Investire in misure preventive contro i ransomware quali backup regolari e software di sicurezza fa risparmiare una quantità significativa di denaro nel lungo periodo.
Pagare il riscatto, infatti, per quanto possa sembrare l’opzione più economica, è spesso la più gravosa quando si considera il vero costo di un ransomware. Com’è possibile?
Il ransomware è un tipo di attacco informatico che agisce criptando i file della vittima e chiedendo un riscatto in cambio della chiave di decriptazione. Secondo l’analisi di Gartner “Hype Cycle for Storage and Data Protection Technologies”, il 75% delle aziende subirà un attacco ransomware entro il 2025[2]. L’Italia è il paese europeo più colpito con il 3,56% degli attacchi subiti a livello globale[3].
La causa primaria di una così rapida diffusione è il ransomware-as-a-service (RaaS), un nuovo modello di business criminale in rapidissima crescita[4] che consente a chiunque di acquistare toolkit pronti all’uso sul Dark Web in cambio di un compenso o di parte del riscatto. Organizzazioni criminali come DarkSide non si limitano più a condurre gli attacchi: sono anche distributori di RaaS — in altre parole, vendono o affittano il loro software a terzi.
Non è solo una questione di semplicità di esecuzione: il rischio ridotto, sommato alla comprovata efficacia, rende l’attacco ransomware la principale minaccia informatica per persone, aziende e istituzioni[5]. A differenza del furto dati tradizionale, il ransomware consente di estorcere denaro direttamente dalla vittima, eliminando la necessità per l’aggressore di investire tempo e risorse sia nel cercare potenziali acquirenti, sia nell’identificare quei dati (tra quelli sottratti) che possano essere di un qualche interesse per un acquirente.
A fronte della crescente pervasività di tale fenomeno, è dunque fondamentale che le imprese valutino la possibilità di investire proattivamente in soluzioni di sicurezza. Se infatti pagare il riscatto è oneroso, assai più gravi sono le possibili conseguenze in termini di calo dei profitti, esposizione al rischio e riduzione della produttività.
Investimenti in sicurezza informatica, il trend è in netta ascesa
Indice degli argomenti
Ransomware: il costo della perdita dei dati
Secondo l’analisi dell’agenzia di cyber sicurezza Check Point Company, il vero costo di un ransomware è in media 7 volte maggiore del riscatto[6]. Il costo di un ransomware infatti si riassume nelle seguenti “voci di spesa”:
- pagamento del riscatto;
- costo del downtime;
- sanzioni pecuniarie per violazione del GDPR;
- danni alla reputazione.
Il pagamento del riscatto
Una delle “voci di spesa” primarie, in caso di attacco ransomware, è il riscatto stesso. Sebbene il pagamento del riscatto possa sembrare una soluzione facile e veloce, è importante notare che molte vittime non ricevono indietro tutti i loro dati, anche dopo aver pagato il riscatto.
In alcuni casi, gli aggressori potrebbero non fornire la chiave di decrittazione, oppure la chiave di decrittazione potrebbe essere difettosa. Si stima che oltre la metà delle vittime di ransomware paga il riscatto, ma solo un quarto vede restituiti tutti i propri dati[7].
A quanto riportato dal rapporto Sophos “State of Ransomware 2022”, un’indagine indipendente condotta su 5.600 responsabili IT di 31 Paesi, in Italia il riscatto medio è di 709.746 dollari[8].
Il costo del downtime
È il downtime, però, a essere la voce di costo più importante. Un attacco ransomware infatti impedisce l’accesso a file e sistemi, il che può interrompere le operazioni e portare a un’ingente perdita di fatturato. Questo può essere particolarmente dannoso per le aziende che si basano su dati in tempo reale o che operano in settori sensibili al fattore tempo.
Gartner stima che il costo medio del downtime in caso di attacco ransomware è di $5.600 al minuto, circa $300.000 l’ora[9].
