Procedure aziendali di sicurezza informatica

Purtroppo la sicurezza informatica è un tema che stenta ad essere apprezzato dal grande pubblico: le storie che fanno notizia riguardano sempre grandi infrastrutture, come il recente incidente alla Columbia pipeline sulla East Coast degli Stati Uniti, attuato con malware prodotto dal gruppo di cybercriminalità noto come Dark Side.
Congiuntamente, le percepite complessità del problema e distanza del medesimo dall’imprenditore medio, in termini di dimensioni e complessità dell’attività svolta, rendono difficile per le piccole imprese apprezzare che, mentre siamo online, nessuno di noi è davvero immune da questi rischi.

 

La persona che ha seguito la migrazione in cloud della nostra contabilità ha un parente che gestisce un agriturismo, la cui contabilità è stata compromessa in un attacco nella tarda estate 2020, causando la perdita di tutti i dati e la richiesta di un riscatto di diverse migliaia di euro.

Stessa sorte è toccata quattro cinque anni fa ad un albergo a due passi dalla nostra infrastruttura, al quale sono stati chiesti 10.000 € di riscatto in Bitcoin, poi pagati.

 

Si tratta di una problema soggetto ad un’asimmetria epistemica fondamentale: dato che non stiamo reagendo ad un problema già presentatosi, ma stiamo tentando di prevenirlo, è necessario uno sforzo immaginativo molto più attivo e concreto da parte dell’investitore che non ha ancora subito alcun danno sulla propria pelle, ma sta tentando di imparare dell’esperienza altrui: purtroppo non è questo che la mente umana è evoluta per fare.

Ci piace  ricordare un esempio fatto da Nassim Taleb in “Giocati dal Caso”: tutti siamo stati terrorizzati alla vista dell’incendio e del crollo del World Trade Center dopo l’impatto con i due aerei dirottati l’11 Settembre 2001, di modo che le politiche messe in atto in seguito dall’amministrazione Bush, per quanto discutibili possano essere state, sono state battezzate “un male necessario” in nome della sicurezza. Almeno nei primi tempi, le persone che le hanno promulgate sono passate da eroi.

Supponiamo ipoteticamente, invece, che un certo qual parlamentare americano in carica prima del 2001 avesse promosso e fatto passare una legge che obblighi le compagnie aeree ad equipaggiare ipropri mezzi in modo che, se uno tra il copilota ed il pilota di una aereo di linea abbandonano la cabina, la porta si sigilla automaticamente e solo la persona rimasta all’interno possa aprirla: la porta ed il sistema di sorveglianza sono costruiti in modo tale che gli occupanti della cabina hanno la possibilità costante di osservare da un sistema di telecamere e spioncini cosa accade nel resto dell’aereo, in modo da aprire la porta solo nel caso in cui tutto sia tranquillo. Detto così, è molto semplice capire che questo avrebbe prevenuto i disastri dell’11 Settembre. Domanda cruciale: quante persone, oggi, ricorderebbero il nome di quel parlamentare ? Esatto: quasi nessuno.
Le persone che lavorano per evitare i problemi ricevono molta meno attenzione di chi, invece, li risolve una volta che sono accaduti, nonostante il beneficio del loro lavoro sia nettamente maggiore.

Si presenta quindi l’occasione perfetta per riassumere gli interventi di cybersecurity messi in atto in azienda per nostro volere e con la collaborazione a partire da fine Dicembre e da poco conclusi, nonché per elencare una serie di semplici misure di sicurezza che, se adottate scrupolosamente, possono di gran lunga migliorare, l’impermeabilità di una  rete informatica e, di conseguenza, far dormire sonni più tranquilli a tutti.

