Qualunque sia il tuo campo di attività, il tuo lavoro dipende dalla disponibilità di quegli stessi dati che la tua azienda produce costantemente. È un percorso iniziato qualche decennio fa, quando l’arrivo dei primi PC per l’ufficio vennero salutati come la possibilità di semplificare e velocizzare talune procedure, una modernizzazione che permetteva di staccarsi dai concorrenti ancora legati al passato.

In breve tempo si sono quindi diffuse le reti locali e poi ancora Internet, un collante che ha consentito di unificare ambienti produttivi, gestionali e amministrativi per condurre infine a quella trasformazione digitale di cui oggi tanto si parla e che non è altro che l’ultimo tassello per informatizzare l’intera catena che unisce l’ideazione, la realizzazione, la fornitura e il post-vendita di beni e servizi.

Tutto questo per dire che non importa quanto tu ritenga la tua azienda informatizzata o comunque dipendente dall’informatica; la realtà è che tutto quello che fai tu, i tuoi collaboratori, i tuoi fornitori e anche i tuoi clienti passa inderogabilmente attraverso i dati e i sistemi che servono per elaborarli. Motivo per cui il tuo ambiente informatico deve essere ben protetto, aggiornato e gestito coscienziosamente, cosa che indubbiamente fai già. E come te lo fanno migliaia di altri imprenditori e di aziende che non possono fare a meno di avere dati e applicazioni sempre disponibili e affidabili.

Eppure questo non basta, come provano le notizie che sempre più spesso vengono riportate dai mezzi d’informazione. Aziende di ogni settore e dimensione costrette a fermarsi perché i loro sistemi sono stati crittografati dal ransomware. Informazioni sensibili sottratte e messe in vendita sul Dark Web al miglior offerente. Server modificati per scatenare campagne di posta indesiderata, il famigerato spam, o lanciare attacchi DDoS di vario genere per conto terzi. Interi patrimoni di dati resi inutilizzabili o scomparsi per sempre.

Significa dunque che tutte le varie soluzioni per la sicurezza informatica non servono a nulla? Assolutamente no, tutt’altro. La questione è che la tecnologia è qualcosa di fluido, che richiede una costante attività di controllo e monitoraggio con il conseguente aggiornamento dei meccanismi di protezione.

Un ambiente IT non è un edificio fisico le cui caratteristiche sono note, evidenti e fondamentalmente immutabili. Considera per esempio la sede della tua azienda: una volta che hai messo in sicurezza tutti i possibili varchi di accesso – porte, finestre e lucernari innanzitutto, oltre a eventuali tunnel di servizio, botole di ispezione e così via – puoi infatti stare tranquillo che non ti capiterà mai di arrivare una mattina e scoprire l’esistenza di una nuova porta di ingresso venutasi a creare nottetempo a tua insaputa.

Un ambiente IT è invece qualcosa di dinamico, dove sistemi operativi e applicazioni si aggiornano senza sosta per implementare ulteriori funzionalità, migliorare le prestazioni e risolvere inconvenienti. Le loro configurazioni cambiano per riflettere l’aggiunta di nuovi sistemi, nuovi utenti e nuove tecnologie. Anche se continui a usare gli stessi computer per svolgere lo stesso lavoro giorno dopo giorno, puoi stare certo che il tuo ambiente di oggi è cambiato nella sostanza da quello di ieri, e domani cambierà ancora.

Questa evoluzione costante introduce interessanti conseguenze sul lato della sicurezza, poiché è come se l’edificio in cui ti trovi in questo momento cambiasse numero, dislocazione e tipologie di porte e finestre più volte al giorno. Capisci bene che in un caso del genere non potresti sentirti mai al sicuro senza avere qualcuno che non tenesse costantemente d’occhio lo svolgersi delle cose intervenendo di volta in volta con lucchetti, inferriate e allarmi secondo necessità.

Ebbene, questo è proprio lo scopo delle tecniche di vulnerability assessment, o valutazione delle vulnerabilità, nate per rastrellare senza sosta i tuoi sistemi hardware e software alla ricerca di tutti i punti deboli che possono essersi venuti a creare in seguito ad aggiornamenti, nuove installazioni, modifiche di configurazioni eccetera – ovvero tutto ciò che, come abbiamo visto, rende irrimediabilmente fluido il tuo ambiente IT.

