Sicurezza informazioni: le aziende minacciata dai professionisti del cybercrime

FIRENZE – Le aziende devono difendere i loro dati dagli attacchi di criminali più o meno esperti: sta infatti fiorendo un mercato dove i professionisti del cybercrime propongono programmi di affiliazione a potenziali “distributori” di ransomware, ovvero virus che bloccano i computer impossessandosi di tutti i dati in esso contenuti. In cambio chiedono un riscatto per restituirli, che può andare dai 500 ai 2.000 euro.

I venditori di ransomware si trovano spesso nel Dark Web, in Internet su siti e forum perlopiù russi dedicati ad attacchi informatici non troppo difficili da raggiungere, e assoldano chiunque sia in cerca di soldi facili e che per “entrare nel giro” sia disposto a pagare 100 dollari in bitcoin, ricevendo in cambio un kit di lavoro, composto da un file eseguibile da diffondere tramite email alle potenziali vittime, e l'accesso a un pannello di controllo che funziona in pratica da “cassa”, attraverso il quale è possibile monitorare i pagamenti provenienti dai malcapitati che sono stati infettati, da cui il cybercriminale mandante trattiene solo una commissione sugli incassi del 15%, lasciando il resto al “rivenditore”.

Fino a poco tempo fa il bersaglio preferito dei ransomware erano gli utenti tradizionali di Internet, l'evoluzione attuale vede nel mirino dei criminali del web anche aziende e professionisti, che nei loro pc e devices possiedono spesso dati preziosi.

Di recente è stato infatti scoperto “KeRanger”, il primo ransomware completo per Mac OS X che colpisce anche il sistema operativo di Apple molto usato dai professionisti, mentre l'FBI ha segnalato attacchi alle reti aziendali che cercano di installare ransomware e allo stesso tempo cancellare i backup dei dati, per costringere così le aziende a pagare la somma richiesta per riavere l'unica copia dei dati rimasta nelle mani del ricattatore.

Il pericolo riguarda anche le nostre imprese e lo conferma l'ondata di attacchi ransomware che ha colpito 250 aziende di Vicenza. Le aziende sono quindi chiamate a lavorare sulla prevenzione alzando il livello di protezione dei dati, anche perché le ripercussioni che possono colpire l'impresa sono potenzialmente devastanti, come spiega Nicola Bernardi, presidente di Federprivacy:

“Il vero danno per le aziende colpite non sta tanto nella cifra che viene chiesta loro di pagare, ma lo stato di paralisi in cui si vengono a trovare, nell'impossibilità di proseguire normalmente l'esercizio della loro attività, essendo totalmente privati del loro patrimonio dei dati, che può riguardare tutti i dati sensibili dei dipendenti e delle loro paghe, dati industriali e relativi a proprietà intellettuale, e anche riservatissima corrispondenza commerciale, che se finisse nelle mani sbagliate metterebbe l'azienda nei guai - afferma Bernardi - E dato che le aziende che cadono vittima di attacchi ransomware si trovano di fronte ad individui senza scrupoli, neanche pagando il riscatto richiesto c'è la certezza che i dati vengano effettivamente restituiti, oppure che i criminali non se ne tengano comunque un backup per venderli al miglior offerente o per altre attività e trattamenti illeciti. Oltre al danno, c'è il pericolo anche della beffa, perché se l'azienda non è in grado di dimostrare di aver adottato le necessarie misure di sicurezza, c'è anche il rischio di vedersi multati dal Garante della Privacy, o essere chiamati a risarcire i danni agli interessati coinvolti.”

Agli esperti di protezione dati e ai privacy officer, sono richieste quindi elevate conoscenze non solo sulla parte normativa e sul nuovo Regolamento UE, ma anche competenze trasversali come quelle sui sistemi di gestione della sicurezza delle informazioni, e per questo Federprivacy ha prontamente inserito nel programma formativo del 2016 anche un corso specifico per gli addetti ai lavori sulla norma internazionale ISO/IEC 27001:2013, che fornisce una serie di requisiti e standard per impostare e monitorare un sistema di gestione e controlli di sicurezza adeguati e proporzionati all'interno di aziende pubbliche e private.