sicurezza by design

Ransomware, pagare o no chi blocca la città o l’azienda: una scelta complessa

Pagare un riscatto per liberare i dati della propria organizzazione si sta rivelando la scelta di molti i sindaci e amministratori di società di fronte al blocco totale dei servizi e all’impossibilità di dare continuità al proprio business. Ma è la soluzione giusta? Vediamo cosa serve per prevenire e limitare i danni

22 Lug 2019
Davide Giribaldi

Governance, risk and Information Security Advisor

ransomware_546873682

E’ giusto pagare per liberarsi da un ransomware? Se fino a poco tempo fa l’unica risposta possibile sarebbe stata no, recenti episodi hanno dimostrato che le cose sono cambiate perché si sta sviluppando una nuova coscienza che tende a considerare l’incidente come parte integrante dei processi di un’organizzazione.

Dall’inizio del 2019 a oggi sono stati sicuramente 22 gli attacchi ransomware noti e diverse centinaia quelli mai dichiarati, che hanno colpito varie istituzioni pubbliche americane. Il problema è mondiale e sicuramente l’Italia è molto esposta, ma nelle ultime settimane gli episodi di Baltimora, Lake City e Riviera Beach, situazioni che hanno creato notevoli disagi e che sono state gestite in maniera differente, hanno disegnando scenari difficilmente ipotizzabili fino a pochi anni fa.

Negli ultimi mesi, insomma, sono stati molti i sindaci e gli amministratori di società che di fronte al blocco totale dei servizi e all’impossibilità di dare continuità al proprio business, si sono posti una sola domanda, ovvero se fosse giusto pagare per liberarsi da un ransomware.

E hanno risposto che sì, bisognava pagare. E così hanno fatto.

I motivi che spingono a pagare per liberarsi di un ransomware

Il primo motivo tra tutti che spinge un’organizzazione a pagare è l’enorme divario tra i costi di ripristino dell’intera infrastruttura (anche quando ci sono backup) e quelli per pagare il riscatto, come segnalato da un recente rapporto Forrester.

WHITEPAPER
Cloud: tutto quello che devi sapere (e mettere in pratica)
Cloud
Supply Chain Management

Inoltre in molti casi sono state attivate delle coperture assicurative che hanno comunque mitigato ulteriormente la spesa effettivamente sostenuta ed infine, forse è il caso più frequente, le infrastrutture IT colpite non avevano adeguate procedure di ripristino dei dati o peggio ancora non era stato minimamente considerato il rischio di simili eventi.

Sebbene il pagamento del riscatto non elimini completamente il rischio che l’infrastruttura sia effettivamente ripristinabile e non comprenda comunque il costo necessario per rendere nuovamente operativi tutti i servizi, è chiaro che la scelta di pagare sia stata per il momento quella più produttiva.

Forrester consiglia di considerare questa scelta in parallelo con le possibili procedure di recupero/ripristino.

I due casi opposti di Lake City e Baltimora

Per comprenderlo proviamo ad analizzare due casi opposti.

La municipalità di Lake City, colpita probabilmente da una variante del ransomware Ryuk (lo stesso che di recente ha colpito l’azienda italiana Bonfiglioli Riduttori) che ha crittografato qualcosa come 16 Terabytes di informazioni, dopo diversi tentativi di ripristino non andati a buon fine ha deciso di pagare un riscatto pari a circa 460 mila dollari di cui 450 mila coperti da assicurazione. Nonostante il lavoro di ripristino sia durato diverse settimane al ritmo di circa 1 Tb al giorno, nonostante anche il fatto che non sia stato possibile ripristinare l’intera infrastruttura e soprattutto che dopo l’incidente sia stata creata un’apposita struttura di disaster recovery in cloud che quindi comporterà ulteriori costi, si è stimato che il risparmio complessivo sia stato pari a circa 10 milioni di dollari.

Di contro la municipalità di Baltimora che ha deciso di non pagare i 76 mila dollari richiesti per il riscatto ha dovuto sostenere costi per circa 18 milioni di dollari per poter ristabilire la piena operatività dei servizi.

Aldilà della legittimità di entrambi gli approcci, quello che è successo a Lake City ed in altre situazioni analoghe fa parte di un nuovo modo di intendere la strategia risolutiva rispetto a situazioni simili. Un approccio che è stato studiato anche da Forrester che in un recente rapporto spiega perché il pagamento del riscatto debba essere considerato un’opzione praticabile e valutata come qualsiasi altra decisione strategica dell’organizzazione.

