Negli ultimi anni il tradizionale e consolidato uso del backup ha subito molteplici trasformazioni. Da soluzione per rimediare alla cancellazione accidentale dei dati e alle remote ipotesi di catastrofe naturale, gradualmente il backup è diventato a tutti gli effetti una strategia di cyber resilience e una difesa attiva contro gli attacchi informatici.

Un percorso lungo, condizionato principalmente da due elementi: il progresso tecnologico e la crescita esponenziale degli attacchi ai dati. I due elementi sono intrinsecamente connessi. La digitalizzazione ha reso negli anni sempre più importanti i dati, che ormai si sono definitivamente attestati come “in nuovo petrolio”. Aziende e istituzioni di tutto il mondo producono, custodiscono ed elaborano milioni di dati, il cui valore intrinseco aumenta man mano che questo patrimonio si avvicina a rappresentare la totalità delle informazioni su un business, un’azienda, un bacino di utenti.

Non c’è voluto molto perché il cybercrime, flessibile e sempre pronto a sfruttare ogni opportunità di guadagno, attivasse nel darkweb un florido mercato di compravendita dei dati. Informazioni per l’accesso alle infrastrutture aziendali, account di ogni tipo di utenza, documenti secretati, segreti industriali e molto altro. Tutto ha un valore, e nel dark web il giro d’affari è di miliardi di dollari.

Parallelamente si sono sviluppate supply chain sempre più articolate. Aziende enterprise si appoggiano a una lunga serie di fornitori più piccoli, che non dispongono né degli strumenti né dei capitali per equiparare la propria solidità cyber con quella dei maggiori clienti. Produttori software che sviluppano, distribuiscono e aggiornano prodotti in maniera centralizzata a migliaia di clienti in tutto il mondo, con tempistiche sempre più stringenti e controlli non sempre adeguati sul codice.

Anche qui, l’opportunismo del cybercrime e la necessità di ottenere il più possibile con il minimo investimento, ha colto diverse opportunità. Attaccare i fornitori piccoli e mal difesi per colpire l’enterprise troppo ben difesa per essere espugnata è diventato ordinaria amministrazione. Ci sono stati migliaia di casi, dall’appaltatore militare a Tesla, fino ad arrivare al più recente caso di Toyota. Anche sul fronte software i casi abbondano, e basta citare SolarWinds per capire la portata del problema.

È questo lo scenario in cui è iniziata nel 2020 l’emergenza sanitaria. Fra le tante conseguenze, a livello IT quella più macroscopica è stata l’attivazione repentina del lavoro da remoto per milioni di dipendenti in tutto il mondo. L’urgenza era permettere la continuità operativa delle aziende, la sicurezza è passata in secondo piano. I dati, che fino a quel momento erano stati gelosamente custoditi dietro alle più o meno solide protezioni perimetrali, hanno iniziato a transitare da e verso l’esterno, ad essere elaborati, prodotti e modificati su computer, tablet e smartphone non necessariamente protetti, all’interno di reti lontane dagli standard di sicurezza che si addicono a un’azienda.

È bastato poco perché tutti si accorgessero che i vecchi sistemi non potevano reggere a una tale rivoluzione. Ed è partita una altrettanto repentina migrazione cloud. Dal cloud, chi lavorava da casa poteva accedere alle informazioni facilmente e velocemente, quindi essere operativo con la massima efficienza. Di nuovo, la sicurezza è passata in secondo piano - o meglio, è stata data per scontata. Pochi, nella fretta, hanno studiato le clausole di responsabilità condivisa, così che poi molti hanno dovuto scoprire, a proprie spese, che i provider cloud non si erano (perché non era compito loro) occupati della sicurezza di dati archiviati dai clienti sui loro server.

È stata un’opportunità che il cybercrime non si è lasciato sfuggire, moltiplicando a vista d’occhio gli attacchi mediante lo sfruttamento di ogni falla nel sistema, nel transito dei dati, negli accessi ai dati. E dato che il motore degli attacchi cyber è la motivazione finanziaria, gli attacchi hanno insistito su due fronti: il furto di dati che erano facilmente rivendibili nel dark web, a caro prezzo. E il ransomware con singola, doppia o tripla estorsione, per spillare milioni di dollari alle aziende.

Il backup

Che cosa c’entra il backup con tutto questo? La risposta è piuttosto semplice: non è più il momento di chiedersi “se” si verrà colpiti da un attacco informatico, ormai ci si deve chiedere “quando” accadrà e con quale frequenza. E nel momento in cui l’attacco si verificherà, sarà indispensabile garantire che l’attacco non si trasformi in un evento distruttivo per i propri sistemi IT. Questo significa, fra le altre cose, avere sempre backup aggiornanti e pronti da ripristinare con la massima celerità e semplicità.

Sembra semplice a dirsi, ma alla prova dei fatti è tutt’altro. I temi sono due: la preservazione dei backup e il loro ripristino. Sulla preservazione, una grossa incognita è costituita dal fatto che sempre più spesso i threat actor mirano ai backup per cancellarli, sovrascriverli o crittografarli nel corso dell’attacco, in modo che la vittima non possa servirsene per ripristinare i dati – quindi sia costretta a pagare.

Per questo motivo è indispensabile che le copie di backup siano immutabili. I principali fornitori di soluzioni per il backup cloud inoltre offrono la crittografia e l'autenticazione a più fattori per proteggere i dati dalle violazioni, oltre a soluzioni a garanzia dell’immutabilità del dato una volta sottoposto a backup.

Prima di questo, è però necessario affrontare la questione del come fare il backup: su quali supporti, con quali prodotti e di quali dati. Vale sempre la regola del 3-2-1: ovvero 3 copie, di cui 2 storage e 1 in una location remota. Ma dev’essere applicata in maniera differente dal passato, perché oggi i dati non sono più solo on-premise – anzi, spesso sono più che altro in cloud o addirittura in soluzioni multicloud.

È quindi necessario attivare i backup sia per i dati on-premise sia per quelli in cloud, usando anche soluzioni Backup-as-a-Service e servizi di data protection. Come le soluzioni di detection e response, inoltre, anche quelle di backup devono necessariamente appoggiarsi a Intelligenza Artificiale e Machine Learning per semplificare l’identificazione e il recupero dei dati sensibili, oltre che rilevare gli accessi anomali ai dati, oppure modelli di utilizzo che potrebbero indicare un attacco informatico in corso.

Come hanno sottolineato gli esperti intervenuti in questo speciale, inoltre, è bene tenere presente che una buona soluzione di backup cloud dovrebbe soddisfare requisiti quali ripristino veloce in caso di attacco ransomware, il che implica caratteristiche di conservazione flessibile, scalabilità infinita e facilità d’uso.

Quanto al ripristino, infine, è bene sottolineare che fare genericamente una copia di sicurezza dei dati non è sufficiente. È indispensabile mettere a punto un piano di disaster recovery periodicamente testato e ben conosciuto a tutto il personale IT, di modo che quando si verifica un attacco tutti sappiano esattamente che cosa fare e come farlo.

Non è raro che nell'emergenza e nel panico che seguono a un blocco delle attività non si riesca a ripristinare i dati. La procedura dev'essere testata, è necessario verificare che le copie di sicurezza siano funzionanti e che la remediation fili liscia. La mancanza di questi passaggi finali può vanificare tutto il buon lavoro svolto prima.