Scenario

Current global scenario

Il cambio di perimetro: da spazio a Cyberspazio, da crimine a Cybercrime

Il tema Cybersecurity sale sempre più spesso agli onori della cronaca: aziende e infrastrutture sono rese inservibili da quelli che vengono chiamati “attacchi hacker”. Questo scenario, che è diventato geopolitico, ha tre forze abilitanti:

  1. Il perimetro di sicurezza delle aziende, una volta ben identificato con il perimetro fisico delle stesse, assume ora contorni sempre più vasti e sfumati: lavoratori remoti, Smartworking, servizi cloud-based, hanno esteso la superficie aziendale fino a casa degli utenti, o fino a nazioni remote non ben determinate. Per capire quanto questo possa impattare, occorre ricordare che il data breach di LinkedIn del 2012 è stato reso possibile grazie alla compromissione della rete casalinga di uno dei dipendenti che aveva la possibilità di lavorare da remoto.
  2. Le Cryptovalute hanno fornito un sistema che permette di trasferire denaro da una parte all’altra del mondo senza la necessità di affidarsi a canali istituzionali. Sebbene non propriamente anonime, le Cryptovalute garantiscono, attraverso sistemi addizionali, un buon livello di riservatezza e di irrintracciabilità.
  3. Il crimine informatico è diventato una professione per un gran numero di individui, che in molti casi si sono raggruppati per ottenere un vantaggio economico. Utilizzare l’appellativo “hacker” è fuorviante poiché questo tipo di crimini sono realizzati da vere e proprie organizzazioni che hanno un proprio business model.

Cenni sul mercato del Cybercrime

Sebbene gli attacchi tramite “ransomware” siano quelli che salgono più spesso agli onori della cronaca, essi sono in realtà una frazione molto piccola della rendita del Cybercrime. L’industrializzazione del Cybercrime sta trasformando una professione in un business model erogato da “aziende”: il Crime as a Service (CaaS) è costituito da vere e proprie organizzazioni strutturate con finalità criminali in grado di offrire un “catalogo servizi” completo ai propri “clienti”. Legando il concetto di Ransomware e CaaS, si ottiene un servizio “Ransomware as a Service” che permette a chiunque di entrare in una sorta di “franchising” del ransomware: gli associati possono costruire il proprio ransomware in modo semplice, devolvendo una parte del ricavato al “franchising”.

Il data trading è solitamente parte di attacchi veicolati da ransomware: i criminali, prima di compromettere irrimediabilmente le aziende, esfiltrano dati per poter massimizzare il proprio guadano. Tali dati verranno comunque venduti al migliore offerente, anche in caso di riscatto pagato.

Una evoluzione del data trading è il furto, spesso su commissione, mirato di informazioni specifiche (brevetti, proprietà intellettuale…).

L’ultimo comparto è caratterizzato dai mercati illegali, dove si possono acquistare servizi più generali (droga, armi, killer…).

Sebbene ogni nazione abbia caratteristiche specifiche per il tipo di aziende, la dimensione, gli introiti, fatturato e consapevolezza, è interessante notare che il costo medio di un data breach in Italia è di circa 3 milioni di dollari. Nel costo sono considerati i dati persi per sempre, il personale impossibilitato a lavorare, le consulenze per ripristinare l’operatività, la perdita di fatturato e di immagine.

Occorre inoltre notare che le assicurazioni stanno inserendo delle clausole di esclusioni sugli attacchi veicolati tramite ransomware.

A proposito dei ransomware, essendo dei software sono soggetti a bug o malfunzionamenti. Il 40% delle aziende che hanno pagato il riscatto non riescono a ripristinare i propri dati. Questo impedimento non è solitamente una cosa voluta dal criminale, ma un errore del ransomware che ha reso indecifrabile il dato. Allo stesso modo può capitare che in particolari condizioni un ransomware non si attivi come previsto, permettendo di salvare dalla compromissione parte dei dati.

Il rapporto costi / benefici

La rendita del Cybercrime è superiore a qualsiasi azienda high-tech di oggi e si avvicina più a quella del PIL della Spagna. Per comprendere il fenomeno occorre considerarle delle aziende criminali, e individuare quindi il loro business model.

Se alla base c’è sempre la “sostenibilità” economica e la massimizzazione degli “introiti”, ciascuna organizzazione criminale può avere delle specializzazioni; tuttavia il primo passo è sempre la scelta del bersaglio che ipoteticamente può garantire maggior guadagno e che espone una maggiore debolezza, quindi una maggiore facilità di esecuzione dell’attacco.

In questo senso si parla di rapporto costi / benefici: il primo fattore da considerare nell’implementare una strategia di difesa è il rendere anti-economico l’attacco, ovvero adottare misure di sicurezza tecniche ed organizzative tali da scoraggiare azioni mirate da parte del criminale, rendendole troppo costose in rapporto ai guadagni che tali azioni potrebbero garantirgli.

Il secondo fattore di questo rapporto permette di definire delle misure di sicurezza adeguate, ma non eccessive, ovvero calibrate rispetto al rischio che l’azienda effettivamente corre. Una Business Impact Analysis permette alle aziende di trovare il corretto equilibro costi-benefici per la costruzione di una strategia di difesa, così da rendere quest’ultima strumento per la creazione di valore ed innovazione, e non un appesantimento inutile.