La strategia dietro il ransomware

Il ransomware spesso si propaga in maniera silente all’interno dell’organizzazione per poi manifestarsi in tutta la sua efficacia, bloccando a vari livelli l’operatività perché non inibisce solo l’accesso a pc o server, ma sostanzialmente blocca tutto ciò che è connesso all’infrastruttura sottoposta all’attacco. A mano a mano che si diffonde, le attività quotidiane si bloccano creando un duplice effetto: la preoccupazione di avere perso irrimediabilmente il proprio lavoro e lo stress di dover trovare ad ogni costo un rimedio per sanare la situazione. Il tutto è aggravato dalle pressioni che i vari livelli di management fanno o subiscono generando una complessiva situazione di caos e frustrazione crescente che porta a sottostimare la portata del danno ed a concentrarsi più su quanto non è più accessibile piuttosto che sui rimedi da porre in atto e che porta a dimenticare un aspetto del tutto peculiare di questi tipi di attacchi: (per ora) non nascono per vendere dati a soggetti esterni ma per creare il solo disagio della perdita di possesso delle informazioni e la conseguente perdita di servizi.

E’ chiaro che la strategia di accettare il pagamento per minimizzare l’impatto dei costi possa avere come effetto perverso quello di amplificare la portata degli attacchi ransomware e soprattutto il ripristino dei sistemi tramite chiave di codifica non dà alcuna garanzia che il malware sia stato rimosso o che resti latente nei sistemi pronto ad attivarsi alla prima occasione utile, ma un fatto è certo: pagare costa meno che provare a ripristinare autonomamente i dati almeno per due ordini di motivi, tecnici e culturali.

Dal punto di vista tecnico sono davvero poche le strutture pubbliche e private in grado di comprendere l’effettiva necessità di un sistema di disaster recovery efficace e soprattutto abbiano previsto delle procedure di test sulla qualità dei sistemi di backup. Come se non bastasse, molto spesso, già in fase di progettazione, sia per limiti culturali che di budget, possono essere commessi errori non banali come quello (realmente successo a Lake City) di mettere l’infrastruttura di disaster recovery all’interno della stessa lan della produzione con il risultato che la propagazione del ransomware ha infettato immediatamente anche i sistemi di backup.

Dal punto di vista culturale ancora una volta l’anello debole è l’uomo, perché i ransomware si propagano prevalentemente tramite allegati contenuti in email che nella maggior parte dei casi sono stati aperti da operatori in buona fede ma distratti o totalmente ignoranti rispetto ad un simile problema.

Consapevolezza e responsabilizzazione sono certamente due dei temi più delicati da affrontare per il semplice motivo che quasi nessuno investe in campagne di sensibilizzazione delle proprie organizzazioni sui rischi che comporta un errato utilizzo della tecnologia e nessuno a qualsiasi livello gerarchico si sente mai colpito direttamente da simili eventi negativi.

Abituarsi alla sicurezza “by design”

Esistono però rimedi la cui efficacia dipende esclusivamente dalla sensibilità del management che sempre più dovrà abituarsi a strategie di analisi dei rischi, mitigazione delle minacce e risposta agli incidenti.

La sicurezza delle informazioni prima ancora che dei dati dovrà essere garantita “by design” non solo dal punto di vista dei sistemi informativi ma come elemento fondamentale della cultura dell’organizzazione.

Entrando nel concreto delle possibili attività da mettere in atto, certamente gli assessment di vulnerabilità possono evidenziare i principali punti deboli ed aiutare i responsabili IT a concentrare risorse ed investimenti economici nella direzione giusta, ma a questi dovrebbero seguire piani concreti di “remediation” e soprattutto un buon punto di partenza potrebbe essere quello di considerare la protezione dei dati come un processo continuo di azioni, verifiche e correzioni da condividere a qualsiasi livello gerarchico e non una semplice esigenza aziendale legata ai costi dell’infrastruttura IT.

Inoltre in una situazione di stress legata all’interruzione dell’operatività potrebbe essere necessario affidarsi a consulenti esterni che supportino l’infrastruttura IT impattata principalmente dal ransomware, ma addirittura meglio sarebbe la possibilità di rispondere con un team di emergenza multidisciplinare in grado di analizzare con differenti punti di vista la situazione ed individuare le azioni necessarie.

Cultura ed approccio consapevole al rischio

Cultura ed approccio consapevole al rischio sono certamente due aspetti fondamentali da tenere in considerazione per poter prendere la decisione più giusta a garantire la cosiddetta business continuity a questi devono necessariamente affiancarsi le prescrizioni normative che rappresentano la cornice intorno alla quale le organizzazioni si muovono ed il GDPR negli ultimi 12 mesi ha sicuramente contribuito a cambiare alcune impostazioni errate, ma da solo non basta e l’esempio ci viene dal fatto che nonostante corra l’obbligo di segnalare un data breach entro limiti fissati di tempo, spesso l’approccio (prevalentemente in ambito privato) è quello di cercare di evitare la diffusione di informazioni che possano compromettere la reputazione dell’organizzazione dietro l’illusione che mantenendo un profilo basso si contengano i costi legati ad una violazione dei sistemi.

Aldilà dell’aspetto legale e normativo non è semplice comprendere se nascondere le cose sia l’approccio giusto cosi come è certamente complesso decidere se pagare un riscatto sia la soluzione migliore, ma una cosa è certa: la protezione delle informazioni non è e non potrà più essere una questione da circoscrivere alla sola infrastruttura IT e questo è un bene per tutti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati