Atti di terrorismo che incrociano la propaganda su social, sabotaggi di infrastrutture, furti di dati, estorsioni mediante ramsonware… Il cybercrime è una minaccia che non colpisce solo individui distratti che aprono e-mail senza alcuna cura, ma il business reale, enti e aziende, come scopriremo presto quando le regole di trasparenza UE (GDPR) faranno emergere dal silenzio i casi che oggi restano nascosti, per limitare danni d’immagine.
“Furto di dati, estorsioni via ramsonware non sono diversi dai crimini tradizionali e non possono essere trattati in modo differente in una società che diventa digitale” – spiega Brian Lord, managing director di PGI Cyber ex membro dell’agenzia governativa per la sicurezza delle comunicazioni del Regno Unito. Il cybercrime cresce malgrado le misure di prevenzione; per contrastarlo servono scambi di informazioni e un fronte comune tra imprese e governi, come nel caso del crimine organizzato. Per Lord, l’impegno governativo nella sicurezza nazionale non si è evoluto abbastanza in campo digitale da prevedere scambi d’informazioni che aiutino le aziende a comprendere la natura del rischio e la provenienza. “Le fonti d’informazione tradizionali spesso non distinguono il vandalismo di una pagina Web dagli atti di sabotaggio a danno di infrastrutture critiche. Il risultato è una scarsa consapevolezza delle minacce e quindi la stasi decisionale”.
L’80-85% delle attività ostili online sono opera di criminali puri che violano sistemi messi in piedi in modo affrettato, veri colabrodi dal punto di vista della sicurezza. Dati personali riservati, ID aziendali e molto altro vengono rubati e diventano oggetto di commercio nella darknet per altre attività illecite. I ramsonware diventano fonti di guadagno. Per Duncan Brown, analista IDC, la più grande sorpresa durante il recente attacco del ramsonware WannaCry è che abbia sorpreso molte persone, anche se nel settore c’era piena conoscenza. “L’errore è nella percezione del rischio – spiega l’analista -. La non comprensione da parte delle grandi aziende di attacchi simili e la mancanza della capacità di gestire gli incidenti”.
Più cresce l’importanza dei dati e più le menti criminali saranno stimolate verso nuove forme di crimine. “Oggi il 70 e 80% degli attacchi è condotta da criminali con modeste competenze che attaccano sistemi più fragili con tool reperibili in rete – spiega Lord -. Il rischio è il crimine organizzato, che investe grandi risorse in azioni mirate al cuore dei sistemi di pagamento o delle banche. Ma ci sono anche attività volte a danneggiare la stabilità finanziaria e infrastrutturale di nazioni in competizione o in guerra, azioni deliberate di disinformazione per influenzare l’opinione pubblica sotto le elezioni”. L’area che cresce maggiormente è quella dello spionaggio elettronico e della sottrazione di segreti industriali.
La diffusione delle buone pratiche informatiche costituisce una buona difesa dagli attacchi più generici, mentre quelli mirati possono essere combattuti solo con azioni collettive a livello di consorzi d’imprese o governative. Sempre per Lord andrebbe cercata la collaborazione delle piattaforme social online con governi o altre organizzazioni ai fini di combattere il cybercrime alla pari di altri fenomeni di cui è socialmente diffusa la percezione del danno, come terrorismo o abusi su minori. Sotto il profilo pratico, la security informatica richiede focalizzazione degli obiettivi. “Chi attacca i sistemi IT spesso abusa dei meccanismi di gestione e della stessa sicurezza, come Active Directory – spiega Guy Franco, fondatore e CTO di 7Javelin – azienda che si occupa di data protection e software security. Occorre quindi difendere i sistemi che una volta violati permettono al delinquente di sostituirsi agli utenti autorizzati”. La difesa dei dati aziendali e quindi del business delle imprese ha bisogno di approcci più integrati, come quello di SysSecOpt (systems, security, operations) che considerano la sicurezza come aspetto non indipendente, della gestione di sistemi e reti. L’uso del cloud, la moltiplicazione dei dispositivi utente usati nell’azienda, l’arrivo dei nuovi sensori e dispositivi IoT intelligenti ha cambiato completamente lo scenario della sicurezza rendendo impossibile garantire gli endpoint o il perimetro della LAN aziendale nel modo tradizionale. Gli endpoint e persino gli utenti con corrette credenziali d’accesso non possono più essere ritenuti completamente sicuri.
Secondo Rik Turner, senior analyst di Ovum, l’intelligenza artificiale (AI) è la chiave dei nuovi sistemi di difesa, come dimostra l’investimento di molti vendor di security su sistemi euristici, machine learning, pattern recognition, analisi big data, reti neurali, fuzzy logic. Secondo l’analista, i sistemi anti-malware possono oggi usare i “pattern” ossia le mappe di eventi associati agli attacchi conosciuti molto più efficacemente delle tradizionali firme per riconoscere virus, documenti o eseguibili pericolosi. “Questo anche quando la minaccia non è stata mai vista prima – precisa Turner – Sistemi analitici basati sull’AI possono filtrare gli allarmi di sicurezza eliminando i falsi positivi e permettendo ai responsabili della sicurezza di concentrarsi su altre problematiche di sicurezza aziendale”.