Nel mese di luglio l’Agenzia Europea per la cybersicurezza (ENISA) ha pubblicato dei report interessati per organizzazioni, DPO, esperti nella gestione del rischio nonché consulenti e professionisti operanti nel settore della privacy e della cybersecurity: il primo, pubblicato il 6 luglio, mira a fornire indicazioni pratiche per effettuare una valutazione delle minacce alla sicurezza informatica (CTL) grazie a un processo sistematico e trasparente di raccolta e analisi dei dati; il secondo, pubblicato il 29 luglio, fornisce una panoramica dei recenti attacchi ransomware, evidenziando alcune pericolose tendenze. Oltre alla raccomandazione generale di contattare le autorità competenti in materia di sicurezza informatica e le forze dell'ordine in caso di attacchi ransomware, ENISA fornisce altre raccomandazioni, sia per costruire la resilienza contro tali attacchi che per mitigarne l'impatto. Che ruolo ha il DPO nell’applicazione di queste indicazioni? Cosa sapere?
Le minacce stanno cambiando
Negli ultimi anni, gli attacchi ransomware si sono consolidati come la principale minaccia cyber per le organizzazioni di tutto il mondo. Il malware del riscatto si è adattato rapidamente ai nuovi modelli di business, riuscendo ad allargare la sua portata ed il suo impatto, oggi più devastante che mai. Enti e imprese devono essere pronti non solo ad affrontare l'eventualità che le loro risorse siano prese di mira, ma anche a vedersi rubare le informazioni più riservate, che potrebbero trapelare o essere vendute su Internet ai migliori offerenti.
ENISA, partendo dalla definizione di ransomware, inteso come “un tipo di attacco in cui gli attori delle minacce prendono il controllo delle risorse di un obiettivo e chiedono un riscatto in cambio della restituzione della disponibilità e della riservatezza della risorsa”, individua quattro azioni fondamentali che lo caratterizzano: bloccare, criptare, cancellare e rubare (LEDS: Lock, Encrypt, Delete, Steal). Il ransomware, infatti, può bloccare l'accesso a una risorsa, ad esempio una schermata o una specifica applicazione; può criptare o cancellare una risorsa, rendendola temporaneamente o definitivamente non disponibile; può rubare una risorsa, compromettendone la disponibilità e la riservatezza (in caso di diffusione sul web).
Cause ed effetti dell’evoluzione del ransomware
L’evoluzione di questa tipologia di attacchi è dovuta a due fondamentali fattori:
- la diffusione del nuovo modello di distribuzione “Cybercrime-as-a-Service” (C.a.a.S.), che comprende la sottocategoria “Ransomware-as-a-Service” (RaaS);
- l'introduzione delle criptovalute.
Tali fattori hanno causato importanti ripercussioni sullo scenario globale della cybersecurity:
- grazie al modello C.a.a.S., è stata semplificata l’attività svolta dai cybercriminali, che ora non devono più avere particolari competenze tecnico informatiche per eseguire gli attacchi ransomware. Molto spesso le soluzioni malevole sono, infatti, già pronte all’uso;
- grazie alla diffusione delle criptovalute molte più aziende colpite non hanno avuto difficoltà a pagare effettivamente il riscatto, alimentando notevolmente la crescita dei ransomware, generando un effetto globale catastrofico;
- il ransomware è divenuto una merce, creando un business da 10 trilioni di dollari entro il 2025.
Alcune statistiche
Il report relativo agli attacchi ransomware prende in considerazione il periodo di riferimento compreso tra maggio 2021 e giugno 2022. I dati sono stati raccolti dall’ENISA partendo dai rapporti dei governi e delle società di sicurezza, dalla stampa, da blog verificati e, in alcuni casi, da fonti correlate provenienti dal dark web.
