Tra superlativi relativi e talvolta assoluti (il più grave, senza precedenti, inaudito) si sta dipanando la crisi informatica che ha coinvolto i sistemi della Regione Lazio. Se da un lato chi si occupa di sicurezza auspica che l’eco mediatica di certi eventi funzioni come “sensibilizzatore” di un ‘opinione pubblica spesso distratta e quasi sempre insensibile a certi eventi, dall’altro non può fare a meno di restare perplessi perché l’accaduto rientra in quello che si può definire “business as usual”. Da molti anni si verificano attacchi di questo genere e che fossero destinati a crescere lo sapevano tutti quelli del settore, consapevoli peraltro che la pandemia ha funzionato come un acceleratore.
Le ragioni dell’inevitabile esplosione dei crimini informatici sono note: alta redditività, bassa punibilità e tutto sommato spesso non sono necessarie competenze tecniche straordinarie. Tuttavia la domanda che più spesso mi viene posta riguarda quali misure di sicurezza possono prendere le organizzazioni e in buona sostanza cosa si può fare per minimizzare le conseguenze.
Se qualcuno ha mai letto qualche mio scritto si aspetta che a questo punto inizi a parlare di cultura e consapevolezza. Di certo non intendo deluderlo, ma questa volta non mi riferirò alla necessità di educare e formare le persone, quanto piuttosto a un altro aspetto essenziale: l’importanza di condividere le informazioni. La stragrande maggioranza delle organizzazioni che subisce un attacco assume un atteggiamento “omertoso”: non trapela alcuna notizia se non parziale e di solito rivelata dai media che non sempre hanno le competenze per essere “utili”. In realtà, gli attacchi non sono casi isolati, ma spesso si tratta di vere e proprie campagne di aggressione che puntano a centinaia di obiettivi diversi. Se le prime vittime tacciono, tutti gli altri non avranno mai idea di essere bersagli designati. La situazione è quella del gregge di pecore alle prese con il branco di lupi. Questi ultimi ne mangiano una alla volta e in assenza di qualcuno che dia l’allarme e fornisca qualche indicazione precisa per i predatori un semplice pasto diventa una facile abbuffata.
Nel settore si parla di IoC (Indicator of Compromise) in riferimento all’indicazione della presenza di un’evidenza che possa consentire di individuare una possibile intrusione e/o la presenza di un malware. Il solo rendere note queste informazioni potrebbe consentire a decine di vittime di salvarsi. Invece non accade praticamente mai.
Trovo incredibile come tutti parlano dei dati come il petrolio del XXI secolo, ma nessuno ha ancora ben chiaro come utilizzarli in ambito cybersecurity. La parte drammatica è che i criminali, invece, questa regola l’hanno compresa fin troppo bene.
https://www.facebook.com/curioni.alessandro
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