Sanzioni GDPR per mancata protezione dei dati
Parte dell’impatto economico di un attacco conseguente ad una perdita di dati, proviene dalla possibilità di essere multati per non aver applicato le buone pratiche in conformità al regolamento generale sulla protezione dei dati (GDPR).
In base al regolamento, le organizzazioni che violano le disposizioni possono essere multate con sanzioni pecuniarie che arrivano a 10 milioni di euro o al 2% del fatturato annuale mondiale dell’azienda dell’anno finanziario precedente, a seconda di quale sia l’importo più alto[10]. Questo rappresenta un considerevole onere finanziario per le aziende, soprattutto per quelle che gestiscono grandi quantità di dati sensibili.
Il danno alla reputazione
Il danno alla reputazione costituisce, inoltre, un rischio significativo. Un attacco ransomware può infatti causare una perdita di fiducia da parte degli stakeholder e generare conseguenze a lungo termine sulla reputazione e sui ricavi dell’azienda.
Secondo uno studio condotto da IBM e Forbes Insights, il 46% delle aziende che hanno subito una violazione della sicurezza informatica ha subito un calo significativo del valore del proprio brand e della propria reputazione[11].
I consumatori, infatti, tendono a non dimenticare le aziende che non sono in grado di proteggere le loro informazioni. Un americano su quattro dichiara che non vuole avere a che fare con aziende che hanno subito un data breach[12].
Gli altri “danni collaterali”
Se poi si considerano i disservizi di second’ordine e la minaccia per la sicurezza nazionale, il computo dei danni è persino maggiore.
È questo il caso dell’attacco a Colonial Pipeline, uno dei principali oleodotti statunitensi, che il 7 maggio 2021, a seguito di un attacco da parte della gang criminale DarkSide[14], subì un’improvvisa interruzione, lasciando a secco le pompe di benzina e causando interruzioni del traffico aereo nel sud-ovest degli Stati Uniti.
Tirate le somme: qual è, dunque, il vero costo di un ransomware? In Italia, è di 3,6 milioni di dollari[15].
Ransomware: il costo della prevenzione
L’uso di misure preventive contro gli attacchi ransomware, compresa l’implementazione di solide strategie di backup e ripristino, è fondamentale per salvaguardare i dati e le operazioni aziendali.
Uno dei rischi più significativi di un attacco ransomware è la perdita o il danneggiamento dei dati. In molti casi, gli aggressori tengono in ostaggio i dati e, anche se il riscatto viene pagato, non c’è garanzia che la chiave di decrittazione funzioni. Ciò evidenzia la necessità di un piano di backup e ripristino efficace, che consenta alle organizzazioni di ripristinare i dati in modo rapido ed efficiente, senza pagare il riscatto.
Il backup per un ripristino efficace
Per ottenere un backup e un ripristino efficaci, le organizzazioni devono implementare una strategia a 360° che tenga conto del tipo e della quantità di dati, della frequenza dei backup, della posizione di archiviazione e del processo di backup.
Il processo di backup deve prevedere la creazione di una copia dei dati a intervalli regolari, ad esempio quotidianamente o settimanalmente. In questo modo si garantisce che, in caso di attacco ransomware, i dati possano essere recuperati dal backup più recente con una minima perdita di dati.
Anche il luogo di archiviazione dei backup è essenziale. In questo contesto, la maggior parte delle agenzie di sicurezza, inclusa la Cybersecurity and Infrastructure Security Agency degli Stati Uniti (CISA) suggerisce di seguire la regola del backup 3-2-1, una best practice ampiamente riconosciuta per il backup e il ripristino[16].
Essa prevede la creazione di tre copie dei dati, la loro archiviazione su due tipi diversi di supporto e la conservazione di una copia off-site. Questo approccio garantisce la protezione dei dati da un’ampia gamma di minacce, tra cui attacchi ransomware, guasti hardware e disastri naturali.
