Durante la premiere del Cybersecurity Framework Profile for Ransomware Risk Management (NISTIR 8374) il NIST ha rilasciato la bozza preliminare con le migliori pratiche per la gestione del rischio ransomware.
Del framework NIST non è stata ancora rilasciata la versione definitiva ma già in questa seconda edizione possiamo trovare spunti importanti che possono sicuramente dare riflessioni utili a tutti.
Come poter leggere il documento del NIST
Il Framework NIST ha lo scopo di offrire strumenti di analisi alle organizzazioni. Per farlo il NIST utilizza Cybersecurity Framework (CSF) che definisce 5 funzioni principali: Identificare, proteggere, rilevare, rispondere e recuperare ciascuna delle quali contiene molteplici sottocategorie. Queste sottocategorie sono successivamente mappate in controlli specifici riferibili ad altri framework quali il NIST SP800-53, COBIT 5, CIS CSC e ISA.
Le misure di sicurezza alla fine non sono tanto diverse da quelle consigliate da altri framework, ma come sempre il NIST mette a disposizione queste informazioni di alta importanza in modo semplici e ben strutturato sotto forma di lista di controllo rendendo in questo modo più semplice l’attività di che poi deve andare a predisporre le misure di sicurezza in azienda.
Minacce in aumento
Negli ultimi due anni sono risultati in aumento gli attacchi ransomware mondiali, infatti, il Framework NIST era un documento in parte molto atteso. Tra gli attacchi più importanti a cui abbiamo assistito ricordiamo quelli a Garmin, alla University of California San Francisco, Canon, ENEL, Manchester United Football Club e Randstad. Per la prima volta nel settembre 2020 una tragedia ha colpito l’ospedale di Duesseldorf dove proprio per un attacco randsomware una donna ha perso la vita per l’impossibilità di essere assistita e questo rappresenta il primo caso di morte direttamente collegato ad un attacco informatico.
Anche in Italia il fenomeno degli attacchi è notevolmente aumentato ed abbiamo registrato casi come Campari nel 2019, Enel, Geox, Comune di Bresci, Bonfiglioli ed altri fino al più recente e clamoroso caso della Regione Lazio colpita proprio qualche mese fa.
Un fenomeno sempre più in crescita che continua a generare danni per parecchi Milioni di euro.
Dal rapporto Clusit 2021 un dato imporporate che emerge subito è che oggi due attacchi su tre sono ransomwere e nel 2020 sono diventati ben il 67% mentre nel 2018 toccavano appena il 30%. Secondo uno studio di Check Point Software Technologies negli ultimi due anni il 66% delle aziende che sono state intervistate hanno subito almeno un attacco informatico, il tutto aggravato dalla comparsa sul mercato del ransomware della Double Extortion: una tecnica di doppia estorsione che induce la vittima a pagare il riscatto non solo per la decifratura dei dati ma soprattutto per evitare di vedere i propri dati diventare di dominio pubblico. L’ultimo caso noto è quello che ha colpito la SIAE portato dal cybercriminale Everest che ha minacciato di pubblicare circa 60 Gigabyte di dati degli iscritti con una richiesta di riscatto di circa 3 milioni in bitcoin.
Un punto di svolta
Nell’ultimo anno con l’aumento degli attacchi ransomware gli Stati Uniti hanno dato un’importanza maggiore alla security evidenziando la vulnerabilità che molte aziende e compagnie hanno nonostante gli innumerevoli allarmi delle forze dell’ordine. Si potrebbe parlare dunque di un punto di svolta?
Il presidente Biden ha dato il suo intervento proprio a fronte di due casi che più di altri hanno trasformato la minaccia in emergenza nazionale. Il primo è sicuramente l’attacco al colosso della carne JBS, una delle più grandi aziende di lavorazione della carne al mondo. JBS rappresenta il 20% della macellazione di bovini negli USA e dunque l’attacco ha causato una significante interruzione nella catena di approvvigionamento in tutto il Paese.
Il secondo attacco, sicuramente con il maggiore impatto in assoluto negli Stati Uniti è quello che il 7 maggio 2021 ha completamente paralizzato la società Colonial Pipelin, l’operatore del più grande oleodotto che si occupa del trasporto carburanti tra la costa orientale degli USA e il Texas. L’oleodotto in questione fornisce circa il 45% dei carburanti presenti negli Stati Uniti e così le scorte di benzina, riscaldamento domestico, diesel e forniture militari sono state pesantemente colpite tanto che la Federal Motor Carrier Safety Administration due giorni dopo ha dichiarato lo stato di emergenza in ben 18 stati. Il blocco si è poi protratto un’intera settimana dove infine ha deciso di pagare un riscatto di circa 4,4 milioni di dollari.
Oltre a criptare i file, i cybercriminali del gruppo DarkSide hanno rubato oltre 100 GB di dati aziendali utilizzando appunto la Double Extortion facendo sì che l’impatto dell’attacco non sia solo economico ma che colpisca nel centro l’intera nazione. Il presidente ha dunque preso in mano la situazione intervenendo con un ordine esecutivo che prevede un forte rinforzo alla sicurezza informatica nazionale sperando di ridurre notevolmente i rischi di attacchi futuri.
