La cybersicurezza aziendale è in pericolo (e non è una novità, purtroppo) e cresce l’allarme ransomware. Come avevamo già anticipato con la ricerca di Trend Micro “2020 Report on Threats Affecting ICS”, i Sistemi di controllo industriali (ICS) di tutto il mondo, propri dell’Industria 4.0, sembrano essere in pericolo a causa dei ransomware, cioè un particolare malware che limita l’accesso del dispositivo che infetta, richiedendo – nella sua ultima evoluzione – un riscatto da pagare per rimuovere la limitazione e potersi riappropriare ai dati “infetti”.
Come ci si può difendere dagli attacchi dei ransomware, allora? A rispondere a questa domanda ci ha pensato Ken Steinhardt, field cto di Infinidat, che suggerisce tre best practice da implementare prima che si verifichi un attacco ransomware. Perché, nelle parole di Steinhardt,
“Conoscere le fondamentali best practice necessarie per prepararsi agli attacchi ransomware al meglio a gestire questo tipo di attacchi, che si basano fondamentalmente sulla presa in ‘ostaggio’ dei dati aziendali, può aiutare a ridurne al minimo, o addirittura a neutralizzarne, l’impatto”.
Buoni consigli per difendersi dai ransomware
In primi, secondo Steinhardt, per combattere i ransomware occorre essere pienamente consapevoli delle reali capacità dell’azienda di prendere decisioni velocemente. Se l’azienda non ne ha un quadro ben chiaro, i dirigenti potrebbero decidere di pagare il ‘riscatto’ per cercare di recuperare tutti i loro dati, anche quando non si dovrebbe.
Quando i cyber criminali chiedono un riscatto, l’azienda è propensa a pagarlo per riavere indietro i propri dati, ma accade spesso che il processo di ripristino ad opera degli aggressori sia molto più lento rispetto a quello che si potrebbe innescare attraverso un sistema di recovery o backup dell’azienda stessa. La velocità di ripristino, pertanto, è uno degli elementi chiave da valutare in caso di attacco ransomware, perché il pagamento del riscatto in genere non garantisce un recupero istantaneo.
Quando si parla di attacchi ransomware, inoltre, è bene non tralasciare nemmeno possibili piani di emergenza. Per svilupparne uno adeguato, è fondamentale porsi le seguenti domande: come può l’azienda garantire un ripristino quasi istantaneo se l’attacco ransomware viene ignorato? Come può l’azienda garantire che i dati non siano danneggiati? La consapevolezza e l’elaborazione di valide strategie per affrontare al meglio queste sfide darà alla leadership dell’azienda maggiore fiducia per andare avanti.
In secondo luogo, è necessario stabilire comunicazioni chiare e concise con informazioni veritiere e affidabili. Nel bel mezzo di un attacco informatico, la comunicazione all’interno di un’azienda può essere facilmente interrotta, frammentata e isolata. È possibile, in questi casi, che affiorino punti deboli all’interno della comunicazione, che portano a una disconnessione tra dirigenti aziendali e responsabili IT.
Se i dirigenti hanno informazioni limitate e non hanno un quadro completo e chiaro di ciò che l’azienda può e non può fare, potrebbero essere prese decisioni dettate dall’istinto, non razionali e ponderate, che potrebbero portare a perdite finanziarie, danni alla reputazione e interruzioni del business.
I responsabili IT devono essere in prima linea nella gestione della crisi e devono poter esporre liberamente la situazione reale in tutta onestà e chiarezza, anche a fronte di dirigenti riluttanti ad ascoltare. Un attacco informatico solitamente accresce il nervosismo all’interno dei vertici aziendali, spingendo i dirigenti a voler pagare subito il riscatto per chiudere in fretta la questione.
Un’efficace comunicazione interna, invece, assicura che tutti i decision maker siano coinvolti, consapevoli e a conoscenza del fatto che l’azienda dispone di un sistema di cyber recovery per il rispistino dei dati, escludendo così la necessità di dover negoziare e scendere a patti con i criminali. Anche se in prima battuta questa strategia potrebbe sembrare controintuitiva, grazie a un adeguato sistema di cyber recovery di ultima generazione, dal punto di vista del data storage, è possibile ignorare le richieste di riscatto. È come dire ai cyber criminali di ‘andare al diavolo’, perché l’azienda è in grado di neutralizzare l’impatto dell’attacco.
Ancora, è fondamentale mantenere la propria ‘checklist’ continuamente aggiornata in previsione di futuri attacchi ransomware. Non è solo importante spuntare le voci all’interno della propria checklist, ma è fondamentale che le voci in questione siano quelle corrette: completamento simulazione; protezione dei sistemi di backup; cyber recovery ad alta velocità (preferibilmente ripristino quasi istantaneo); immutable snapshot.
La ‘checklist’ non può rimanere statica, perché rappresenta il parametro con il quale si può giudicare il livello di preparazione dell’azienda in caso di attacchi ransomware. Grazie a questa lista, infatti, è possibile mantenere l’azienda in una modalità costante di preparazione, sottoponendola a stress test attraverso simulazioni controllate. Una ‘checklist’ sviluppata in maniera adeguata permette così di prevenire la compromissione dei dati aziendali.
L’implementazione di immutable snapshot, ad esempio, è un perfetto esempio di strategia grazie alla quale i dati non possono essere corrotti o crittografati. Gli immutable snapshot, infatti, sono istantanee di tutti i dati aziendali che non possono essere sovrascritte, alterate o cancellate. Consentono, quindi, di tornare al momento desiderato e ripristinare rapidamente qualsiasi dato da un’istantanea, riducendo così gli attacchi ransomware a un semplice ostacolo sulla strada della continuità dell’attività aziendale.
Quando si utilizzano immutable snapshot è garantita la possibilità di recuperare velocemente i propri dati, senza dover pagare nessun riscatto. Questo è il motivo per cui gli immutable snapshot sono ormai presenti nella stragrande maggioranza delle checklist.
Inoltre, è importante assicurarsi di controllare tutte le voci inserite sulla lista, seguendo tutte le procedure in maniera adeguata. Capita spesso che i test di disaster recovery vengano visti come una seccatura da dover completare in modo soddisfacente, ma con il minimo sforzo possibile. Bisogna, invece, promuovere un atteggiamento proattivo, volto a scovare eventuali debolezze all’interno del sistema, sfidando il reparto IT a trovare modalità sempre nuove per mettere sotto pressione l’infrastruttura. Questo può portare alla luce problemi inediti, prima che diventino problemi reali. L’obiettivo è quello di non aspettare che l’attacco si verifichi, ma simularlo prima per testare l’efficacia del rispristino dati.
Per aspettarsi il miglior risultato in una situazione di crisi è necessario prepararsi in anticipo e in maniera intelligente ai peggiori scenari possibili causati dagli attacchi ransomware. In questo modo, l’azienda si troverà nella posizione migliore per neutralizzare gli effetti di un attacco, quando questo si verificherà. Consapevolezza, comunicazione e standardizzazione sono tre componenti chiave per una preparazione efficace.