Il security breach che ha colpito Garmin nell’estate del 2020 nasconde una lezione importante per tutte le aziende e i loro CEO. Quanto accaduto a Garmin, infatti, è la chiara dimostrazione che gli attacchi ransomware sono sempre più mirati ed efficaci e che il danno in termini di reputazione può essere enorme. Talvolta basta un errore o poca consapevolezza per innescare una crisi di ampie proporzioni ed è quindi fondamentale che i CEO, insieme ai loro team IT e di security, affrontino il tema della sicurezza non solo con uno sguardo proattivo ma anche olistico, considerando cioè i propri sistemi, l’ecosistema digitale di cui l’azienda fa parte e la security awareness di tutti i soggetti che hanno a che fare con l’infrastruttura dell’azienda, in particolar modo i dipendenti.
Security Breach di Garmin: l’attacco e la posizione di Garmin
Garmin, leader mondiale di prodotti per la navigazione (GPS), è celebre per le sue soluzioni dedicate allo sport e all’outdoor e può vantare anche un’offerta significativa per i settori automotive, aviazione e nautica. Lo scorso 23 luglio, i servizi online di Garmin – che, per intenderci, sono usati da milioni di runner, atleti e sportivi in tutto il mondo – hanno subito una brusca interruzione protratta nel tempo, causando un evidente disservizio. Il primo e unico intervento ufficiale dell’azienda è datato 27 luglio e conferma quanto sospettato da diversi analisti, ovvero un attacco cyber perpetrato mediante un ransomware. Nel comunicato stampa, infatti, l’azienda non si limita a promettere il ripristino rapido dei sistemi, ma ammette di “essere stata vittima di un attacco informatico che ha criptato alcuni dei nostri sistemi il 23 luglio 2020. Di conseguenza, molti dei nostri servizi online sono stati interrotti, comprese le funzioni del sito web, l'assistenza clienti, le applicazioni rivolte ai clienti e le comunicazioni aziendali”. A contrastare le voci di un data leak, Garmin affermò: “Non ci risulta che i dati dei clienti, incluse le informazioni di pagamento di Garmin Pay, siano stati accessibili, persi o rubati”.
WasterLocker, Evil Corp e i 10 milioni di riscatto
Preso atto del Security Breach, Garmin riuscì a ripristinare i suoi sistemi nell’arco di una manciata di giorni, tornando all’operatività regolare. Ciò non ha ovviamente interrotto le discussioni in merito, volte a fare luce su quanto accaduto, su cosa abbia fatto l’azienda per reagire al breach, se ci sia stata o meno una fuga di dati e chi sia il colpevole dell’attacco.
L’azienda non ha più comunicato nulla di ufficiale: tutto ciò che è stato riportato nei mesi a seguire rientra nell’ambito delle supposizioni o delle indagini effettuate dalla stampa specializzata. Vettore dell’attacco pare sia stato il ransomware WastedLocker, responsabile dell’encryption di buona parte dei sistemi, compresi dispositivi personali su rete VPN. Curiosamente, pare non si sia verificata l’ormai frequente doppia estorsione, ovvero la contestuale cifratura e sottrazione dei dati: nella fattispecie, pare infatti si sia verificata solo la prima attività. Diverse fonti collegano l’attacco al gruppo russo Evil Corp, già accusato e sanzionato dal Tesoro americano per aver colpito banche e istituzioni finanziarie in più di 40 Paesi e per aver sottratto, come esito della propria attività, più di 100 milioni di dollari. Come anticipato, i sistemi Garmin ripresero a funzionare – anche se in modo piuttosto graduale e progressivo – entro una manciata di giorni e questo fece sospettare che l’azienda avesse ceduto al ricatto pagando la somma richiesta: Sky News, per esempio, lo scorso 3 agosto affermò che Garmin avesse pagato un riscatto multi-milionario avvalendosi dei servizi di un intermediario, Arete IR.
Security Breach di Garmin e il ruolo dell’awareness
Come spesso accade, la nebbia si infittisce quando si parla di cause e dinamiche dell’infezione, ma è noto quanto i ransomware vengano spesso attivati dagli utenti come allegati di e-mail o a seguito di download frettolosi e di scarsa consapevolezza nelle conseguenze delle proprie azioni. L’evento che ha coinvolto Garmin deve far riflettere tutti i CEO sulla centralità, sul valore della sicurezza informatica come abilitatore del business stesso e il fatto che i danni di una condotta poco focalizzata sulla security possano essere immensi. Con tutti i condizionali del caso, se Garmin avesse realmente pagato 10 milioni di dollari in pochi giorni, l’avrebbe fatto – oltretutto, andando incontro a rischi di ulteriori sanzioni - per evitare danni emergenti, contrattuali, di conformità normativa e di reputation molto, molto più importanti e mettendo in conto di creare un precedente pericoloso.
In piena era di smart working, di ecosistemi connessi via API, di comunicazione agile e di connettività pervasiva, la sicurezza è una priorità a tutti i livelli. Spesso si ragiona in termini tecnici, di protezione della rete, dei dispositivi, delle identità e degli accessi, trascurando il tema delle persone, della popolazione aziendale che sempre più spesso è l’anello debole della catena e deve essere istruita con percorsi di awareness efficaci, simulazioni e un Assessment continuo di capacità e competenze.