Circa un mese fa abbiamo individuato alcuni casi di contagio ai quali non abbiamo dato troppo peso, poi si è andati via via verso uno stato sempre più allarmante fino allo stato di emergenza sanitaria nazionale, di pari passo è crescita la consapevolezza del pericolo e si sono intensificate anche le misure di contrasto alla sua diffusione.
Dovremmo prendere spunto delle prassi adottate per arginare il problema di contagio da covid-19, e usarle come modello da applicare anche in altri settori, ad esempio per la difesa dalle minacce cibernetiche. Sono molte le analogie, il corona virus attacca l’uomo sfruttando le vie respiratorie come punto di ingresso, un malware infetta un pc o un device iniziando l’infezione con una email di phishing, il corona virus si propaga infettando altri soggetti così come i malware si propagano tramite spread phishing o cryptolockers, ma abbiamo appreso che il monitoraggio tramite l’analisi con tampone e il successivo isolamento dei contaminati può contenere i danni.
Appicando ciò che abbiamo imparato dalla scienza applicata al virus al mondo IT, dovremmo iniziare ad organizzare meglio i dati, suddividerli secondo criteri di rischio crescente per poi metterli in sicurezza isolandoli in modo appropriato; come oggi ci proteggiamo dalle infezioni delle vie repiratorie tenendoci ad opportuna distanza o con l’applicazione delle le mascherine, agiamo segmentando le reti, crittografiamo i dati estremanente delicati o ad alto rischio o isoliamoli mantenendo una copia offline.
Il monitoraggio è essenziale e quasi sempre sottovalutato dalle P.M.I., oggi non è più sufficiente acquistare software o hardware per rendere una rete sicura, bisogna avere la situazione sotto controllo in tempo reale, quando è in corso un tentativo di intrusione o semplicemente una raccolta di elementi sfruttabili per condurre successivamente un attacco, dovrebbe “scattare” un alert che lo segnala e in modo da poter studiare e prevenire il rischio d’attacco, sarebbe utile in questo frangente avere dei tracciatori di eventi attivi o log per poter anlaizzare in dettaglio la tecnica utilizzata, solo in questo modo sapremo respingere i futuri attacchi e identificare tentativo andato a segno da un pericolo schivato, solo in questo modo avremo elementi utili che permetteranno di effettuare ragionamenti su come calibrare i sistemi di difesa per prevenire o bloccare “l’infezione”.
Tutti questi sistemi di analisi, intrusion detection e intrusion prevention sono scarsamente utilizzati seppure siano altamente consigliati se non indispensabili.
Le misure di quarantena e di isolamento sono applicate per evitare il contagio di massa, analogamente sistemi di back up su server, nas, ma anche tramite cloud collegati in linea, non necessariamente connessi a internet ma connessi fisicamente alla risorsa informatica principale, non evitano la diffusione dell’infezione, ad esempio alcuni cryptolocker più evoluti cercano tutti i devices connessi al dispositivo della vittima, poi cifrano il contenuto di tutte le memorie di massa e da ultimo si manifestano chiedendo il pagamento di un riscatto per riavere i dati in formato leggibile; seppur sia necessario uno “sforzo umano”, sono ancora da preferire sistemi di back up isolati dal sistema, hard disk usb o sistemi analoghi purchè scollegati dalla sorgente appena è ultimata la copia di salvataggio.
Nell’immaginario collettivo si è soliti associare la minaccia di infezione da virus o malware informatico ad un PC, tanto è vero che è ormai assodato che per navigare sul web serva necessariamente la protezione di un antivirus e un firewall in caso di reti aziendali, purtroppo oggi i siti web e i devices mobile sono statisticamente i più attaccati in quanto meno protetti, è infatti estremamente raro trovare smartphone con installati antivirus premium, si trovano siti “buttati” online anni fa e mai più aggiornati, non nei contenuti, ma sulle loro componenti software che con il tempo diventano punti vulnerabili che permettono facili accessi non autorizzati dall’esterno, tutti questi siti “vetrina”, istituzionali o blog abbandonati a se stessi diventano facile preda per iniettare codici malevoli e diffonderli attraverso i visitatori, quasi mai è implementato un sistema di prevenzione e monitoraggio agli attacchi cyber.
Noto però la diffus consapevolezza che un contagio di corona virus su larga scala potrebbe mandare in crisi il sistema sanitario nazionale con effetti anche sulla nostra salute in caso di necessità, purtroppo non è ancora percepito l’analogo rischio nel mondo IT, spero di non dover vedere un giorno drastiche restrizioni per debellare o confinare un virus informatico a causa del nostro superficiale comportamento di massa nei confronti dei pericoli strettamente connessi al mondo del digitale.
