... alcuni dati finanziari dell’azienda, che ha deciso di non lavorare fino a quando ha ripreso controllo dei dati pagando il riscatto di $5milioni. Come si conviene nei migliori casi, il pagamento è stato in Bitcoin, per rendere più difficile l’inseguimento dei colpevoli. Per maggiori dettagli raccomando l’articolo di Zeynep Tufekci qui.
Tempo fa ho collaborato con i federali su temi di cybersecurity, specificamente sull’impalcatura della protezione che le aziende devono mettere in campo, il NIST Cybersecurity Framework che trovate qui e che viene adottato da molti paesi tra cui l’Italia. Come dice il nostro Editore, quello che conta è l’execution, il fare in modo che le cose vengano fatte, ed in questo caso si potevano fare meglio. Con Colonial Pipeline il danno non viene da qualche virus sconosciuto, da un algoritmo sofisticato o dalla distruzione di apparecchiature. Al contrario, il peggio viene dal panico di manager spaventati dal non aver dati per fatturare correttamente. Hanno preferito fermare gasdotti e spedizioni pur di non sbagliare la contabilità. Ed anche l’ingresso da parte degli hacker nella rete aziendale è di una banalità disarmante, a dimostrazione di scarsa considerazione del rischio di business di questi attacchi.
Il problema è che quando in TV si vedono file dai benzinai, quando il prezzo del carburante raddoppia, quando fabbriche ed aerei devono ridurre le loro capacità operative perché manca l’energia, il Presidente ha una bella gatta da pelare. Come fare? Nel mio lavoro col MITRE ho avuto prova che l’ingrediente umano è di gran lunga il più importante: tutto parte dalla capacità di instillare scetticismo e dubbio in ogni persona che usi i sistemi informativi. Riceviamo una mail inattesa? Un collega sembra mandarci una fattura quando noi ci occupiamo d’altro? Uno sconosciuto chiede di poter entrare per salutare un collega? Il cugino ci manda un video delle vacanze da riguardare? La lista di situazioni in cui dobbiamo essere sospettosi, chiamare il collega per una verifica o chiedere agli esperti informatici di indagare un messaggio, è lunga assai. E la maggior parte degli attacchi avviene quando siamo più stanchi, al venerdì pomeriggio, poche ore prima o dopo le feste, in occasione di scadenze importanti, quando l’attenzione cala.
In Cina volano aerei e missili che sono la replica esatta di quelli americani: anche i manuali di manutenzione sono stati copiati ad un livello di dettaglio impressionante. Queste copie sono frutto di migliaia e migliaia di attacchi, ognuno dei quali sembra insignificante preso individualmente. Quanto riceviamo una telefonata e chiedono chi è il collega che fa un determinato lavoro, rischiamo di dare una piccola tessera di un puzzle importante. Se diamo quell’informazione, sappiamo che alla vittima chiederanno ulteriori informazioni, magari dicendo di essere nostri amici.
Così come dobbiamo esser scettici nella lettura dei media, allo stesso modo dobbiamo essere sospettosi di tutto quanto riguarda i nostri sistemi informativi. A casa meglio non mischiare informazioni professionali con quelle personali, usiamo il computer aziendale solo per esigenze lavorative e nessun giro su social media, giochi on line o streaming, e specialmente non lo usiamo per le nostre informazioni bancarie e sanitarie.
