Purtroppo la sicurezza informatica è un tema che stenta ad essere apprezzato dal grande pubblico: le storie che fanno notizia riguardano sempre grandi infrastrutture.
Congiuntamente, le complessità del problema e la distanza (percepita) del medesimo dall’imprenditore medio rendono difficile per le piccole imprese apprezzare che, mentre siamo online, nessuno di noi è davvero immune da questi rischi.

Solo per fare due esempi: la persona che ha seguito la migrazione in cloud della nostra contabilità ha un parente che gestisce un agriturismo, la cui contabilità è stata compromessa in un attacco nella tarda estate 2020, causando la perdita di tutti i dati e la richiesta di un riscatto di diverse migliaia di euro in Bitcoin. Stessa sorte è toccata qualche anno fa ad un albergo a due passi dalla nostra infrastruttura, al quale sono stati chiesti 10.000 € di riscatto in Bitcoin.
Si tratta di un problema soggetto ad un’asimmetria fondamentale: dato che non stiamo reagendo ad un problema già presentatosi, ma stiamo tentando di prevenirlo, è necessario uno sforzo immaginativo molto più attivo e concreto da parte dell’investitore che non ha ancora subito alcun danno sulla propria pelle, ma sta tentando di imparare dell’esperienza altrui: purtroppo non è questo che la mente umana si è evoluta per fare.

Da Dentoni, il nostro impegno è da sempre di garantire ai nostri clienti la maggiore continuità possibile del servizio. Nell’era digitale e dell’espansione del nostro business tramite la nostra nuova piattaforma di e-commerce, questo implica prenderci cura anche della sicurezza dei loro dati, oltre che di quelli aziendali e dei nostri fornitori.

Si presenta quindi l’occasione perfetta per riassumere gli interventi di cybersecurity messi in atto in azienda per nostro volere e con la collaborazione del Dott. Graziano Albanese a partire da fine Dicembre 2020, nonché per elencare una serie di semplici misure di sicurezza che, se adottate scrupolosamente, possono di gran lunga migliorare, l’impermeabilità di una rete informatica e, di conseguenza, far dormire sonni più tranquilli a tutti.

Misure di Cybersecurity poste in essere da Gennaio 2021

A.1 ESTERNALIZZAZIONE RISCHIO DI ATTACCO CRITTOGRAFICO

L’idea alla base di un cyberattacco di tipo ransomware è semplice: un malware (programma malevolo) crato dall’attaccante (d’ora in avanti denominato “hacker”) si infiltra sul dispositivo della vittima e rende i dati ivi presenti illeggibili, sostituendone i costituenti elementari tramite una procedura deterministica molto complessa, detta algoritmo crittografico che, senza un codice in grado di invertire la procedura, rende l’oggetto criptato inutilizzabile. Tipicamente, a seguito del successo dell’attacco, l’hacker si palesa in forma anonima alla vittima richiedendo un riscatto in criptovalute.

In altre parole, se l’hacker esegue l’algoritmo crittografico, ci sono solo due vie di uscita, oltre al pagamento del riscatto pattuito:

1. Ripristino a posteriori dei dati tramite backup su sistema indipendente dalla macchina attaccata
   
2. Migrazione preventiva dei dati sensibili sulla piattaforma di un provider che effettui costanti investimenti in procedure di sicurezza informatica.

Da Dentoni abbiamo adottato entrambe le misure di sicurezza, il che implica che esistono al momento le seguenti

B.1 MISURE DI MITIGAZIONE DEL RISCHIO DI RANSOMWARE

1. Tutta la contabilità e l’amministrazione sono ormai svolte in cloud, in particolare sui server di Microsoft 365. Per quanto sia vero che giganti come Microsoft sono costantemente presi di mira da attacchi hacker, ciò è controbilanciato dai loro costanti investimenti e aggiornamento in sicurezza, nonché, dal punto di vista di una piccola impresa come noi, dalla diluizione del nostro minuscolo ammontare di dati da proteggere nel mare di dati ospitati dai server di Microsoft, che comunque si preoccupa di creare copie periodiche molto frequenti e diversamente localizzate, in termini di locazione geografica dei server.
   
