Blog

Data breach: le peggiori conseguenze di un ransomware

scritto da Michele Onorato il 14 dicembre 2021

Una situazione davanti alla quale nessuna azienda si vorrebbe mai trovare è sicuramente quella di aver subito una data breach, ovvero una violazione della sicurezza dei dati che espone a danni economici e di immagine di portata potenzialmente catastrofica. E se i danni economici possono essere rimediati (non va però sottovalutato che IBM stima che una data breach a un’azienda può costare 4,24 milioni di dollari1), i danni di immagine possono durare molto tempo e non è detto che abbiano mai realmente una soluzione. Basti pensare alle conseguenze che potrebbe avere il furto dei dati per un’organizzazione finanziaria o una struttura sanitaria.

Oltre che come risultato di un attacco diretto da parte di cybercriminali, una data breach può verificarsi anche a fronte dello smarrimento o del furto di un dispositivo, aziendale o anche personale se può accedere alla rete dell’azienda. Qualunque ne sia la causa, una data breach è un evento che determina la perdita di riservatezza, integrità o disponibilità dei dati (RID) e che rischia di esporre il fianco al famigerato ransomware: un attacco che codifica i dati aziendali e prevede il pagamento di un riscatto (ransom) per potervi accedere di nuovo. Vediamo di cosa si tratta, quali sono le implicazioni e come ci si può difendere.


Data Breach e GDPR

Il GDPR, regolamento generale sulla protezione dei dati, definisce data breach “ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 comma 12 del Regolamento Europeo 2016/6792). Inoltre, il GDPR impone al titolare dei dati di predisporre preventivamente tutte le misure di tipo tecnico e organizzativo affinché questo non accada.

In caso di incidente, il titolare ha l’obbligo di notificare la data breach che mette a rischio riservatezza, integrità e disponibilità dei dati al Garante della Privacy entro 72 ore dalla scoperta. Si può anche comunicare in tempi successivi, ma motivando il ritardo nella comunicazione.


Quando si può verificare una data breach

Messe da parte tutte le possibili cause accidentali, che tuttavia non esonerano il titolare dei dati dal mettere in atto le adeguate misure di prevenzione, una data breach può essere il risultato di un cyberattacco di tipo ransomware mirato. Un tipo di malware che può risultare molto redditizio per chi lo conduce e che, immaginiamo proprio per questo motivo, nel 2020 ha rappresentato il 30% di tutti gli attacchi censiti in Italia, classificandosi al primo posto con grande distacco (fonte: rapporto Clusit 2021).


Che cosa è un ransomware

Un ransomware è un malware progettato per infettare i computer con lo scopo di rendere inaccessibili i dati contenuti. La tattica usata è quella dei trojan horse crittografici, ovvero, senza che l’utente se ne accorga, viene preso il pieno controllo della postazione di lavoro con l’obiettivo di estorcere denaro in cambio della password per sbloccare i contenuti sequestrati. Ci si accorge di quanto accaduto solitamente tramite un messaggio sul monitor molto esplicito. Ma quando ciò succede la data breach è già avvenuta. In media, secondo IBM, passano 287 giorni prima che un’azienda si accorga di avere subito una data breach e si attivi per contenerne i danni. Inoltre, ci può essere un ricatto successivo attraverso la richiesta di un ulteriore riscatto per non diffondere i dati pubblicamente.


Come ci si infetta di ransomware

Come tutti gli altri tipi di malware (worm, adware, spyware), un’infezione da ransomware nella grande maggioranza dei casi è attivata da un’azione compiuta da una persona, per esempio:

  • cliccando sui link di e-mail di phishing;
  • navigando su siti non sicuri ed effettuando il download di contenuti compromessi;
  • usando chiavette USB o altri supporti removibili infettati;
  • installando software pirata spacciati gratuitamente per crackare altri software;

In alcuni casi, gli attacchi sfruttano una sicurezza non aggiornata che lascia vulnerabilità conosciute nei software in uso (il caso più celebre è WannaCry) e/o sono sferrati dopo aver recuperato credenziali di accesso con maggiori privilegi possibili.


Come si evita una data breach

Come detto, la maggior parte dei vettori di infezione utilizzati dai cybercriminali per i ransomware sfrutta l’ingenuità, la poca accortezza e la scarsa preparazione degli utilizzatori. Dunque, la miglior difesa è la prevenzione: spesso basta stabilire regole pratiche e responsabilizzare gli utenti per prevenire una data breach. In questo modo, per esempio, si può evitare che siano aperte mail sospette (per non cadere nella trappola del phishing), siano installati software gratuiti di dubbia provenienza e siano inseriti in una porta USB supporti (soprattutto chiavette) trovati casualmente

Per le altre evenienze – che, per la verità, sono le più insidiose perché più difficili da identificare – occorre preoccuparsi di tenere sempre aggiornati sia l’antimalware sia i sistemi che offrono servizi in termini di Sistema operativo, midlleware, DB e applicativi. Potrebbe essere particolarmente utile anche implementare sistemi di rilevamento avanzati delle minacce quali EDR o soluzioni di security monitoring. Fondamentale, poi, un backup dei dati pianificato secondo una precisa policy aziendale, prevedendo sempre la ridondanza in più copie di backup isolato e non accessibile agli utenti della rete. Perché, se il backup non è isolato, il ransomware arriva anche alle copie e le cripta come l’originale. Anzi, le più recenti forme di ransomware iniziano la loro codifica proprio partendo dai backup che possono essere raggiunti.

Ultima, ma non ultima educare gli utenti rendendoli consapevoli che devono proteggere la propria identità digitale come si è abituati a fare, sin da bambini, con la propria identità fisica. Questo lo si può fare attraverso formazione specifica sul “come utilizzare gli strumenti di lavoro in sicurezza”.


1 Fonte: IBM
2 Fonte: Garante per la Protezione dei Dati Personali

 

Scritto da Michele Onorato  - Chief Information Security Officer & BU Manager icons8-colore-50

White Paper - Business Process Management e Hyperautomation: la guida per ottimizzare e integrare i processi aziendali

Tag: Cyber Security