Il caso ESXiArgs e il valore della protezione dei dati in caso di attacco hacker

Domenica 5 febbraio 2023 abbiamo assistito all’attacco informatico più grave (per ora…) del nuovo anno. L’azione offensiva, secondo le ricostruzioni, è stata condotta per mezzo di un ransomware non particolarmente sofisticato, da parte di un gruppo di cyber-criminali comuni, capaci però di colpire migliaia di sistemi informatici in molte nazioni, fra le quali Canada, Francia, Finlandia, Italia e Stati Uniti. (Fonte: Corriere Tecnologia)

Lo schema operativo era molto semplice: una volta penetrato nel sistema vulnerabile, il malware – che gli esperti hanno ormai battezzato ESXiArgs – criptava i dati in esso contenuti, concedendo 3 giorni di tempo per pagare un riscatto (in Bitcoin) di circa 42.000€. Se le vittime non si fossero affrettate a pagare, parte dei dati sequestrati sarebbero stati diffusi, e il prezzo del riscatto sarebbe aumentato; inoltre, i clienti delle aziende interessate dall’attacco sarebbero stati informati dell’avvenuta violazione dei loro dati sensibili.

Il ransomware: cronaca di un disastro annunciato

Quel che gli esperti di cybersicurezza hanno trovato davvero preoccupante, tuttavia, non è stata tanto la pervasività dell’attacco degli hacker, o la sua velocità, bensì le gravi carenze che questo episodio ha rivelato sul lato della difesa dei sistemi da parte di privati e pubbliche amministrazioni.

Il ransomware in questione, infatti, prendeva di mira una falla nei server VMware ESXi (una piattaforma di virtualizzazione molto usata negli ambienti aziendali) la quale non solo era già nota da tempo, ma era anche già stata, teoricamente, riparata attraverso una patch rilasciata da circa due anni!

Questo vuol dire che se l’attacco è andato comunque a segno in migliaia di casi, creando i danni e la risonanza mediatica che sappiamo, ciò non è dovuto a chissà quale abilità dei criminali che hanno agito, bensì a una grossolana distrazione collettiva, cioè il mancato aggiornamento dei sistemi con la patch del 2021: una “svista” che ha lasciato aperto il “buco” nel quale gli hacker si sono abilmente infiltrati. Distrazione aggravata dalla circostanza che già da tre giorni il Cert francese avesse diramato un allarme in proposito, poi ripreso anche dal Csirt italiano.

Il problema della sicurezza informatica è strategico

Se una lezione si può trarre da quanto accaduto il 5 febbraio, dunque, è che la cultura della cybersecurity e l’attenzione alle esigenze della protezione dei dati faticano ancora, in moltissime realtà sia pubbliche che private, ad entrare davvero nel patrimonio di conoscenze e competenze degli operatori.

Da più parti, in conseguenza dell’attacco, si è fatto notare come spesso le questioni legate alla sicurezza informatica vengano ancora percepite come aspetti secondari del lavoro, come elementi puramente tecnici e perciò riservati a chi se ne deve occupare nel momento in cui si verifichi un problema – un po’ come avviene per la manutenzione degli ascensori. Manca una percezione chiara del valore della prevenzione degli incidenti, così come una cura costante in tal senso.

Eppure, attraverso la sicurezza informatica un’azienda tutela nei fatti qualcosa di estremamente prezioso: una parte delle proprie risorse e spesso la propria stessa capacità di funzionamento.

Quali sono le soluzioni per le aziende?

L’esigenza di cambiare le cose, facendo fronte a questo tipo di attacchi in modo più efficace, passa a questo punto necessariamente attraverso due canali: certo quello morbido della formazione e dell’insistente comunicazione circa l’importanza della cybersicurezza, da un lato, ma anche quello duro dell’attivazione di una normativa rigida e non aggirabile che ponga il tema al centro dell’attenzione degli operatori, dall’altro. In fondo, è il ragionamento di molti, anche nel caso delle misure antisismiche, antincendio o di pubblica sanità lo strumento della legge si è rivelato decisivo nel radicare nuovi standard di comportamento e sensibilità più mature riguardo ad aspetti fondamentali delle attività produttive. L’approccio alla sicurezza digitale non dovrebbe essere diverso.

Per le PMI il rischio di attacco hacker è anche maggiore

Resta tuttavia il problema di gestire immediatamente, nel qui e ora, giorno dopo giorno, i rischi crescenti connessi alla digitalizzazione dell’economia. I processi politici, si sa, sono lunghi e richiedono complessi bilanciamenti fra diversi interessi in gioco, oltre a porre questioni di tecnica regolativa spesso non indifferenti. Che fare per tutelarsi al meglio dalle minacce crescenti?

Il problema, manco a dirlo, è particolarmente sentito proprio dalle piccole e medie imprese, le quali, come abbiamo già avuto modo di ricordare, spesso corrono i maggiori rischi e subiscono i più gravi danni da un attacco informatico.

A differenza delle grandi aziende, infatti, le PMI hanno minori margini di ripresa e continuità operativa, oltre a sentire più intensamente il peso dei costi connessi ad una puntuale adesione ai requisiti di sicurezza oggi vigenti. Diviene pertanto inderogabile lo sviluppo di capacità di vigilanza e proattività smart, finalizzate a garantire almeno i livelli di protezione essenziale dei propri sistemi.

La guida alla cybersecurity di pmi next con EU SME

A questo fine, uno strumento utile che pmi next può subito mettere a vostra disposizione è la guida elaborata da un gruppo di esperti d’implementazione dei controlli di sicurezza, grazie alla quale potrete verificare i 16 controlli fondamentali per la vostra conformità al GDPR.

La guida è il frutto di una collaborazione fra la European Digital SME Alliance e l’organizzazione non-profit per la definizione degli Small Business Standards (SBS). In essa non troverete solo spunti di sensibilizzazione, ma passi concreti per migliorare il livello delle vostre difese digitali in ogni scenario.

Dove trovarla? Potete scaricarla liberamente dal nostro sito, compilando il modulo di download.