2. Email filtering: tutta la posta elettronica indirizzata al nostro dominio viene filtrata all’origine dai server Microsoft utilizzando il protocollo Exchange Online Protection (EOP). I server Microsoft la esaminano tramite i loro algoritmi di machine learning per rilevare la potenziale presenza di eventuali allegati contenenti malware, che sono quindi prontamente disattivati nel client di posta elettronica con cui leggiamo le email.
   
   
3. Il backup dei dati in cloud, nonché dell’immagine del sistema operativo che gira sul server del sistema casse, sono eseguiti a loro volta sui server di un ulteriore provider, diverso da Microsoft, in modo che l’eventuale ed improbabile perdita dei dati dalle piattaforme del primo provider nonché un’interruzione del funzionamento del sistema casse a causa di un attacco a suo danno possano essere ripristinati entro pochi minuti, prevenendo -cosa fondamentale- il blackout prolungato dell’attività di vendita, particolarmente in momenti di grande affluenza di pubblico.

4. Installazione di antivirus Microsoft Defender su tutti i dispositivi aziendali, inclusi i personal computer delle persone che interagiscono maggiormente con Internet per conto dell’azienda. Defender e’ stato configurato con impostazioni addizionali per limitare le possibili azioni sui dispositivi. Questo si chiama host hardening ed il servizio utilizzato per garantire che i dispositivi aziendali siano allineati con le richieste di sicurezza aziendali si chiama Microsoft Intune, un’implementazione del modello cosiddetto di cloud-managed endpoints, in cui i computer individuali vengono gestiti e limitati in alcune attività da algoritmi gestiti dal server del cloud.

5. Utilizzo di password complesse, generate e aggiornate periodicamente mediante un password manager, e dell’autenticazione a due fattori.
   Le password semplici, con pochi caratteri e con parole che hanno un significato chiaro nella lingua madre o riconducono facilmente alla persona che le utilizza sono incredibilmente facili da scoprire tramite programmi dedicati.
   D’altro canto, password complesse che includano lettere maiuscole e minuscole, numeri e simboli sono difficili da ricordare per un essere umano. A questo sopperiscono appositi servizi (password managers), che conservano le password di un utente su server remoti. L’hackeraggio dei loro server non comprometterebbe la sicurezza delle nostre password, in quanto le medesime lì risiedono in forma criptata e possono essere rese leggibili solo quando decifrate mediante la chiave depositata su un programma installato sul dispositivo dell’utente.
   
   Infine, le password possono essere compromesse tramite attacchi di tipo phishing o credential dumping. Nei primi l’utente comunica la password ad un hackers a seguito di un attacco di ingegneria sociale, nel secondo l’hacker, dopo avere ottenuto accesso ad un dispositivo aziendale, sono in grado di rubare le password salvate.
   A questi rischi fa parzialmente fronte l’autenticazione a due fattori, ossia la predisposizione per cui l’autorizzazione ad accedere un dato sito sensibile dal nostro dispositivo è concessa solo quando, oltre all’inserimento della password corretta, il server del provider riceva conferma dell’identità dell’utente anche da un terzo dispositivo, a sua volta di proprietà dell’utente medesimo che effettua l’accesso. Il dispositivo terzo, tipicamente uno smartphone, genera codici a sei cifre rigenerati a intervalli regolari, che sono mappati con quelli generati alla stessa cadenza sui server del provider del servizio.
   In tal modo, per ottenere successo nell’attacco, l’hacker ha necessità di attaccare non uno, ma due dispositivi. Non è un’impresa impossibile (quasi niente è impossibile), ma è molto più improbabile.

