Un attacco informatico alla SIAE. La notizia ha avuto un forte rilievo mediatico verso la fine del mese di ottobre, quando appunto il gruppo Everest (nome tra i più noti nell’elenco dei criminali informatici) ha rivendicato di aver violato il sito web della Società Italiana degli Autori ed Editori, l’organizzazione che gestisce i diritti dei protagonisti del mondo culturale e dello spettacolo (artisti, musicisti, scrittori). Everest ha dichiarato di aver rubato circa 60 gigabyte di dati sensibili (carte d’identità, patenti, tessere sanitarie, indirizzi) e di averli messi in vendita sul dark web per provare che l’attacco è stato autentico. Per restituirli alla SIAE Everest ha chiesto 3 milioni di euro in bitcoin; inoltre, ha contattato direttamente alcuni iscritti alla Società chiedendo loro 10mila euro.
I dati - tra i quali figurano anche circa 28mila documenti riservati di proprietà di diversi artisti - sono stati esfiltrati a seguito di data breach. Questo è un primo punto chiaro: data exfiltration, e non cifratura dei dati a seguito di inserimento di un ransomware nei sistemi della SIAE. «Si compiono meno attacchi di criptando i dati, perché le aziende sono state sensibilizzate su temi come la protezione e i backup», ci racconta Davide Telasi, che in HWG è Sales Account Manager. «Un’azienda che abbia fatto un backup serio e adotti un buon sistema di disaster recovery non ha bisogno di pagare il riscatto se le vengono criptati i dati: li riesce a recuperare e riparte. Ecco perché il tiro si sta spostando sull'esfiltrazione, cioè sul furto quasi fisico dei dati che poi, come nel caso della SIAE, vengono messi sul mercato del dark web».
Sensibilizzazione, un tasto ancora dolente
Quel che ancora non è chiaro di questo caso è come sia avvenuto il data breach. Il cantautore Samuele Bersani ha raccontato alla stampa di aver ricevuto una telefonata, nei giorni precedenti l’attacco, da una persona che si dichiarava funzionario della Società, e che gli chiedeva di comunicare ID e Password. Lui ha risposto di non conoscerli perché lascia che a occuparsi degli aspetti amministrativi siano altri del suo entourage; tuttavia, l’episodio fa supporre che sia stata svolta attività di phishing per arrivare alle credenziali con cui violare il sito.
«E’ un’ipotesi, ma non l’unica - prosegue Davide -. Nulla esclude che l’accesso, che si pensa possa essere avvenuto violando un profilo amministrativo, sia stato frutto di precedenti data breach al termine dei quali le credenziali sono state rese pubbliche. Magari anche anni fa». E magari anche attraverso un’utenza che, nel mentre, ha cambiato la password, seguendo però una logica impropria. «Se la mia chiave di accesso, per fare un esempio, è creata a gennaio come Mela01, non è affatto improbabile che a dicembre sia Mela12 - precisa Davide -. Gli hacker conoscono molto bene questi meccanismi, inefficaci quando non dannosi: una volta che a gennaio ti ho rubato la password, a dicembre posso ancora utilizzarla anche se l’hai modificata».
Un lavoro di sensibilizzazione è dunque fondamentale per evitare l’errore umano, che un’azienda come HWG, nella sua esperienza di player del settore, continua a osservare come il principale elemento che facilita gli attacchi. Nel contempo, continua a osservare una certa resistenza alla proposta di formazione e di istruzione sui rischi e sulle evoluzioni del cybercrime. Aziende e dipendenti spesso fanno leva sulla mancanza di tempo e sul troppo lavoro per non aderire a programmi formativi su temi sempre più importanti, anche a livello personale.
I possibili rimedi
Subìto il danno, l’azienda deve correre ai ripari. La prima cosa da non fare è, naturalmente, pagare il riscatto (anche perché non garantisce la restituzione dei dati). «Quel che serve è un adeguato piano di crisis management e di incident response - conclude Davide-. Ciò è utile in primo luogo sul piano della comunicazione, perché un obiettivo immediato delle aziende colpite è ripristinare la brand reputation. Quindi si lavora sul piano tecnico, con il ripristino dei sistemi, perché dopo ogni attacco i sistemi sono sempre fuori uso. Infine è necessario fare assessment sull’infrastruttura e capire quali sono i punti da migliorare». Perché, questo è indubbio, sicuramente ci sono.