Rispettando la regola del backup 3-2-1, le organizzazioni possono ridurre al minimo il rischio di perdita dei dati e garantire un rapido ripristino dei dati critici in caso di incidente.
Test regolari per verificare l’integrità dei backup
Anche la verifica del processo di backup e ripristino è una componente fondamentale di una solida strategia di backup.
Test regolari possono identificare eventuali punti deboli nel processo di backup e garantire che i backup funzionino correttamente. In caso di attacco ransomware, la capacità di ripristinare i dati in modo rapido ed efficiente è fondamentale per minimizzare il downtime e ridurre il potenziale impatto finanziario.
È importante notare che non tutte le soluzioni di backup e ripristino sono ugualmente efficaci: la scelta della giusta architettura di storage può avere un impatto significativo sui tempi di ripristino e sull’affidabilità dei dati.
Sebbene i metodi di backup tradizionali siano ancora in uso, potrebbero non essere adatti per un rapido recupero dei dati in caso di attacco ransomware.
Object storage: un’opzione per backup sicuri
D’altro canto, le moderne soluzioni di backup e ripristino, come i backup su disco o i backup in cloud, offrono tempi di ripristino più rapidi e una protezione più solida contro gli attacchi ransomware.
L’object storage è un’opzione sempre più popolare per il backup e il ripristino grazie alla sua architettura unica che consente un accesso ai dati più rapido e affidabile. L’object storage funziona suddividendo dati e metadati in oggetti e assegnando a ciascuno di essi un identificatore univoco, che consente di recuperare e ripristinare facilmente dati specifici senza dover leggere un intero file. Questa architettura consente inoltre di replicare e distribuire facilmente i dati su più postazioni, proteggendoli da un’ampia gamma di minacce.
Rispetto a file storage e block storage, l’object storage meglio si adatta al caso d’uso del backup grazie alla sua scalabilità, resilienza e convenienza. L’object storage offre infatti una soluzione infinitamente scalabile, che consente alle organizzazioni di archiviare grandi quantità di dati senza preoccuparsi di doverne continuamente ridefinire limiti e capacità. Offre, in genere, sistemi di ridondanza intrinseca, che lo rende più resistente ai guasti hardware e a potenziali interruzioni di alimentazione o banda.
Infine, l’object storage si è dimostrato più conveniente rispetto ai metodi di archiviazione tradizionali, consentendo agli utenti di pagare solo per ciò di cui hanno bisogno, senza la necessità di farsi carico di margini si spazio libero, per dover supportare in futuro migrazioni o upgrade di sistema.
Protocollo S3, Object Locking e Object Versioning
In genere gli Object storage utilizzano come standard di comunicazione, il protocollo Amazon S3, introdotto appunto da Amazon nel 2006. Questo protocollo si è recentemente arricchito delle funzionalità di Object Locking e Object Versioning, entrambe utili per proteggere i dati dagli attacchi ransomware.
L’Object Locking si riferisce alla capacità di “bloccare” una versione specifica di un oggetto per impedirne la sovrascrittura e la cancellazione, per un certo periodo, anche da parte dell’amministratore di sistema. Ciò significa che anche se un attacco ransomware dovesse aver accesso ai dati di backup, non sarà in grado di modificare o eliminare l’oggetto bloccato, vanificando l’efficacia dell’attacco stesso.
L’Object Versioning invece consiste nella capacità di mantenere nel tempo molteplici versioni di un oggetto. Ogni versione è dotata di un identificatore univoco, e questo consente il recupero e il ripristino agevole di versioni specifiche dei dati. In caso di attacco ransomware, l’Object Versioning può essere utilizzato per riportare i dati all’istante precedente a quello dell’attacco, annullandone l’impatto.
