Quali sono state le evoluzioni della Cybersecurity nel 2016 e quali lezioni possiamo trarne? I “fatti” degli ultimi mesi, dal rischio di attacco durante l’Election Day, alla botnet IoT che ha bloccato centinaia di siti, alle preoccupazioni espresse per gli ambienti industriali, alla recente frode che ha coinvolto Tesco Bank in UK, sono la dimostrazione di una vera e propria escalation del rischio cyber.
Negli USA con l’avvicinarsi delle elezioni che hanno portato alla vittoria di Donald Trump, è aumentato costantemente il timore che il corretto svolgimento del voto potesse essere inficiato da un attacco cyber. Già durante l’estate erano state osservate attività malevole, come ha dichiarato l’FBI a settembre: i sistemi di registrazione dei voti avrebbero subito nel periodo infiltrazioni esterne in almeno la metà degli Stati americani, un fatto che ha portato a fine ottobre alla richiesta da parte di tutti gli Stati di un aiuto per la protezione di questi sistemi direttamente al Dipartimento di Homeland Security (DHS). Le agenzie di intelligence USA hanno accusato la Russia di queste intrusioni (che potevano essere il preambolo di un attacco su larga scala) come anche era avvenuto in precedenza con l’accusa, rivolta sempre alla Russia, di aver attaccato e compromesso i sistemi di email di organizzazioni politiche impegnate nelle elezioni, come il Democratic National Commitee (DNC).
Sempre negli USA, a metà ottobre un gigantesco attacco DDoS colpendo un Internet service provider (Dyn) ha portato al blocco delle attività online di centinaia di siti, nomi come Twitter, eBay, passando per Netflix, Paypal ed editori come il New York Times e il Wall Street Journal. La peculiarità dell’attacco, come è emerso subito, è stata quella di avvalersi di una Botnet costituita da milioni di webcam infettate dal malware Mirai, sfruttando una vulnerabilità già nota. La stessa azienda produttrice, la cinese Hangzhou Xiongmai, aveva affermato che i device erano hackerabili, più che altro per la cattiva abitudine degli utenti a non modificare la password preimpostata dal produttore. L’azienda ha dovuto comunque intervenire ritirando le proprie webcam.
Sul fronte dei timori per le infrastrutture critiche nazionali, nell’ultimo anno gli episodi gravi sono stati molto più numerosi che in passato, dimostrando un’accresciuta capacità degli attaccanti di colpire sistemi come ambienti industriali e apparati di controllo dell’energia, dell’acqua o di altri servizi essenziali. Si parla oggi per questi casi di “Cyber Physical Risk”, in quanto le implicazioni dell’attacco hanno conseguenze gravi al di fuori del cyber spazio, ossia direttamente in contesti reali. A inizio novembre è stato osservato nella città di Lappeenranta (Finlandia orientale) un attacco DDoS che ha preso di mira un impianto di riscaldamento abitativo[1], mettendolo fuori uso per un giorno e quindi causando l’arresto del riscaldamento in due palazzi.
Abbastanza preoccupante anche l’intervento di Yukiya Amano, Direttore dell’International Atomic Energy Agency (IAEA) delle Nazioni Unite[2], che lo scorso ottobre ha sottolineato l’elevato rischio cyber per le centrali nucleari, rivelando che 3 anni fa, in una centrale nucleare che non è stata nominata, un attacco cyber aveva bloccato il funzionamento di alcune reti, creando alcuni problemi senza però forzare uno shutdown totale delle attività. In Regno Unito è stata quindi la volta del Cancelliere Philip Hammond, che a inizio novembre ha messo in guardia la nazione sulla possibilità di un attacco da parte di forze straniere ostili alle infrastrutture critiche del paese. Le parole del Cancelliere non hanno lasciato alcun dubbio sulla realtà del pericolo: “A small number of hostile foreign actors have developed and deployed offensive cyber capabilities, including destructive ones. These capabilities threaten the security of the UK’s critical national infrastructure and industrial control systems” ha detto Hammond. “There is no doubt in my mind that the precursor to any state-on-state conflict in the future would be a campaign of escalating cyber attacks, to break down our defences and test our resolve before any shots are fired.”[3]
E’ stata quindi la volta di Tesco Bank, che nel corso del fine settimana tra il 5 e il 6 novembre, è stata colpita da una frode con furto dai conti correnti di almeno 20.000 clienti per cifre fino a 1.000 sterline per conto. Forse perché colpita durante il week end, la Banca non ha gestito molto bene l’emergenza, non comunicando con chi chiamava per informazioni o fornendo informazioni non corrette. Inoltre è stata costretta a bloccare tutta l’operatività online. Quali conseguenze ci saranno? Molto dipende da come la Banca sarà in grado di reagire.
L’azione ha chiaramente portato a una perdita immediata: la capacità di ripresa dipenderà da come sarà in grado di ripristinare il servizio e soprattutto recuperare la fiducia dei suoi clienti. Imparando da un caso simile UK, quello dell’Internet Provider Talk Talk, che dopo il cyber attacco del 2015 ha perso circa 100.000 clienti. Secondo la FCA (Financial Conduct Authority) gli attacchi noti a istituti finanziari sono passati in UK da 5 nel 2014 a 75 nel 2016, contando quelli avveuti finora.
Quali le lezioni da questi eventi di Cybersecurity?
Dobbiamo oggi accettare che viviamo in un mondo in cui siamo circondati da oggetti che hanno tutta una lunga serie di vulnerabilità intrinseche (e non sono più solo PC ma anche telefoni, ascensori, sistemi di allarme, macchine, treni, ..), che possono quindi subire infiltrazioni con furto di informazioni o arresto del funzionamento.
I fatti che abbiamo presentato dimostrano soprattutto che affrontare il problema è urgente, e bisogna farlo nel modo migliore, ossia
- Concentrandosi sull’identificazione delle priorità, degli ambiti più importanti da proteggere, siano essi dati, processi, persone o cose.
- Preparandosi a gestire l’incidente quando, prima o poi, questo inevitabilmente avverrà. In gioco ci sono alcune cose molto importanti: la reputazione, la continuità del business, la retention dei clienti. Il costo dell’incidente può raggiungere in alcuni casi cifre elevate: nell’ultimo report, il Ponemon Institute[4] parla di un costo medio di 221 dollari per record compromesso, una cifra che è composta da 76 dollari per costi diretti collegati al data breach (risoluzione, costi in tecnologia o in consulenza legale), e per una cifra più elevata, 145 dollari, per costi indiretti (una stima che include il mancato business legato alla perdita successiva di reputazione e quindi di clientela).
A cura di:
Elena Vaciago, The Innovation Group