Mandiant, società di cybersecurity di derivazione militare, è stata acquisita da Google nel 2022 per 5,4 miliardi di dollari e integrata in Google Cloud. Nella sede di Google Italia la società americana ha invitato un ristretto gruppo di giornalisti per coinvolgerli in un test a base di domande. L’obiettivo era fotografare l’atteggiamento dei manager aziendali rispetto alle difese, necessarie per evitare furti di dati e sequestro dei pc in rete con attacchi DDoS (distributed denial of service, cioè tentativi di bloccare server, siti o reti inondandoli di traffico).
Si è scoperto che le assicurazioni, le cui polizze proteggono le società dagli attacchi, non pagano un euro se tali attacchi arrivano dai governi. In questo caso, infatti, le violazioni rientrano nella sfera delle attività di guerra. E qui entrano in gioco i servizi offerti da società come Mandiant, che riescono a stabilire la fonte degli attacchi.
Un gruppo di hacker che usa il furto dei dati per chiedere un riscatto in criptovalute, oppure blocca i sistemi e li sblocca solo quando ha ricevuto i soldi, si chiama FIN11 (Fineleven) ed è molto abile nell’attaccare con una modalità insidiosa: attacca il venerdì sera, quando le aziende chiudono per il weekend e le reti e i pc restano sulle scrivanie. “Il rischio per aziende e team di security”, continua Zanoni, “è andare nel panico e staccare tutto. Un atteggiamento sbagliato che a volte non permette agli esperti di sicurezza di entrare nel sistema e mettere in salvo i dati in un backup protetto”.
C’è un termine tecnico fondamentale per l’intervento tempestivo sugli attacchi: dwell time. Misura il tempo che intercorre tra l’intrusione e la segnalazione da parte delle aziende. Un sondaggio di Mandiant parla di ritardi fino a duemila giorni, circa sei anni. Gli attacchi, in questi casi, sono subdoli e progressivi e riguardano reti composte da migliaia di pc. Quando suona l’allarme, il furto dei dati è già molto avanti.
Una ricerca Mandiant sui tipi di aziende colpite dagli attacchi hacker mette al primo posto le aziende tecnologiche, seguite da telecomunicazioni, servizi finanziari e pubblica amministrazione. Quando era ministro, Vittorio Colao denunciò la grave inadeguatezza dei sistemi che proteggono la Pa e in particolare tutto il sistema sanitario, con il caso del Fatebenefratelli di Milano rimasto bloccato per giorni e i medici, che dovevano compilare i moduli con la penna. Oppure quello del San Raffaele, con il furto dei dati e delle cartelle cliniche.
Si trattava di attacchi DDoS. Le cartelle cliniche sottratte, in questi casi, vengono rivendute nel deep web e i dati sulla salute dei cittadini possono essere miele per le compagnie che emettono polizze vita.
Sul fronte privato le cose vanno un po’ meglio. La buona notizia è che le grandi aziende clienti di Mandiant seguono stage su come reagire in caso di attacco e quale comportamento bisogna assumere per prevenirli. La brutta notizia è che le pmi, che hanno poco personale dedicato alla difesa e budget inadeguati al livello degli attacchi, si rivolgono agli sceriffi del web solo dopo che il danno è stato fatto.
di Massimiliano Gonzi