Object Locking o Object Versioning costituiscono due strategie di difesa simili, ma non identiche. Se da una parte l’Object Versioning aumenta il numero di copie e quindi il consumo di spazio in modo poco prevedibile, dall’altra consente di adottare specifiche politiche di cancellazione per arginare questi effetti. L’Object Locking è più efficiente in termini di spazio (tenendo più basso il numero di versioni generate), ma le copie di backup non potranno essere immediatamente cancellate.
Avere entrambi questi paradigmi a disposizione, consente di scegliere di volta in volta la soluzione più adatta, trovando il giusto compromesso tra sicurezza e costo della soluzione: applicando generalmente un Versioning per la conservazione di copie di file che cambiano spesso e che vogliamo consultare on line, e il Locking, nei casi in cui i casi si vanno a salvare copie di file (immagini di backup) al solo scopo di averle disponibili nel caso si dovessero un giorno ripristinare.
Il costo medio di una soluzione di backup anti-ransomware
Il costo medio di una soluzione di backup anti-ransomware con Object Locking e Object Versioning può variare a seconda delle dimensioni dell’organizzazione e della quantità di dati archiviati.
Tuttavia, si tratta di un investimento relativamente contenuto rispetto al vero costo di un ransomware. Inoltre, vale la pena notare che alcune delle migliori soluzioni di object storage, come Cubbit DS3, sono progettate specificamente per proteggere dal ransomware.
Lanciato da Cubbit, azienda italiana e partner di Gaia-X, Cubbit DS3 è il primo cloud object storage geo-distribuito d’Europa — una piattaforma senza single point of failure nata per ridare sovranità digitale ad aziende e istituzioni.
Con Cubbit DS3, i dati del cliente sono cifrati, frammentati in parti ridondanti e distribuite su una rete peer-to-peer a perimetro italiano, al sicuro da downtime e data breach.
Cubbit DS3 è S3 compatible e supporta Object Locking e Object Versioning per impedire modifiche non autorizzate ai file e assicurare il recupero dei dati in tempi rapidi e certi. Grazie a queste feature, Cubbit DS3 fornisce accesso a tutta la cronologia dei backup in un solo click e rende i dati immutabili a ransomware ed eliminazioni accidentali.
In aggiunta, Cubbit DS3 rispetta la sovranità digitale salvando i dati del cliente su una rete senza single point of failure a perimetro nazionale, conforme a ISO, GDPR, AGID e a leggi e normative italiane ed europee.
Cubbit DS3 è altamente scalabile. Esso infatti si integra perfettamente con il setup S3 del cliente, senza interromperne il flusso di lavoro: in sostanza è sufficiente cambiare un endpoint per passare da un qualsiasi altro object storage S3 compatibile a Cubbit DS3.
Il cliente può scegliere come scalare e fare upgrade della propria infrastruttura a seconda del mutare delle sue necessità di storage. Cubbit DS3 si integra inoltre con le soluzioni di backup più diffuse, come CommVault, Veeam, QNAP Hybrid Backup Sync, Synology Hyper Backup, AWS CLI, Rclone, Cyberduck e tante altre.
Cubbit DS3 è infine estremamente conveniente. Non possedendo un data center, Cubbit DS3 non ha spese di mantenimento, pertanto può trasferire questo risparmio ai clienti e arrivare a costare fino all’80% in meno di AWS, Azure e Google Cloud, a parità di servizio. Con Cubbit DS3 infatti il cliente paga solo lo storage e la banda: non ci sono costi nascosti né sorprese in fattura. È finalmente possibile stabilire un budget e rispettarlo, senza spese di egress né vendor lock-in.
Vuoi testare la protezione da ransomware fornita da Cubbit DS3? Non aspettare: sul sito di Cubbit puoi attivare una prova gratuita.
Contributo editoriale sviluppato in collaborazione con Cubbit
NOTE
Fonte: Check Point Company ↑
Fonte: Garante della Privacy ↑
Fonte: Ars Technica ↑
Fonte: Corriere Comunicazioni ↑