Vediamo perché tutto questo è importante per te e per la tua attività.

Cronistoria di un’evoluzione

Da attività sporadiche di qualche smanettone, gli attacchi informatici sono diventati una vera e propria industria del crimine gestita da bande organizzate, a volte dotate di ramificazioni internazionali, che in genere si specializzano in determinate attività piuttosto che altre. È un mondo parallelo a quello della delinquenza più tradizionale, dove per esempio c’è chi traffica droga e chi esseri umani, chi taglieggia, chi si occupa di rapimenti e così via.

Nel sottobosco del cybercrimine abbiamo invece il furto e il traffico di informazioni, lo spionaggio industriale, i ricatti, l’uso di risorse informatiche altrui a fini illeciti e una serie pressoché infinita di truffe e raggiri di ogni genere.

È un’industria dai fatturati da capogiro: le perdite complessive a livello globale stimate per il 2021 ammontano a ben 6 trilioni di dollari, ben tre volte l’intero prodotto interno lordo italiano,di cui una fetta sostanziosa finisce direttamente nelle tasche dei malintenzionati mentre il resto sono danni secchi dovuti a fermi operativi, interventi di ripristino, perdite di commesse e clienti, danni d’immagine ecc.

Di fronte a cifre del genere si capisce bene perché il cybercrimine non smetta di imperversare e, anzi, aumenti costantemente il ritmo delle attività ricercando nuove vittime in ogni angolo di Internet. Lo dimostra il fatto che questo argomento tocca ormai chiunque si trovi in qualche modo “connesso”, non importa se con un semplice smartphone personale piuttosto che con un intero datacenter aziendale. Buona parte delle azioni illecite avviene in maniera del tutto automatica senza guardare in faccia nessuno: una macchina vale l’altra, un indirizzo di rete vale l’altro. Il più debole, il più vulnerabile, soccombe.

Qui si inizia a percepire l’importanza dei sistemi di sicurezza, costruiti e gestiti in modo tale da chiudere tutti i varchi noti e intercettare i tentativi di ricognizione e intrusione esterni (nonché, sempre più spesso, anche i comportamenti sospetti provenienti da fonti interne).

Le prime aziende che sono corse ai ripari con soluzioni di questo genere sono state ovviamente quelle che in origine erano le più colpite a causa delle loro attività, delle loro dimensioni o della loro notorietà. Le banche, innanzitutto, che per lungo tempo sono state considerate una fonte di soldi relativamente facile. Abituati a lavorare su ambienti informatici chiusi e inaccessibili, e quindi in un certo modo più protetti, gli istituti di credito hanno infatti impiegato qualche tempo per mettere a punto le loro difese nel momento in cui hanno dovuto aprirsi al mondo esterno, ad esempio collegandosi al web per poter erogare servizi di home banking o mettere in rete le proprie filiali sul territorio abbandonando i vecchi network proprietari.

Anche le grandi multinazionali, ostaggio della loro complessità organizzativa e burocratica, sono state una preda ambìta per i truffatori informatici fintanto che quella stessa burocrazia non è stata adeguata per contrastare i tentativi di frode ritorcendosi contro i malintenzionati.

Chiuse o rese meno percorribili queste strade, i cybercriminali si sono rapidamente rivolti verso nuove categorie di potenziali vittime, prime tra esse le piccole e medie imprese, considerate il “ventre molle” dal punto di vista della sicurezza informatica per la cronica disattenzione con cui la maggior parte di esse ha costruito negli anni i rispettivi ambienti IT.

Ma anche in questo caso la cuccagna è durata relativamente poco. A parte uno zoccolo duro di imprese che continuano a voler vivere pericolosamente disinteressandosi dell’argomento sicurezza e dei rischi che questo comporta, oggi anche tra le PMI è diffusa una certa consapevolezza circa l’esigenza di innalzare opportune difese digitali.

