La società tedesca di automazione Pilz è stata infettata lo scorso 13 ottobre dal ransomware Bitpaymer e da allora tutte le macchine, i PC, i server, i sistemi di comunicazione, sono irraggiungibili. A dichiararlo è stata la stessa Pilz, tramite una pagina web in cui informa di aver sconnesso in via precauzionale tutti i sistemi informativi; avviato una procedura di gestione dell’incidente; avvisato le autorità, in particolare l’Ufficio federale tedesco per la sicurezza informatica.
Negli USA si sta vivendo una vera epidemia da Ransomware. A inizio agosto, 20 enti governativi locali in Texas sono stati colpiti da un attacco coordinato che li ha costretti a chiedere perfino l’intervento del DIR, il dipartimento militare del Texas.
L’attacco riconducibile al ransomware Ryuk alla Bonfiglioli Riduttori, avvenuto tra l’11 e il 13 giugno scorso, con una richiesta di riscatto per 340 Bitcoin (pari a 2,4 milioni di euro, una cifra molto alta che però non è stata pagata), come noto ha avuto impatti importanti: l’arresto delle attività in vari stabilimenti (a Forlì la produzione si è fermata per un giorno intero), oltre alla necessità di intervenire con un’ampia task force per disinnescare il malware e sanificare l’azienda, e infine, nuovi investimenti in misure e servizi di sicurezza cyber.
Una multa record pari a 183 milioni di sterline (204 milioni di euro) è stata indicata a British Airways dall’ICO, Information Commissioner’s Office, ossia il garante della privacy britannico. Si tratta della sanzione più alta proposta ad oggi dall’ICO, ed è proprio il caso di dire che è conseguenza di un nuovo trend iniziato nel 2018 con l’entrata in vigore del GDPR. La notizia è quindi allarmante per tutte le aziende, non solo per BA, che aveva subito un data breach abbastanza limitato per numero di clienti impattati (380mila), seppure importante per la tipologia di informazioni sottratte, come mostra la figura successiva (dove il caso di British Airways quasi scompare in uno scenario dominato da perdite di dati per centinaia di milioni di clienti).
Nelle organizzazioni che si sono dotate di queste strutture, tipicamente SOC e CERT nascono con ruoli e finalità differenti: i SOC maggiormente rivolti all’operatività nel contrasto alle minacce, e i CERT alla ricerca e caratterizzazione delle stesse. Va però sottolineato che vi dovrebbero essere oggi notevoli sinergie tra le attività di un CERT e quelle di un SOC a beneficio di un’efficace presidio degli aspetti di sicurezza informatica di una specifica realtà aziendale.
TIG. In Italia sono appena stati rivisti gli obiettivi del CERT Nazionale, che, in rispondenza ai dettami della Direttiva NIS, dovrà occuparsi di “monitoraggio, gestione e analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni”, con riferimento chiaramente alle infrastrutture degli 8 settori strategici con operatori di servizi essenziali (OSE): energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali. Dal suo punto di vista, quali sono oggi i compiti di un moderno CERT (Computer Emergency Response Team), o CSIRT (Computer Security Incident Response Team) di una grande organizzazione?
Se qualcuno negli USA poteva ancora sperare che i propri dati personali e finanziari fossero ben custoditi, ora avrà invece la certezza che sono stati rubati: il sistema è da troppo tempo preso di mira dagli hacker! Per Equifax, che a inizio settembre aveva dichiarato un data breach di dimensioni colossali – il furto di dati personali come nomi, date di nascita, indirizzi e Social Security Number per 143 milioni di persone negli USA, oltre che per 100.000 canadesi e 400.000 inglesi – l’impatto dell’incidente informatico sembra diventare ogni giorno più disastroso.
L’acquisizione di prove digitali – Digital Forensics – è un tassello fondamentale nei processi di gestione di incidenti di sicurezza ICT, sia a eventuali fini processuali (penali, civili, giuslavoristici, amministrativi), sia anche per lo svolgimento di investigazioni interne all’organizzazione. Tutte le nuove norme che arrivano dall’Europa richiedono alle aziende di essere preparate anche su questo fronte, ma per molti il tema costituisce una novità. Abbiamo quindi approfondito l’argomento con l’Avvocato Giuseppe Serafini, BSI Group Lead Auditor ISO/IEC 27001.
Tra il 12 e il 15 maggio scorsi, quasi ogni parte del mondo (a parte l’Africa) è stata colpita dalla diffusione epidemica di un ransomware molto potente, WannaCry (letteralmente significa “voglio piangere”), o WannaCrypt, che in tutto ha sabotato 300.000 computer PC e server in oltre 100.000 organizzazioni. Gli effetti in alcuni casi sono stati gravi.
In molti casi gli incidenti cyber avvenuti nel 2016 hanno messo in luce la scarsa capacità delle aziende, anche di grande dimensione, di fornire una risposta alle minacce gestendo correttamente l’incidente. Sono state lasciate aperte “ampie finestre temporali” durante le quali gli attaccanti hanno potuto sfruttare vulnerabilità, infiltrarsi sempre di più in reti e sistemi, fino a portare a segno esfiltrazioni di dati riservati su larga scala.