Quando ci troviamo a sensibilizzare i nostri clienti sulla necessità di dotarsi di strumenti di cyber sicurezza adatti ai tempi e ai rischi, non incontriamo alcuna reticenza su antivirus e antimalware: è un dato assodato e riconosciuto che strumenti come questi sono essenziali. Molto più complesso diventa invece far cogliere la necessità di una protezione sulla rete e sui dati e non solo sul singolo endpoint. Anche far capire l'importanza di dotarsi di almeno due copie di backup (che è già un requisito minimale), possibilmente una offline in locale e una in cloud, non è affatto semplice. Argomentare che il più grosso rischio che ad ora possono correre le aziende è quello di subire un attacco ransomware (sicuramente non l'unico rischio, ma quello con le più alte potenzialità di fare danni) non sembra un tema convincente: l'informazione pare oltremodo viziata dai casi eclatanti, dai grandi nomi e brand che finiscono vittime di ricatti milionari. Insomma, per la maggior parte delle aziende e delle piccole attività, i ransomware sono un problema lontano, che deve preoccupare soltanto le grandi aziende o enti.
La vicenda accaduta nel varesotto ci è "utile" per concretizzare invece il problema ransomware e renderlo per quel che è, ovvero un rischio che può riguardare tutti e per il quale i costi di messa in sicurezza / mitigazione possono essere davvero risibili rispetto a quelli necessari ad affrontare le conseguenze di un attacco di questo tipo.
I fatti in breve sono questi: sabato 9 Gennaio, una farmacia in provincia di Varese si trova costretta a chiudere temporaneamente i battenti. Il motivo, spiegano ai giornali locali, è che la farmacia ha subito un attacco informatico: «con richiesta di riscatto. Il virus è entrato dal sistema attraverso una mail nonostante avessimo attivato tutte le protezioni del caso».
Insomma un classico: una email compromessa che viene aperta, per sbadataggine o scarsa consapevolezza, un virus che si insinua nel pc e da quello si diffonde in tutta la rete. Magari (andiamo a supporre, non vi sono indicazioni tecniche in questo senso), sul pc è in uso un antivirus gratuito o comunque non dato di sistemi di individuazione comportamentale in tempo reale e il gioco è fatto. Mettiamoci poi che il ransomware non si attiva subito, ma ore dopo, alle 2 di notte come è effettivamente successo in questo caso, così nessuno si accorge del fatto che in poche ore tutto il sistema informatico (compreso il database con i farmaci, quello delle ricette, lo scadenzario, l'intero sistema amministrativo) finisce irraggiungibile. La mattina dopo una richiesta di riscatto troneggia sul desktop e in ogni cartella, con un esplicito ricatto alle vittime: "se vuoi tornare in possesso dei tuoi file, pagaci il riscatto in Bitcoin". I dipendenti della farmacia si sono infatti resi effettivamente conto dell'attacco il sabato mattina, quando, all'accensione dei computer, hanno visualizzato la richiesta di riscatto.
"Abbiamo spento immediatamente tutto e avvisato i tecnici: chiaramente non abbiamo mai avuto intenzione di pagare. Quindi abbiamo presentato denuncia ai carabinieri e poi alla polizia postale. Oggi tramite Pec, che sabato non potevamo utilizzare, abbiamo avvisato anche Ats" testimonia il titolare ai giornali.
La farmacia è riaperta ieri, tanto è durato il lavoro dei tecnici per rendere di nuovo accessibili i database e i file e per sincerarsi del fatto che gli attaccanti non fossero più presenti nella rete. Non è ancora riaperto, invece, un dispensario servito dalla stessa farmacia, sul quale sono ancora in corso accertamenti tecnici.
Il titolare ha anche fatto sapere di aver sporto denuncia alla Polizia Postale, ma si è scontrato con tutte le difficoltà che di solito rendono impossibile risalire agli attaccanti: l'attacco non è infatti stato mirato, ma faceva parte di una massiva campagna di phishing che avrà visto l'invio di centinaia di migliaia, sennò milioni di email, inoltre tutto il traffico è rimbalzato verso server esteri. Insomma la denuncia, ha dichiarato il titolare fuori dai denti, non serve ad avviare indagini utili ad acciuffare i cybercriminali: è più una forma di tutela e da eventuali rimostranze. A riprova che i ransomware non generano solo danni economici, ma determinano anche strascichi legali e sulla fiducia dei clienti.
Un'ultima riflessione: certe volte sono meglio i pesci piccoli
E' difficile non contestualizzare la vicenda nel più ampio panorama dei cyber attacchi: non è un segreto, anzi lo abbiamo ripetuto molte volte, che il settore sanitario è ormai uno dei bersagli preferiti del cybercrime. Per un duplice motivo: nei sistemi delle organizzazioni agenti in questo settore si trovano non solo dati personali, non solo dati finanziari, ma anche i (potenzialmente) più preziosi dati sanitari. In un settore come questo, un cyber attaccante può fare lauti guadagni (rivendendo i dati, truffando assicurazioni sanitarie, impersonificando qualcun altro a fini di truffa, rubando proprietà intellettuale e brevetti), ma sa bene che scontrarsi direttamente con le Big Pharma può essere estremamente complesso.
In questo caso quindi è forse più facile concentrarsi su piccole aziende, studi medici, ospedali privati di piccole-medie dimensioni. E i dati confermano il punto: se in alcune parti del mondo il sistema sanitario e le grandi catene farmaceutiche si stanno dotando di sistemi di protezione simili o uguali a quelli enterprise, in Italia la maggior parte delle farmacie (anche di grandi catene) continua ad adottare protezioni adatte a piccoli uffici o addirittura alle reti domestiche, con una protezione perimetrale veramente minimale. Insomma, le farmacie sono facili e appetibili bersagli in una filiera molto complessa e non da oggi, ma maggiormente con l'arrivo della pandemia Covid19, sempre più sotto i riflettori del cybercrime.
Nessun commento:
Posta un commento