Nonostante le indicazioni di forze dell’ordine e specialisti di sicurezza informatica, il 60 percento delle aziende ha ammesso in un sondaggio condotto da Harris Interactive che pagherebbe il riscatto richiesto dai cyber criminali in caso di attacco ransomware. La cifra che sarebbero disposti a pagare è pari al 20% o più delle entrate annuali della propria azienda.

Il sondaggio pochi giorni dopo che il colosso statunitense della lavorazione della carne, JBS, ha confessato di aver pagato 11 milioni di dollari al gruppo ransomware REvil, che aveva bloccato i suoi sistemi alla fine di maggio. All'esempio negativo di JBS si contrappone quello positivo della multinazionale giapponese Fujifilm, che ha rifiutato di pagare la richiesta di riscatto e ha ripristinato i sistemi facendo conto sui suoi backup funzionanti.

Se il sondaggio fosse veritiero, significherebbe che il triste presagio del costo dei ransomware presto fuori controllo sarebbe prossimo all’avverarsi. Il motivo per il quale è sconsigliato pagare i riscatti, infatti, è che ingrassando le tasche dei criminali informatici si crea un circolo vizioso che alimenta altri attacchi, in una spirale che rischia di essere senza fine.

Da qui la recrudescenza dei cyber attacchi e l’eccessiva concentrazione dei responsabili della security sui ransowmare: stando ai sondaggi, l'80% dei professionisti della sicurezza informatica pone maggiore enfasi sulla protezione dalle minacce ransomware. Tuttavia, le minacce più pericolose sono quelle APT, quelle alla supply chain e quelle silenti, come ricorda il caso Solar Winds. Non solo: troppa attenzione sui ransomware porta a perdere di vista il patch management e la gestione delle vulnerabilità, che favoriscono tutti i tipi di attacco.

Non pagare i riscatti

L’unica soluzione logica al problema è quella di non pagare riscatti. Anche nel momento in cui l’azienda vittima potesse dedurre dalle tasse le quote di riscatto versate ai criminali informatici. Sembra un’idea pazzesca, ma Oltreoceano sono molti gli esperti che hanno iniziato a pensare che sia possibile farlo, appellandosi al cavillo legale per il quale è già possibile detrarre le perdite da crimini tradizionali, come rapina o appropriazione indebita.

La questione tuttavia non si risolve con un cavillo fiscale. Fino a quando le vittime pagheranno, gli attaccanti continueranno ad aumentare le loro richieste, soprattutto se vedranno che le aziende sono disposte a pagare. La cosa giusta da fare sarebbe investire in modo proattivo nelle strategie di prevenzione degli attacchi.