A.2 RISCHIO DI PENETRAZIONE NELLE RETI PRIVATE

Un attaccante potrebbe utilizzare la rete clienti per penetrare in quella privata. Questa è la stessa strada che potrebbe essere seguita da un virus che potrebbe essere già presente sul dispositivo di una persona esterna all’azienda a cui viene consegnata la password del Wi-Fi aziendale privato. 

B.2 MISURE DI MITIGAZIONE DEL RISCHIO DI PENETRAZIONE NELLE NOSTRE RETI PRIVATE:
FIREWALL E LE PRECAUZIONI UMANE

La soluzione al primo dei problemi di sui sopra è il firewall che abbiamo recentemente installato, che separa in maniera stagna le reti aziendali dedicate rispettivamente all’uso privato e ai clienti. La seconda misura non può che essere l’accortezza di tutti noi consistente nel non condividere mai le password con utenti esterni: non esistono ancora protocolli di sicurezza informatica a prova di ingenuità umana.

A.3 RESILIENCE: SE UN INTERNET PROVIDER VA GIÙ

Precedentemente avevamo un unico provider per ambedue le nostre reti internet principali. Ciò presenta un problema: se il provider ha una qualsiasi difficoltà con il proprio servizio e non riesce a garantire la copertura di rete a una determinata zona, chi si trova nella medesima perde tutte le connessioni ad internet. Se ciò fosse accaduto al nostro provider nei mesi passati, la perdita totale della connettività sarebbe toccata anche a noi. Per garantire la continuità del servizio, è importante diversificare i provider e predisporre un sistema che permetta all’azienda  di far diventare le rete clienti quella privata (che ha chiaramente priorità maggiore) qualora un incidente del genere si verificasse.

A.4 MONITORING: A COSA SERVE E PERCHÉ NON È STATO IMPLEMENTATO?

Il monitoring è il processo più costoso e complesso che esista in cybersecurity. Si tratta di installare sui sistemi informatici aziendali dei programmi che raccolgono costantemente dati e metadati sulle attività svoltevi e cercano schemi di comportamento anomali e inusuali, ai quali viene richiesto all’utente di prestare attenzione.
Si tratta di una misura che interviene in una fase successiva del dispiegamento della minaccia alla propria sicurezza informatica, in quanto le attività anomale possono essere rilevate solo se un programma di tipo malware è già presente sulla rete aziendale.
In soldoni, il monitoring ha senso solo se una persona dell’azienda si dedica quotidianamente alla revisione dei report generati dal sistema di monitoring medesimo. Al nostro livello di strutturazione, una figura del genere non può essere nessuno di noi, di modo che l’investimento non ha senso in sé. Questo non esclude che, così come è accaduto negli ultimi anni per i sistemi di intelligenza artificiale, i prodotti del mercato crescano per livello di automazione e scendano nel costo.

Conclusioni

Con questo articolo, speriamo di avere trasmesso il perché che attribuiamo alla sicurezza informatica: la misura di sicurezza deve essere tanto più stringente e scrupolosamente seguita non tanto in funzione della probabilità che qualcosa di brutto accada, ma del danno che si subirebbe se accadesse davvero. Speriamo, inoltre, di aver trasmesso quanto seriamente ci preoccupiamo della sicurezza dei dati, che siano nostri o dei nostri clienti.

Mirek e Franz

Un abbozzo sintetico delle fonti da cui è stato preso spunto per iniziare il progetto di cybersecurity. Le conversazioni personali con persone esperte del settore sono state altrettanto preziose.

1. Edward Snowden, Permanent Record, Pan MacMillan 2019
2. Susan Sons et al., The Information Security Practice Principles,
3. Center for applied Cybersecurity Research, Indiana University: https://cacr.iu.edu/principles/index.html
4. Susan Sons, Postmortem, Linux Journal, 25/07/2017
5. Susan Sons, Example Security Exercises, Linux Journal 11/11/2016
6. Matthew Holland, Zero Day @The_Knowledge_Project by Farnam Street,