Sicuramente anche la tua azienda sarà dotata di capacità di rilevamento antivirus / antimalware in abbinamento a un firewall che controlla il traffico in ingresso e in uscita. Le soluzioni disponibili in questo settore sono davvero numerose per tipologia, complessità e funzionalità offerte arrivando a coprire praticamente ogni necessità immaginabile. Alcuni prodotti, per esempio gli antivirus, possono essere facilmente installati e gestiti direttamente dall’utente finale, mentre altri richiedono competenze più specifiche e vengono in genere aggiunti e configurati da tecnici specializzati che sanno dove e come mettere le mani.

Un’altra misura di cui avrai certamente sentito parlare è il cosiddetto “patch management“, un termine dietro il quale si nasconde un’ordinata e regolare organizzazione dell’applicazione degli aggiornamenti di applicazioni, sistemi operativi e firmware (ovvero il software che regola il funzionamento di dispositivi e macchinari vari).

Anche il patch management è una disciplina che è andata strutturandosi nel tempo, proprio in risposta a quella “fluidità” degli ambienti informatici a cui accennavamo prima. Se in origine gli aggiornamenti potevano essere eseguiti saltuariamente, in genere quando le attività lavorative (e l’impegno della rete) lo consentivano, oggi invece costituiscono un’attività automatizzata e prioritaria che si avvale spesso di appositi test a monte per assicurare che l’installazione delle varie patch non provochi qualche incompatibilità o malfunzionamento.

Ma se le aziende si proteggono con firewall e antivirus e mantengono i loro ambienti IT costantemente aggiornati, come mai continuano a essere “bucate” dai cybercriminali? Dove sta l’inghippo?

Il gatto e il topo

Il software è qualcosa di grande complessità. Per capire di cosa stiamo parlando, pensa che un sistema operativo come Windows 10 è composto da 50 milioni di righe di codice, il kernel Linux da quasi 30 milioni, altre decine di milioni compongono applicazioni come Microsoft Office. Logico immaginare come in questa complessità possano sfuggire errori presenti nel software, e la prova risiede proprio nelle continue patch che vengono rilasciate dai produttori (a proposito: “patch” significa rattoppo o cerotto, il che spiega tutto).

Un altro potenziale punto debole è rappresentato dalle configurazioni di sistemi e applicazioni. Quasi ogni software infatti può essere personalizzato nel funzionamento attraverso comandi o parametri specifici. La configurazione di un programma di posta elettronica, per esempio, è composta dalle informazioni associate a ciascuna casella email gestita: nome dell’utente, credenziali di accesso, server di riferimento, frequenza di aggiornamento, caratteristiche dei messaggi, archiviazione, trattamento dello spam e così via. Un word processor viene invece configurato con le preferenze tipografiche e di lingua, il dizionario per la correzione ortografica, gli stili di pagina, le cartelle dove caricare e salvare i documenti per default ecc.

Più i sistemi sono complessi – le applicazioni server, ad esempio – più le configurazioni si complicano permettendo sì di personalizzare le soluzioni in base alle esigenze dell’utilizzatore, ma a rischio di introdurre involontariamente delle fragilità provocate da parametri in conflitto o da errori commessi in buona fede per una conoscenza non sufficientemente approfondita dei sistemi stessi (non tutti sono adeguatamente documentati o ugualmente comprensibili…).

I cybercriminali ovviamente lo sanno, molti di essi sono programmatori e in buona parte anche dotati di ottime capacità. Il loro lavoro è quello di fare a gara con i produttori di software per riuscire a trovare vulnerabilità inedite prima che vengano ufficialmente identificate e neutralizzate (o “patchate”, per l’appunto).

Una vulnerabilità attiva può essere quindi sfruttata per portare a termine attacchi mirati o su vasta scala, a seconda del tipo di vulnerabilità e dei sistemi coinvolti. E da qui scaturisce la maggior parte dei problemi visti prima, con interi ambienti IT tenuti in ostaggio dal ransomware ed enormi quantità di dati sottratti ai legittimi proprietari.