A seguire alcune delle informazioni statistiche rilevate, partendo da un totale di 623 incidenti di ransomware nell'UE, nel Regno Unito e negli Stati Uniti:
- tra maggio 2021 e giugno 2022 sono stati rubati, in media, circa 10 terabyte di dati al mese, mediante gli attacchi ransomware;
- in questo periodo, il volume massimo di dati rubati in un solo attacco è stato di 50 terabyte;
- il 58,2% dei dati rubati comprendeva informazioni personali dei dipendenti, fra cui dettagli relativi allo stato di salute;
- sono stati individuati almeno 47 attori unici di minacce ransomware;
- fra i Paesi più colpiti, l’Italia si classifica al quarto posto, dopo Stati Uniti, Germania e Francia;
- per il 94,2% degli incidenti, non è dato a sapersi se l'azienda abbia pagato o meno il riscatto, tuttavia un dato ci aiuta a risalire a questa informazione: quando la trattativa fallisce, gli aggressori di solito diffondono e rendono disponibili i dati sulle loro pagine web. Questo è ciò che è sicuramente accaduto per il 37,88% degli incidenti. Possiamo quindi concludere che il restante 62,12% delle aziende ha raggiunto un accordo con gli aggressori o ha trovato un'altra soluzione.
Una tendenza che espone le organizzazioni
Dal report di cui sopra si evince come gli incidenti divulgati pubblicamente (il 37,88%) rappresentino solo la punta dell'iceberg, rispetto a tutti i breaches causati da ransomware negli ultimi mesi. L’ENISA rileva diffusi problemi nella raccolta di informazioni sulle violazioni, a causa della mancata segnalazione degli incidenti ransomware alle Autorità competenti. Proprio questo atteggiamento passivo delle organizzazioni, contribuisce a limitare la conoscenza e le informazioni su tali minacce, nonché la possibilità di studiarle e di sviluppare idonee ed aggiornate misure di prevenzione.
La condivisione delle informazioni, infatti, è una delle pietre miliari della sicurezza informatica. La tendenza a non denunciare l’accaduto alle Autorità, impedisce di conseguenza a ricercatori e operatori della sicurezza di gestire meglio gli incidenti, di identificare gli attori delle minacce, di raccogliere dati completi ed affidabili per mappare il panorama dei cyber threats e la sua evoluzione. Ciò si ritorce contro tutta la comunità e quindi anche contro le stesse singole realtà che scelgono, più o meno consapevolmente, di non denunciare.
Proprio per tale ragione, ENISA sottolinea come, nel caso in cui un’organizzazione sia vittima di un attacco ransomware, la raccomandazione più importante è quella di contattare le Autorità competenti. In Italia, ciò avviene mediante la denuncia dell’attacco alla Polizia postale (https://www.commissariatodips.it), nonché, nel caso in cui l’attacco comporti anche una violazione in materia di dati personali (furto di identità, sottrazione di dati personali, furto di contenuti, ecc.), attraverso la comunicazione del breach all’Autorità Garante, utilizzando il canale tematico dedicato: https://servizi.gpdp.it/databreach/s/..
Il ruolo del DPO di “facilitatore”
In questa fase si innesta l’attività del DPO di consulenza al titolare o al responsabile del trattamento, prevista dall’art. 39 del GDPR, nonché l’attività di sorveglianza circa il rispetto delle disposizioni del Regolamento europeo in materia di protezione dei dati personali e delle altre disposizioni applicabili dell'Unione o degli Stati membri. Anche il considerando 97 al GDPR specifica che il titolare del trattamento o il responsabile del trattamento dovrebbe essere “assistito [dal DPO"> nel controllo del rispetto a livello interno del presente regolamento”. Parte di questi compiti di controllo è rappresentata dall’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile.
Per tale ragione, nel contesto di avvenute violazioni di dati personali causate da attacchi cyber, il DPO è tenuto a verificare quanto richiesto da ENISA e dal Garante, ovvero che il titolare o il responsabile del trattamento abbia provveduto ad effettuare la denuncia della violazione alle Autorità competenti, nel diretto interesse della stessa organizzazione denunciante e di tutta la comunità. Si ricorda, infatti, che al responsabile della protezione dei dati viene attribuito il ruolo di “facilitatore” (dalle Linee guida sui responsabili della protezione dei dati del WP29 – WP243), sia rispetto all’applicazione delle disposizioni del GDPR all’interno dell’organizzazione, sia rispetto ai rapporti fra il titolare o il responsabile e le Autorità competenti.