 

MISURE DI CYBERSECURITY POSTE IN ESSERE NEL 2021

A.1 ESTERNALIZZAZIONE RISCHIO DI ATTACCO CRITTOGRAFICO

L’idea alla base di un cyberattacco di tipo ransomware è semplice: l’hacker o un malware (virus) da lui creato si infiltrano sul dispositivo della vittima ed eseguono un programma che rende i dati presenti sui sui file illeggibili, sostituendo i costituenti elementari tramite una procedura deterministica molto complessa, determinata da un algoritmo crittografico che, senza la chiave che inverte la procedura, rende l’oggetto della crittazione inutilizzabile. Tipicamente, a seguito del successo dell’attacco, l’hacker si palesa in forma anonima con la vittima chiedendo un riscatto in criptovaluta, da depositare direttamente a un indirizzo associato a un wallet di tipo hardware, che per la sua stessa natura non può essere associato ad una persona fisica.

In altre parole, se l’hacker esegue l’algoritmo crittografico, ci sono solo due vie di uscita, oltre al pagamento del riscatto pattuito:

  1. Ripristino a posteriori dei dati tramite backup
  2. Migrazione preventiva dei dati sensibili sulla piattaforma di un provider che effettui costanti investimenti in procedure di sicurezza informatica.

 

Da Dentoni abbiamo adottato entrambe le misure di sicurezza, il che implica che esistono al momento le seguenti

 

B.1 MISURE DI MITIGAZIONE DEL RISCHIO DI RANSOMWARE

  1. Tutta la contabilità e l’amministrazione sono eseguite in cloud, in particolare sui server di Microsoft 365. Per quanto sia vero che giganti come Microsoft sono costantemente presi di mira da attacchi hacker, ciò è controbilanciato dai loro costanti investimenti e aggiornamento in tema di cybersecurity, nonché, dal punto di vista di una piccola impresa come noi, dalla diluizione del nostro minuscolo ammontare di dati da proteggere nel mare di dati che sono ospitati dai server di Microsoft, che comunque si preoccupa di creare copie periodiche molto frequenti e diversamente localizzate, in termini di locazione geografica dei server.
  2. Email filtering: anche se il nostro dominio di proprietà, pasticceriadentoni.com, è stato acquistato dal provider Aruba, al momento tutta la posta viene reindirizzata all’origine dai server Microsoft utilizzando Exchange Online Protection (EOP), i quali la esaminano tramite i loro algoritmi di machine learning per rilevare la potenziale presenza di phishing e di link ed allegati contenenti malware, che sono prontamente disattivati nel nostro client Outlook (il programma di posta elettronica con cui leggiamo le email).
  3. Il backup dei dati in cloud, nonché dell’immagine del sistema operativo che gira sul server del sistema casse, sono eseguiti a loro volta sui server di un ulteriore provider, diverso da Microsoft, in modo che l’eventuale ed improbabile perdita dei dati dalle piattaforme del primo provider nonché un’interruzione del funzionamento del sistema casse a causa di un attacco a suo danno possano essere ripristinati entro pochi minuti, prevenendo -cosa fondamentale- il blackout prolungato dell’attività di vendita, particolarmente in momenti di grande affluenza di pubblico.

Inoltre, Office 365, tramite il servizio OneDrive, e’ stato configurato in maniera da avere un backup di tutti i file salvato sui server Microsoft per 30 giorni. Questo permette di fare il ripristino dei file in caso di attacco ransomware entro 30 giorni dall’attacco.

  1. Installazione di antivirus Microsoft Defender su tutti i dispositivi aziendali, inclusi i personal computer delle persone che interagiscono maggiormente con Internet per conto dell’azienda. Defender e’ stato configurato con impostazioni addizionali per limitare le azioni possibili sui dispositivi (host hardening).

