Il ransomware resta il principale pericolo cyber per le imprese, e poco importa il modo in cui la cybersecurity di una azienda viene "bucata" per diffondere il malware nella sua infrastruttura. Il problema non è nuovo e il fatto che gli attacchi ransomware riusciti non diminuiscano stabilmente nel tempo dimostra quanto i threat actor siano comunque abili nell'aggirare qualsiasi forma di difesa. la questione, dunque, resta chiave.

Questo tema lo si tratta forse troppo spesso dal punto di vista delle grandi imprese. Che chiaramente sono le prede più appetibili per i criminali informatici - e la cronaca lo dimostra ormai quotidianamente - ma sono anche le organizzazioni più in grado di assorbire l'impatto di un attacco ransomware. Magari con fatica, però riescono a farlo.

C'è meno letteratura, per così dire, su come le piccole e soprattutto le medie imprese riescono a gestire un attacco ransomware e soprattutto le sue conseguenze. Le piccole aziende sono storicamente le meno difese, per questioni tecnologiche ma anche culturali, ma il più delle volte sono anche le organizzazioni che subiscono meno attacchi mirati e hanno anche meno da perdere. La questione più delicata sembra oggi riguardare le medie aziende, che sono allo stesso tempo appetibili e vulnerabili. E non hanno le risorse per garantirsi una "exit strategy" assolutamente sicura da un attacco portato a termine.

La cronaca della cybersecurity ci dà una "massa critica" sufficiente di casi europei in cui una impresa di medie dimensioni ha cessato l'attività qualche tempo dopo aver subito un attacco ransomware. Anche oltre un anno dopo, quando cioè le questioni tecnologiche di cui tanto si parla nei casi ransomware non facevano più notizia e nemmeno avevano più tanta importanza. Il messaggio che viene da questi casi è chiaro: recuperare tecnologicamente da una violazione delle reti è fattibile ma può non essere sufficiente. Bisogna guardare anche ad altro.

La casistica ci mostra infatti che il rischio principale per le medie imprese è che dopo l'attacco si ingeneri una tempesta perfetta di elementi tecnologici, di mercato e finanziari che affossano alla fine il business. E non sempre si può dare la colpa all'azienda coinvolta.

La legge, le conseguenze

Un caso di questo tipo ha riguardato ad esempio alcune aziende del gruppo tedesco Einhaus, che offre vari servizi business - dalle riparazioni alla logistica - collegati al mondo mobile. Il gruppo è stato colpito da un attacco ransomware nel 2023 e questo ha portato prima di tutto danni finanziari collegati al blocco della sua attività. Ma il problema vero è arrivato dopo: il gruppo aveva pagato il riscatto richiesto - nell'ordine delle centinaia di migliaia di euro - in criptovalute e questa somma è stata sì recuperata ma anche "congelata" dalle autorità nel corso delle indagini sull'attacco. E non è stata mai sbloccata e restituita.

C'è un che di tragicamente ironico nel fatto: le autorità tedesche sono state avvisate e coinvolte direttamente da Einhaus, che da questo punto di vista si è comportata in modo corretto. Ma il meccanismo delle indagini non si può adattare alle difficoltà di ripartire della vittima, che ora ha problemi di cassa tali da dover chiudere alcune delle aziende del suo conglomerato.

Un altro ordine di problemi ha portato alla bancarotta un fornitore britannico di servizi sanitari che collaborava storicamente con la Sanità pubblica della Gran Bretagna. NRS Healthcare ha subito un attacco ransomware poco più di un anno fa, ma aveva anche ufficialmente dichiarato che l'attacco in sé e il ripristino dell'operatività non avevano comportato problemi o costi eccessivi, nell'immediato.

Anche qui, le difficoltà sono iniziate dopo. L'attacco ha spinto la società ad avviare un progetto di modernizzazione IT che era già previsto ma che è stato - dato lo scampato pericolo - fortemente accelerato: da sei mesi a tre settimane per il completamento. Inoltre, l'azienda ha intrapreso un percorso di certificazione e auditing cyber riconosciuto dal Governo UK. Il peso economico di queste evoluzioni e i costi legati all'attacco che si sono visti maturare in seguito hanno, insieme, portato l'azienda alla liquidazione.

La morale di queste vicende e di altre più nette - come l'azienda di logistica di 700 dipendenti cha ha chiuso dopo 158 anni di attività perché non aveva né i soldi per il riscatto chiesto né modo di recuperare i suoi dati - è che un attacco ransomware non è un evento solo cyber che inizia e finisce nell'infrastruttura IT della vittima. È un evento che scatena conseguenze tecnologiche e non, a breve ma anche a medio e lungo termine, e l'insieme di queste conseguenze può mettere a terra un'azienda. Anche se l'attacco in sé è stato, formalmente, superato.

Di questa catena di conseguenze si parla probabilmente troppo poco, limitandosi a evidenziare le questioni tecniche, i danni d'immagine, le normative da rispettare. Ma con l'aumentare degli attori ransomware (ormai un ransomware-as-a-service è alla portata di quasi chiunque) e con il peggiorare delle loro strategie (il 40% degli attacchi ransomware oggi è persino associato a minacce fisiche contro lo staff dell'azienda colpita) è il momento che le imprese, il legislatore e gli attori del mercato adottino sempre una visione più completa, integrata. Più che di sicurezza cyber è il caso di parlare di sicurezza e basta. Ma in fondo è così da tempo.