Come agire
Premesso quindi che il comportamento delle organizzazioni in merito alla denuncia è essenziale per determinare l’esito della lotta al cybercrime, l’Agenzia Europea per la cibersicurezza suggerisce di:
- Non pagare il riscatto e non negoziare con gli attori della minaccia;
- Mettere in quarantena i sistemi colpiti: si consiglia di escludere dalla rete i sistemi colpiti per contenere l'infezione e bloccare la diffusione del ransomware;
- Visitare il No More Ransom Project, un'iniziativa dell'Europol in grado di decriptare 162 varianti di ransomware (https://www.nomoreransom.org/it/index.html);
- Bloccare l'accesso ai sistemi di backup fino alla rimozione completa dell'infezione.
Per ulteriori informazioni, e per approfondire le raccomandazioni fornite dall’ENISA, si rinvia al report completo https://www.enisa.europa.eu/news/ransomware-publicly-reported-incidents-are-only-the-tip-of-the-iceberg.
In merito al riscatto, tema al centro di dibattiti di ampia portata, visti gli interessi in gioco, vi sono diversi profili da considerare: il profilo legale, tecnico, di business ed etico. Le organizzazioni, infatti, dovrebbero dapprima confrontarsi con i propri legali o consulenti, in modo da considerare le normative vigenti in materia di pagamento di riscatti. In ogni caso, è bene essere consapevoli del fatto che il pagamento non sempre porta al recupero delle risorse e a una decrittazione efficace, anzi: oltre al danno economico si corre il rischio di finire in “liste di pagatori” potenzialmente soggetti a periodici attacchi ransomware. I dati pubblicati da ENISA, riportano che solo il 4% delle organizzazioni che hanno pagato il riscatto ha recuperato tutti i dati. La maggior parte di quelle che hanno pagato, ha recuperato solo circa il 60% dei dati. Inoltre, il recupero delle risorse non significa che le informazioni rubate non saranno successivamente divulgate o vendute, per questo tutti i dati oggetto dell’attacco dovrebbero comunque considerarsi compromessi.
Infine, dal punto di vista etico, le organizzazioni dovrebbero essere consapevoli di essere state attaccate a causa della rapida crescita del ransomware, crescita causata principalmente dal fatto che le organizzazioni precedentemente infettate hanno pagato gli operatori del ransomware e finanziato le loro operazioni criminali. In caso di data breaches derivanti da attacchi di questo tipo, i DPO dovrebbero sensibilizzare i titolari o i responsabili del trattamento rispetto a questi profili, nonché facilitare la decisione relativa al pagamento del riscatto fornendo tutte le informazioni necessarie a consentire una scelta quanto più consapevole.
Presidiare le minacce e prevenire
Per favorire la resilienza delle organizzazioni contro gli attacchi e, quindi, per prevenire, ENISA raccomanda di condurre regolari risk assessment e, in caso di rischio alto, di valutare l’opportunità di stipulare apposite polizze assicurative contro le minacce cyber. Il report sugli attacchi ransomware sopra esaminato, è stato sviluppato sulla base della metodologia “ENISA Cybersecurity Threat Landscape”. Tale metodologia può essere utile anche a organizzazioni, DPO, esperti nella gestione del rischio nonché consulenti e professionisti operanti nel settore della privacy e della cybersecurity, per identificare le principali minacce di uno specifico settore, per raccogliere informazioni aggiornate e accurate sulla situazione più recente, elemento chiave per la valutazione dei rischi rilevanti. Grazie al processo ENISA, sistematico e trasparente, di raccolta e analisi dei dati, è possibile sviluppare una panoramica delle principali minacce informatiche in essere nel contesto dell’organizzazione o del settore di riferimento, in modo da migliorare la capacità di costruire una consapevolezza situazionale, di monitorare e di affrontare le minacce esistenti e potenziali. Anche in questo emerge il ruolo del DPO, essenziale nel facilitare, grazie alle proprie conoscenze e all’applicazione delle metodologie di cui sopra, il presidio delle minacce che gravano sulla protezione dei dati personali.
Per approfondire la metodologia ENISA e valutarne l’implementazione presso il titolare del trattamento ti consigliamo di prendere visione del documento completo.
L’Associazione riunisce tanti professionisti con cui confrontarsi sul tema, ti invitiamo quindi ad associarti.