Alta reattività d’intervento!

Need for speed è il titolo di un famoso videogame dedicato alle corse in auto sportive, ma possiamo usarlo per parafrasare un situazione ricorrente in ambito di cybersicurezza, ovvero il bisogno di velocità e reattività per rispondere alle minacce informatiche. Prendiamo spunto da due eventi di questo maggio 2020 che sarà ricordato per due attacchi particolari: il primo, a quanto sembra iniziato mesi fa, riguarda il data breach subito dalla compagnia EasyJet che ha comportato il furto dati di 9 milioni di clienti, con il conseguente blocco parziale delle attività già messe in ginocchio dalla pandemia mondiale. Con l’indagine ancora in corso le informazioni non sono precise ma a quanto sembra si potrebbe trattare di una violazione che ha compromesso i servizi cloud dell’azienda. Un attacco condotto in modo diverso rispetto a quello del 2018 alla British Airways che era stato portato a termine in due settimane tramite la violazione dei dati attraverso un sito compromesso, con il furto delle informazioni di 380.000 passeggeri. Il data breach subito da EasyJet, secondo le indiscrezioni, non ha compromesso le credenziali di accesso degli utenti ma i dati che riguardano indirizzi e-mail, i dettagli di alcune carta di credito (fortunatamente poche) e le informazioni di viaggio dei clienti: tutti elementi potenzialmente utili ai cybercriminali per sviluppare campagne di phishing e malware. L’altra notizia, definita inizialmente una fake news, e per la verità passata in sordina in questo periodo di fase due, è l’incursione condotta dal collettivo di hacker Anonymous ai danni dell’ospedale San Raffaele di Milano. A prova dell’avvenuta incursione, tramite l’account Twitter degli hacker (@LulzSec_ITA), sono state messe online le prove della violazione dell’Intranet. Secondo il collettivo l’attacco è stato eseguito per dimostrare l’inadeguata protezione dei dati degli utenti. Qui la vicenda diventa fumosa e probabilmente nessuno saprà mai come sono andate effettivamente le cose, anche perché la stampa nazionale ha purtroppo dato poco risalto alla questione. Da una parte gli hacker dichiarano di aver agito dopo aver avvertito della vulnerabilità dell’infrastruttura informatica dell’Ospedale in modo che si prendessero provvedimenti, dall’altra il San Raffaele minimizza, confermando il tentativo di intrusione ma negando l’accesso ai dati sensibili, definendo che le informazioni trapelate fanno parte di un vecchio corso di formazione ormai dismesso da tempo. Il problema però è che questo attacco (a quanto sembra) sia stato portato a termine tra la metà e la fine dello scorso marzo e rivelato dagli attivisti dopo il 20 di maggio. Resta quindi da chiedersi (indipendentemente dalla validità di questi dati): l’intrusione è stata effettivamente rilevata? E nel caso lo sia stata, perché non è stata comunicata entro le 72 ore al Garante della privacy come da norme GDPR. Domande a cui probabilmente non avremo mai una risposta, vista la scarsità di dati disponibili. L’unico elemento certo, oltre ai dati apparsi su Internet, è che la direzione dell’Ospedale ha contattato gli organi competenti per fornire ogni utile chiarimento e che la violazione riguarderebbe un’applicazione obsoleta non legata ai sistemi operativi dell’Ospedale. L’altra buona notizie è che vista la tipologia provocatoria dell’attacco, per il San Raffaele non c’è stato nessun blocco alla normale operatività.

Casi diversi, stesse necessità

Sono due casi diversi e controversi, e gli elementi disponibili al momento sono troppo scarsi per una corretta valutazione. L’unica somiglianza in queste due casistiche è che gli attacchi sono stati portati a termine nel lungo periodo. Resta quindi fondamentale mettere in evidenza quanto siano essenziali i protocolli di sicurezza, le certificazioni dell’infrastruttura e le valutazioni per la Vulnerability Assessment. Ma l’altro elemento chiave, da tenere bene in considerazione, è la reattività nel certificare l’avvenuto attacco, bloccandolo al suo insorgere e la velocità nel ripristinare nel più breve tempo possibile l’infrastruttura. Le procedure di sicurezza e il loro livello sono fondamentali per prevenire e bloccare le intrusioni, ma nel caso di una violazione è importante affidarsi ad aziende agili e rapide come Hypergrid che possano agire con tempi di risposta rapidissimi per limitare i danni e ripristinare l’infrastruttura eliminando i tempi di blocco per tornare subito operativi. Per le aziende che subiscono intrusioni sono spesso più costosi i giorni di fermo alla lavorazione che gli effettivi danni causati dagli eventuali furti di dati. Per esempio Hypergrid Disaster Recovery è un servizio in grado di garantire una elevata efficienza nel ripristino delle attività, così come il Security Data Recorder è in grado di registrare tutto il traffico di rete e, in caso di verifiche, è in grado individuare le problematiche dell’attacco e sollevare i responsabili dei servizi informatici dall’attribuzione di responsabilità. Oltre alla grande professionalità del team Hypergrid, uno dei valori dell’azienda è la flessibilità nell’approntare soluzioni adatte alle necessità di ogni azienda privilegiando la sicurezza e la soddisfazione del cliente.

Per consulenze e informazioni non esitate a contattarci all’indirizzo info@hypergrid.it