 

  1. Configurazione dispositivi tramite Microsoft Intune seguendo il modello noto come “cloud managed endpoints”. Microsoft Intune e’ utilizzato in questo contesto per limitare le operazioni sui dispositivi che potrebbero comportare un rischio per la sicurezza (attriduzione della superfici di attacco) e forzare i dispositivi ad essere in linea con le policy di sicurezza. Intune e’ stato esteso anche ai dispositivi mobili (cellulari) che sono utilizzati per accedere a Office 365.
  2. Utilizzo di password complesse, generate e aggiornate periodicamente mediante un password manage: una password semplice con pochi caratteri e con parole che hanno un significato chiaro nella lingua madre è incredibilmente facile da individuare e crackare tramite programmi specializzati. D’altro canto, password complesse che includano lettere maiuscole e minuscole, numeri e simboli sono difficili da ricordare per un essere umano. A questo provvedono programmi detti password manager, che conservano le password di un utente iscritto al loro servizio su server remoti. L’hackeraggio dei loro server non comprometterebbe la sicurezza delle nostre password, in quanto lì esistono in forma criptata e possono essere rese leggibili solo quando decifrate mediante la chiave depositata sulla copia del programma presente sui nostri dispositivi.
  3. Autenticazione a due fattori: le passwords possono essere compromesse tramite attacchi di tipo phishing o credential dumping. Nei primi l’utente comunica la password ad un hackers a seguito di un attacco di social engineering, nel secondo hackers hanno accesso ad un dispositivo aziendale e sono in grado di rubare le password salvate.

A questo rischio fa parzialmente fronte l’autenticazione a due fattori, ossia la predisposizione per cui l’autorizzazione ad accedere un dato sito sensibile dal nostro dispositivo è concessa solo quando, oltre all’inserimento della password corretta sul dispositivo dal quale si intende effettuare il login, il server del provider riceva conferma dell’identità dell’utente anche da un terzo dispositivo, a sua volta di proprietà dell’utente medesimo che effettua l’accesso. Il dispositivo terzo genera codici a sei cifre sempre nuovi ogni minuto, che sono mappati con quelli generati alla stessa cadenza sui server del provider del servizio.
In tal modo, per ottenere successo nell’attacco, l’hacker ha necessità di attaccare non uno, ma due dispositivi, nonché -nel caso raccomandabile e comodo in cui il dispositivo terzo sia un telefono cellulare- di accedervi a un livello tale da controllare l’app di autenticazione installatavi. Non è impossibile (quasi niente è impossibile), ma è molto improbabile.

  1. Anche con tutte queste precauzioni,  esiste la remota possibilità che un hacker particolarmente abile possa prendere controllo del sistema operativo di uno dei nostri computer mentre il suo utente è connesso al master account di Microsoft 365 (quello con permessi di Amministratore). Se questo accade, i giochi sono finiti: tutta la sicurezza garantita da Office 365 è perduta. Per questo, è consigliabile che quel profilo sia utilizzato da una sola persona dedicata quel compito, possibilmente distinta dagli operativi aziendali.

 

A.2 RISCHIO DI PENETRAZIONE NELLE RETI PRIVATE

 

Questo è semplice: un hacker potrebbe utilizzare la rete clienti per penetrare in quella privata. Questa è la stessa strada che potrebbe essere seguita da un virus che potrebbe essere già presente sul dispositivo di una persona esterna all’azienda a cui viene consegnata la password del Wi-Fi aziendale privato.

 

B.2 MISURE DI MITIGAZIONE DEL RISCHIO DI PENETRAZIONE NELLE NOSTRE RETI PRIVATE: IL FIREWALL E LE PRECAUZIONI UMANE

 

La soluzione al primo dei problemi di sui sopra è il firewall che abbiamo recentemente installato, che compartimentalizza le due reti (privata aziendale e clienti), bloccando qualsivoglia trasmissione di dati trasversale alle medesime.

La seconda misura non può che essere l’accortezza di tutti noi consistente nel non condividere mai le password con utenti esterni, una cosa che, purtroppo, tendiamo a fare ancora abbastanza (troppo) spesso.

 

A.3 RESILIENCE: COSA SUCCEDE

SE UN INTERNET PROVIDER VA GIÙ ?