Rischi di perdita dati | Informatica 95

Nella pratica osserviamo infatti come gli attaccanti, una volta scoperta una vulnerabilità, si muovano generalmente lungo tre direttrici principali:

  • installazione ed esecuzione di un qualsiasi programma da remoto: dagli effetti ci si accorge subito se il programma in questione è un ransomware, più subdola invece la presenza di programmi che spiano e sottraggono informazioni a poco a poco senza mettersi in evidenza poiché possono agire indisturbati per molto tempo;
  • modifica dei database: la possibilità di cambiare direttamente le informazioni su cui si basa l’attività di un’azienda è particolarmente apprezzata dai cybercriminali. Prova a immaginare cosa accadrebbe se i codici IBAN dei tuoi fornitori venissero improvvisamente modificati per dirottare i tuoi pagamenti a favore di soggetti ignoti;
  • interruzione dei servizi essenziali: se le tue attività si bloccano per indisponibilità dei sistemi informativi, il tuo business si paralizza a tempo indeterminato. Ciò può avvenire per motivazioni finanziarie con la richiesta di un riscatto, o di natura differente come per esempio nel caso dei cosiddetti hacktivisti che colpiscono specifiche aziende in base al ramo di attività o ai proprietari per ragioni politiche, ambientali, etiche o di altro genere.

Nessuna speranza di riuscire a scamparla, allora? In realtà, come è facile immaginare, la capacità di identificare le vulnerabilità presenti all’interno di un ambiente IT non è di esclusiva pertinenza dei “cattivi”. Esistono infatti professionisti esperti che vanno a caccia di questi punti deboli per neutralizzarli, non certo per svolgere attività illecite.

Questo avviene in due modi:

  • ricercando i bug che si nascondono nel codice del software di applicazioni e sistemi operativi. È il dominio dei cosiddetti “bug hunter” che si guadagnano da vivere grazie a delle vere e proprie taglie che i produttori di software riconoscono a chiunque scopra e segnali qualunque genere di errore nel loro codice. Più grave è il bug che viene trovato, più alta è la ricompensa monetaria versata al bug hunter;
  • ricercando le vulnerabilità insite negli ambienti informatici degli utilizzatori finali, in genere provocate da errori di configurazione, mancanza di aggiornamenti o incompatibilità tra elementi.

La buona notizia è che anche tu puoi avvalertene per rafforzare le tue difese. Un servizio di vulnerability assessment è quel che ti occorre in questo caso.

Una vera e propria ronda tecnologica

Quando richiedi un servizio di vulnerability assessment – cosa che dovresti fare regolarmente – ottieni in sintesi l’intervento di un fornitore che non solo dispone di competenze specifiche in quest’ambito, ma che è altresì munito di un arsenale di strumenti di varia natura e complessità che lo aiutano nell’analisi dei tuoi sistemi.

Un’attività di vulnerability assessment si svolge in genere attraverso una serie di fasi successive, ciascuna delle quali è strutturata in modo da preparare il terreno a quella che segue.

Definizione del perimetro di intervento. Il primo passo è quello di stabilire i confini dell’ambiente da analizzare. Se un tempo questa attività poteva essere tutto sommato semplice, limitandosi ai PC e ai server presenti in azienda, l’onnipresente connettività di rete che permea la nostra epoca ha reso più fumose le

dipende dalle dimensioni e dal tipo di attività di un’azienda, dalle tipologie di sistemi utilizzati e dall’impronta IT esposta all’esterno.

Qualunque sia la tua scelta, un servizio di vulnerability assessment ti aiuterà a essere più tranquillo moltiplicando l’efficacia dei sistemi di difesa di cui già disponi e contribuendo a dimostrare il tuo rispetto della conformità a requisiti normativi sempre più stringenti in materia di sicurezza informatica. Potrai continuare a concentrarti serenamente sulla tua attività sapendo di poter contare su spalle ben protette; anche i tuoi stessi clienti lavoreranno più volentieri con te nella consapevolezza di affidarsi a un partner che investe a favore della protezione delle informazioni così come della continuità operativa.

I cybercriminali non si fermano mai e la loro caccia a vulnerabilità sfruttabili a fini illeciti è un lavoro costante che diventa di giorno in giorno sempre più sofisticato. Tu non puoi permetterti di essere da meno, e in questo troverai aiuto presso il tuo consulente o fornitore di servizi IT che potrà consigliarti la soluzione più adatta per le tue necessità.