I numerosi attacchi informatici di cui tanto si è parlato negli ultimi mesi del 2018, anche sul nostro sito, hanno evidenziato che l’obiettivo dei criminal hacker non è più soltanto quello di arrecare danni materiali ad aziende e organizzazioni: data breach e business interruption rappresentano le nuove frontiere del cyber crime e consentono di danneggiare un’azienda con un attacco che semplicemente blocchi, rallenti o metta fuori linea i suoi sistemi.
Lo scorso giovedì 6 dicembre per 32 milioni di clienti di O2 UK, il secondo operatore di telefonia mobile del Regno Unito, non è stato un buon risveglio. Nella notte era stato rilasciato un aggiornamento software che non era correttamente firmato con un certificato valido e pertanto l’intera rete è stata lasciata priva del servizio dati.
Una svista, si direbbe, un semplice errore, una distrazione forse o la mancanza del rispetto di una procedura, ma che ha portato a significative conseguenze. Un simile problema, però, era già successo lo scorso ottobre e questo fa pensare che non sia solo un errore casuale.
Per 29 milioni di clienti diretti per oltre 24 ore non c’è stata linea dati, ma essendo O2 una delle 4 compagnie mobili britanniche principali, l’inconveniente ha interessato anche i clienti di GiffGaff, Tesco mobile, Sky mobile e Lycamobile, altri operatori virtuali minori, arrivando quindi ad interessare 32 milioni di schede SIM: paragonato all’Italia è come se TIM perdesse il segnale dati con conseguenze per i suoi clienti e quelli connessi attraverso Fastweb Mobile, Coop Voce e Poste Mobile, operatori cosiddetti virtuali perché utilizzano e rivendono i servizi di rete di un operatore di cui utilizzano la rete senza possederla.
Aumentare la resilienza adottando misure tecniche adeguate
Nella nostra epoca, dove tutto il business passa, anche solo in una parte del processo, per internet, avere una interruzione del servizio dati può portare a conseguenze anche pesanti che normalmente non vengono considerate, questo perché ormai diamo il servizio internet per scontato: come avere accesso all’acqua corrente, all’elettricità o alla fornitura di gas; non a caso i servizi essenziali forniti dalle utilities sono sottoposti a regolamenti specifici e particolarmente stringenti come la recente normativa NIS (Network and Information Security).
La normativa nasce proprio per indurre gli operatori di servizi essenziali e gli operatori di servizi digitali a porre in essere misure atte ad aumentare la resilienza dei sistemi attraverso l’adozione di misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici.
Ovviamente nessun sistema è perfetto e tutto è migliorabile. Ebbene, quanto successo ad O2 testimonia che non esiste più un confine e un perimetro di azione ben definito dove un’azienda opera, e le conseguenze di un aggiornamento software rilasciato da un fornitore (Ericsson, nel caso particolare) non completamente conforme ha bloccato, oltre agli utenti internet di O2, anche servizi come i POS di molti esercizi, che utilizzano una linea dati, gli ordini Foodora, alcuni driver Uber, i pannelli informativi degli autobus, le docking station delle biciclette del comune di Londra, giusto per fare qualche esempio.
La catena del servizio o l’interruzione dello stesso, quindi, interessa non solo il cliente ma parte dai fornitori esterni ed arriva a chi usufruisce del servizio erogato, con un effetto a catena come si è visto appunto nell’incidente di O2. Questo è il caso che si verifica quasi sempre con le utilities ed è per questo che sono considerati servizi critici. Una criticità che il legislatore ha cercato di indirizzare introducendo la direttiva NIS.
Quanto verificatosi nel Regno Unito, sebbene il problema fosse riconducibile ad un aggiornamento software rilasciato da Ericsson per la rete mobile di O2, fa pensare che O2 non abbia verificato e non si fosse accorta che l’aggiornamento andasse a bloccare i nodi della Rete prima di estendere l’aggiornamento a tutta la Rete, una carenza che potrebbe essere dovuta alla cattiva interpretazione o applicazione della direttiva suddetta.
O2 ha offerto agli utenti uno sconto sulla prossima bolletta pari a quanto dovuto per i 2 giorni di disservizio, ma il danno reputazionale al gestore dopo questa interruzione ed i disservizi causati potrebbe portare alla revoca di qualche contratto o alla decisione di qualche cliente di distribuire l’approvvigionamento del servizio dati da più fornitori per non avere un disservizio totale, in caso di interruzione. La distribuzione del rischio è sicuramente una strategia intelligente da adottare mentre per quanto riguarda i fornitori a completa aderenza e conformità ai dettami della NIS per le infrastrutture critiche aiuterebbe ad evitare simili disservizi specialmente se ripetuti.
Servizi critici nel mirino: anche l’Italia sotto attacco
Lunedì 10 dicembre, invece, è stata la volta di Saipem: il gigante italiano delle infrastrutture al servizio del settore petrolifero è stato colpito da un cyber attack che ha interessato circa 400 server.
Come misura prudenziale Saipem ha messo fuori linea questi sistemi in attesa di rimuovere la minaccia e ripristinare il servizio. Anche in questo caso si è generata una interruzione del servizio ed un conseguente danno reputazionale che potrebbe essere dietro la flessione del titolo Saipem nei giorni successivi all’attacco. Certamente la vulnerabilità utilizzata per l’attacco è da fare risalire ad una variante del malware Shamoon, noto sin dal 2012, e lascia di che pensare come questo sia stato possibile: analogamente ad O2, una società che offre servizi critici (non infrastrutturali nel caso di Saipem) come risorsa strategica della nazione, viene messa in crisi da un attacco, a quanto pare non particolarmente sofisticato a livello tecnico e probabilmente evitabile, se si fossero seguite tutte le direttive del NIS.
Quale lezione trarre da questi attacchi
In prima istanza possiamo evidenziare che le conseguenze di un attacco cyber non sono unicamente da ricondurre ad un data breach, ma è possibile danneggiare una azienda con un attacco che semplicemente blocchi, rallenti o metta fuori linea i sistemi: era già successo l’anno scorso alla Maschio Gaspardo di Padova e quest’estate alla TSMC ed in parte alla Boeing, le cui conseguenze sono state un blocco o calo della produzione o di fatturato. Eventi su cui è possibile assicurarsi, con una buona polizza cyber.
Altri danni che possono essere causati da un cyber attack spaziano dal sabotaggio ai furti di brevetti o segreti industriali, alla cancellazione o corruzione di interi archivi ed altro.
Alcuni casi sono assicurabili qualora “l’attacco” fosse generato da un errore o imprudenza di un utente che non segue correttamente le procedure operative e di sicurezza. Ovviamente, per proteggersi da questa eventualità va scelta una copertura particolarmente estesa che non tutte le polizze cyber offrono. Ma può valere la pena valutarne l’opportunità poiché i cyber attack sono la nuova frontiera dei rischi delle aziende ed è sicuramente una minaccia crescente visto che la superficie di attacco, in un mondo sempre più connesso in cui il concetto di perimetro fisico aziendale è stato sostituito da quello di confine virtuale, si sta allargando a dismisura.
@RIPRODUZIONE RISERVATA