Precedentemente avevamo due modem Fastweb, dedicate rispettivamente alla rete interna e alla rete clienti. Ciò presenta un problema: se Fastweb ha una qualsiasi difficoltà con il proprio servizio e non riesce a garantire la copertura di rete a una determinata zona, chi si trova nella medesima perde tutte le connessioni ad internet. Se ciò fosse accaduto a Fastweb nei mesi passati, la perdita totale della connettività sarebbe toccata a noi. Per garantire la continuità del servizio, è importante diversificare i provider e predisporre un sistema che permetta all’azienda  di far diventare le rete clienti quella privata (che ha chiaramente priorità maggiore) qualora un incidente del genere si verificasse).

 

 

A.4 MONITORING: A COSA SERVE E PERCHÉ NON È STATO IMPLEMENTATO?

Il monitoring è il processo più costoso e complesso che esista in cybersecurity. Si tratta di installare sui sistemi informatici aziendali dei programmi che registrano costantemente le attività svolte tramite la rete e cercano schemi di comportamento anomali e inusuali, a cui in seguito viene richiesto di prestare attenzione.
Si tratta di una misura che interviene in gioco in una fase successiva del dispiegamento della minaccia alla propria sicurezza informatica, in quanto le attività anomale possono essere rilevate solo se un programma di tipo malware è già presente sulla rete aziendale.

In soldoni, il monitoring ha senso solo se una persona dell’azienda si dedica quotidianamente alla revisione dei report generati dal sistema di monitoring medesimo. Al nostro livello di strutturazione, una figura del genere non può essere nessuno di noi, di modo che l’investimento non ha senso in sé. Questo non esclude che, così come è accaduto negli ultimi anni per i sistemi di intelligenza artificiale, i prodotti del mercato crescano per livello di automazione e scendano nel costo.

La crescita mondiale del telelavoro condurrà prevedibilmente ad una democratizzazione dei bisogni di sicurezza informatica, estendendola al grande pubblico (beh, o perlomeno medio) così come sta accadendo con gli algoritmi di machine learning.

Qualora dovesse davvero darsi il caso, considereremo nuovamente l’eventualità di acquistare un servizio di monitoring.

Con questo articolo  speriamo di avere trasmesso l’idea centrale della sicurezza, informatica: la misura di sicurezza deve essere tanto più stringente e scrupolosamente seguita non tanto in funzione della probabilità che qualcosa di brutto accada, ma del danno che si subirebbe se accadesse davvero. Nel mondo reale, noi subiamo il 100% del peso delle conseguenze delle nostre azioni, non una percentuale di tale peso uguale alla probabilità delle conseguenze stesse. Se un accadimento critico, lasciato a sé stesso, ha lo 0.000001% di probabilità di accadere in ogni dato giorno ma, se accade, ci distrugge completamente, il modo corretto di relazionarsi con il rischio non è di pensare che in una vita umana probabilmente non accadrà mai, ma di creare degli automatismi di comportamento che, se adottati, mitigano o eliminano del tutto quel rischio: se quella possibilità si realizzasse, i nostri dati e tutto ciò che ne dipende non saremo compromessi allo 0.000001%, ma del tutto

Un abbozzo sintetico delle fonti da cui è stato preso spunto per iniziare il progetto di cybersecurity. Le conversazioni personali con persone esperte del settore sono state altrettanto preziose.

 

  1. Edward Snowden, Permanent Record, Pan MacMillan 2019
  2. Susan Sons et al., The Information Security Practice Principles,
  3. Center for applied Cybersecurity Research, Indiana University: https://cacr.iu.edu/principles/index.html
  4. Susan Sons, Postmortem, Linux Journal, 25/07/2017
  5. Susan Sons, Example Security Exercises, Linux Journal 11/11/2016
  6. Matthew Holland, Zero Day @The_Knowledge_Project by Farnam Street,