Mandiant, società di cybersecurity di derivazione militare, è stata acquisita da Google nel 2022 per 5,4 miliardi di dollari e integrata in Google Cloud. Proprio nella sede di Google Italia la società americana ha invitato un ristretto gruppo di giornalisti per coinvolgerli come cavie in un test a base di domande. L’obiettivo era fotografare l’atteggiamento dei manager aziendali rispetto alle difese necessarie per evitare furti di dati e sequestro dei pc in rete con attacchi DDoS (distributed denial of service, cioè tentativi di bloccare server, siti o reti inondandoli di traffico).
Si è scoperto che le assicurazioni, le cui polizze proteggono le società dagli attacchi, non pagano un euro se tali attacchi arrivano dai governi. In questo caso, infatti, le violazioni rientrano nella sfera delle attività di guerra. E chi riesce a stabilire la fonte di questi attacchi? “Rientra nei nostri servizi”, afferma Gabriele Zanoni, consulting country manager Italy di Mandiant. “Questa attività, detta di attribuzione, è molto delicata e non sempre facile da gestire. Sappiamo, in termini generali e statistici, che gran parte degli attacchi arrivano da paesi dell’Est Europa e dalla Russia, ma ci sono tanti altri attaccanti che agiscono da paesi che non nessuna intenzione di perseguirli”.
I pompieri della sicurezza
Un gruppo di hacker che usa il furto dei dati per chiedere un riscatto in criptovalute, oppure blocca i sistemi e li sblocca solo quando ha ricevuto i soldi, si chiama FIN11 (Fineleven) ed è molto abile nell’attaccare con una modalità insidiosa: attacca il venerdì sera, quando le aziende chiudono per il weekend e le reti e i pc restano sulle scrivanie. “Il rischio per aziende e team di security”, continua Zanoni, “è andare nel panico e staccare tutto. Un atteggiamento sbagliato che a volte non permette agli esperti sicurezza di entrare nel sistema e mettere in salvo i dati in un backup protetto”
C’è un termine tecnico fondamentale per l’intervento tempestivo sugli attacchi: dwell time. Misura il tempo che intercorre tra l’intrusione e la segnalazione da parte delle aziende. Un sondaggio di Mandiant parla di ritardi fino a duemila giorni, circa sei anni. Gli attacchi, in questi casi, sono subdoli e progressivi e riguardano reti composte da migliaia di pc. Quando suona l’allarme, il furto dei dati è già molto avanti. “Il nostro lavoro è assimilabile a quello dei pompieri”, spiega Giancarlo Marengo, country manager di Mandiant Italia. “Bisogna chiamarli quando si vedono le prime fiamme. Poi l’incendio potrebbe essere indomabile”.
Gli attacchi alla pubblica amministrazione
Restiamo sulla metafora dell’incendio: quali sono i settori che in Italia vanno in fiamme più spesso? Una ricerca Mandiant mette al primo posto le aziende tecnologiche, seguite da telecomunicazioni, servizi finanziari e pubblica amministrazione. E qui cominciano i guai. Quando era ministro, Vittorio Colao denunciò la grave inadeguatezza dei sistemi che proteggono la Pa e in particolare tutto il sistema sanitario, con il caso del Fatebenefratelli di Milano rimasto bloccato per giorni e i medici che dovevano compilare i moduli con la penna. Oppure quello del San Raffaele, con il furto dei dati e delle cartelle cliniche.
Si trattava di attacchi DDoS. Le cartelle cliniche sottratte, in questi casi, vengono rivendute nel deep web e i dati sulla salute dei cittadini possono essere miele per le compagnie che emettono polizze vita.
Sul fronte privato le cose vanno un po’ meglio. La buona notizia è che le grandi aziende clienti di Mandiant seguono stage su come reagire in caso di attacco e quale comportamento bisogna assumere per prevenirli. La brutta notizia è che le pmi, che hanno poco personale dedicato alla difesa e budget inadeguati al livello degli attacchi, si rivolgono agli sceriffi del web solo dopo che il danno è stato fatto. La guerra in Ucraina ha moltiplicato in modo esponenziale il numero degli attacchi e l’eterna lotta tra sceriffi e ladri di dati promette per le società di security fatturati solidi per i prossimi decenni. Un altro grande tema, sollevato da un’azienda globale come Cisco, è la carenza di specialisti della sicurezza. Le aziende ne cercano dieci ma ne trovano solo due sul mercato italiano.
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .