,  e delle attività ad essi connesse.

Lo sviluppo frenetico della digitalizzazione si sta rivelando un’occasione ghiotta per tutti quei soggetti ed organizzazioni che intendano lucrare sfruttando le fragilità dei sistemi.

Questo processo tecnologico infatti, oltre agli innegabili aspetti positivi  e costruttivi, è purtuttavia foriero di una moltiplicazione di criticità, determinate dalla difficoltà di proteggere le infrastrutture critiche, gli endpoints, e gli strumenti IOT sempre più interconnessi.

Con grande fatica si sta diffondendo la sensibilità rispetto alla necessità di porre in essere una corretta gestione dei Dati da parte delle attività commerciali, Enti e professionisti, proprio perché i Dati rappresentano sempre di più la linfa vitale di queste attività sotto un punto di vista economico.

Appare necessario interrogarsi in modo approfondito  su ciò che è accaduto all’oleodotto della Colonial Pipeline, chiuso a seguito di un attacco informatico pochi giorni da e del quale non è ben comprensibile l’iter e le tempistiche di riapertura, con gravissime ripercussioni economiche e geopolitiche.

Il caso è ovviamente ancora aperto, ci saranno indagini federali per accertare le identità del gruppo di attacco, ma fa riflettere come la società statunitense si sia trovata nella necessità di chiudere l’intero impianto, a causa di una massiccia esfiltrazione  di dati, per il timore che l’attacco potesse determinare danni  irreparabili all’intera infrastruttura.

È inoltre notizia della data odierna di un grave attacco informatico che ha visto come obiettivo il Servizio Sanitario Irlandese, determinando, anche in questo caso, la necessità di sospendere il sistema informatico e, di conseguenza, numerose attività cliniche, determinando ripercussioni estremamente gravi nel tessuto sociale.

L’analisi del fenomeno deve certamente tenere in considerazione due aspetti, da un lato la ragione per la quale gli attacchi informatici al settore sanitario ed a quello delle infrastrutture siano praticamente fuori controllo, e contemporaneamente porre l’attenzione alla tipologia di minacce che sfruttano le criticità.

Con buona probabilità, i target menzionati appaiono appetibili, in ragione del fatto che, in caso di attacco, questi siano settori ove si registra una maggiore disponibilità rispetto ad altri di “pagare” importanti somme quali riscatto.

Pensiamo ad esempio a ciò che rappresenta oggi la macchina sanitaria tesa, da un lato a  combattere il Covid-19, e dall’altra a procedere con il delicato programma vaccinale.

Un attacco che abbia come conseguenza l’interruzione dei servizi, avrebbe conseguenze catastrofiche; ed è proprio questo che sta accadendo.

Ed allora, l’attenzione dovrebbe concentrarsi  sulle criticità e sugli strumenti maggiormente utilizzati per mettere a segno gli attacchi, quali i malware ramsomware, oltre ai botnet o i più sofisticati sistemi che sfruttano attività di ingegneria sociale.

Peraltro, si intensificano le notizie di ingenti pagamenti effettuati da soggetti che hanno subito attacchi attraverso la cifratura o l’esfiltrazione dei loro dati: si porta ad esempio il caso di un recente attacco sferrato attraverso lo strumento Ryuk ai danni  di una società statunitense che tratta dati sanitari provenienti da decine di strutture sanitarie e che avrebbe pagato  oltre 15 milioni di dollari in bitcoin per “liberare” i propri sistemi, o, da ultimo, si può citare il caso sopra menzionato della Colonial Pipeline, che sembra abbia effettuato un ingente pagamento per evitare la compromissione dell’infrastruttura.

Ben si comprende quale sia l’importanza, oltre alla pianificazione di adeguati strumenti di protezione informatica, dell’adozione di un accurato piano di ripristino dell’attività, che si colloca in un più ampio piano di continuità operativa.

La Business Continuity può essere definita come la capacità di un’Azienda di mantenere la continuità operativa nonostante un evento che ha minacciato questa funzionalità e comprende strategie organizzative e tecniche per mantenere inalterata la produttività.

Il Disaster Recovery invece è il piano tecnico ed organizzativo finalizzato a ripristinare i sistemi e l’infrastruttura IT dopo un’emergenza e che deve prevedere le misure messe in campo per tornare ad un pieno controllo dei Dati e dei sistemi, al fine di contenere il tempo necessario per il ripristino, e per contenere la quantità di dati persi.

Nei casi di Disastro o emergenza, il semplice backup dei dati appare infatti del tutto insufficiente se non sono stati previsti processi che possano consentire il ripristino dei file, dei software di sistema e di tutte le funzionalità che possano consentire la pronta ripresa delle attività produttive.

Ci troviamo di fronte alla necessità di realizzare una vera e propria check-list che possa consentire l’adozione dei corretti passaggi operativi, senza lasciare margine alle valutazioni soggettive degli operatori, ed evitando così possibili errori in fasi concitate quali sono quelle immediatamente successive ad eventi critici.

E’ peraltro evidente che la realizzazione di queste linee operative debba  essere frutto di un attento lavoro preliminare, preventivo e proattivo, le cui strategie potrebbero identificarsi in attività quali:

  • la creazione di una corretta gestione di Business Continuity o Incident Response
  • l’adozione di una adeguata gestione del perimetro della rete e dei privilegi di accesso
  • la creazione di una corretta gestione dei dati, anche attraverso adeguate azioni di cifratura
  • la realizzazione di una costante attività di Risk Management che si rapporti in modo costante e continuativo con la Governance dell’Ente
  • l’effettuazione di  attente ricerche di trojan, anche attraverso strumenti di IA, ricordando che gli attacchi ransomware iniziano solitamente proprio con una iniziale infezione di trojan
  • l’innalzamento del livello di guardia in particolar modo nei periodi festivi
  • la sensibilizzazione di tutto il personale rispetto ad un corretto utilizzo degli strumenti informatici e degli accessi esterni, quali le mail o i device in modo da poter  riconoscere eventuali attività di phishing.