C’è una analogia fra gli attacchi ransomware visti nel 2021 e quelli legati al conflitto ucraino, che potrebbero minare la sicurezza informatica delle aziende occidentali: le organizzazioni vulnerabili non possono appellarsi ai propri governi per essere protette, anche qualora fossero semplicemente obiettivi non intenzionali. Una tale capacità di schermatura a livello statale non esiste.

Lo ha messo in chiaro Hitesh Sheth, Chief Executive Officer di Vectra AI, riprendendo un concetto che era già stato ampiamente trattato quando si verificarono attacchi di grande portata mediatica come SolarWinds, Colonial Pipeline e JBS: sebbene le forze dell’ordine indaghino sulle responsabilità, cerchino attivamente di assicurare alla giustizia i responsabili, e diffondano linee guida per la cyber difesa delle imprese, i Governi non possono fare da scudo.

Possono promuovere azioni comuni contro il cybercrime, come la Counter-Ransomware Initiative, ma spetta poi a ogni singola azienda proteggere il proprio business. È un dato di fatto che valeva un anno fa, e che vale ancora di più oggi, in un contesto inedito di guerra informatica globale e multilaterale, che in quanto tale è del tutto imprevedibile. Sheth ribadisce infatti quello che per tutti dovrebbe essere ormai ovvio. “nessuna agenzia di intelligence è certa di come la dimensione cibernetica del conflitto ucraino si evolverà; nessun militare può fermare un attacco informatico”.

L’idea è terrificante, ma bisogna prenderci l’abitudine: nella sfera digitale, presidenti e generali non hanno sempre il controllo. E se sul campo è facile comprendere quali sono le parti in lotta e da quale parte combattono, nell’ambito cyber questo è tutto fuorché chiaro.

Quasi impossibile accertare la colpevolezza

Per logica ipotizziamo che i threat actor russi stiano combattendo contro l’Ucraina e che quelli occidentali siano schierati contro la Russia. Ma certo non c’è nulla. Come fa notare Sheth, vendicare i danni di un attacco informatico è quasi sempre un business rischioso. Anche gli attacchi “di routine” vengono conditi con false piste tra le linee di codice che complicano la rappresaglia. Questa tipica incapacità di identificare con certezza un colpevole finora ha funzionato da freno agli attacchi di vendetta impulsiva. Il fatto che Anonymous sia così difficile da individuare rappresenta un’opportunità per le operazioni sotto falsa bandiera russa. La Russia potrebbe auto-infliggersi danni informatici, incolpare Anonymous e creare un nuovo pretesto per ulteriori azioni offensive. Un contrattacco di rappresaglia potrebbe scatenarsi in modi inaspettati e causare disastri imprevisti.

Nell’impossibilità di individuare un colpevole univoco e inequivocabile, e quindi di potersi vendicare, l’unica mossa possibile è difendersi da chiunque. Un compito tutt’altro che facile, per quella che Sheth chiama una dolorosa verità: le difese informatiche oggi sono un ibrido frammentato di iniziative pubbliche e private. Nel cyberspazio le organizzazioni private devono fare i propri investimenti in misure difensive e tenerle aggiornate. In caso di attacchi informatici su larga scala, raramente vengono informate dai governi.

In questo torbido, instabile teatro di guerra, quindi, la sicurezza delle istituzioni democratiche occidentali e dei sistemi sociali dipende non solo dalla forza statale o militare, ma dalle decisioni di innumerevoli organizzazioni private. La debolezza è contagiosa; un’organizzazione che non riesce a proteggere sé stessa offre un vettore che gli hacker “black hat” possono sfruttare contro altri.

Mancanza di consapevolezza

Un preoccupante sondaggio condotto da Vectra AI rivela che l’80% dei team di sicurezza aziendali credeva di avere visibilità “buona” o “molto buona” su attacchi diretti ai firewall, eppure nel 2021 i costi della criminalità informatica sono stati stimati in 6 miliardi di miliardi di dollari, e stavano aumentando anche prima della crisi in Ucraina. Praticamente tutte le vittime di attacchi informatici aziendali credevano di avere solide difese in atto.

Questi giorni difficili dovrebbero far venir meno anche gli ultimi barlumi di una tale convinzione. Il conflitto in Ucraina ci insegna a investire nella preparazione informatica, non nella gestione delle crisi ex post. Ogni organizzazione deve rivedere la propria tolleranza al rischio informatico e i piani di continuità aziendale, nel caso in cui i problemi informatici interrompano il funzionamento delle normali operazioni.

Le difese informatiche incentrate sulla protezione dei perimetri delle reti aziendali sono ormai sempre più superate rispetto ai moderni attacchi informatici, soprattutto in un periodo in cui i lavoratori da remoto operano su sistemi domestici e data storage in cloud non sicuri. Il rilevamento e la correzione rapidi, basati sull'intelligenza artificiale, offrono una strategia di sicurezza molto più efficace. Poiché il panorama digitale nel suo complesso è così poco regolamentato e privo di leggi, e poiché le risorse pubbliche non sono attrezzate per salvare le risorse digitali private, non abbiamo altra scelta che massimizzare le nostre difese informatiche un’organizzazione alla volta.