E’ giusto pagare per liberarsi da un ransomware? Se fino a poco tempo fa l’unica risposta possibile sarebbe stata no, recenti episodi hanno dimostrato che le cose sono cambiate perché si sta sviluppando una nuova coscienza che tende a considerare l’incidente come parte integrante dei processi di un’organizzazione.
Dall’inizio del 2019 a oggi sono stati sicuramente 22 gli attacchi ransomware noti e diverse centinaia quelli mai dichiarati, che hanno colpito varie istituzioni pubbliche americane. Il problema è mondiale e sicuramente l’Italia è molto esposta, ma nelle ultime settimane gli episodi di Baltimora, Lake City e Riviera Beach, situazioni che hanno creato notevoli disagi e che sono state gestite in maniera differente, hanno disegnando scenari difficilmente ipotizzabili fino a pochi anni fa.
Negli ultimi mesi, insomma, sono stati molti i sindaci e gli amministratori di società che di fronte al blocco totale dei servizi e all’impossibilità di dare continuità al proprio business, si sono posti una sola domanda, ovvero se fosse giusto pagare per liberarsi da un ransomware.
E hanno risposto che sì, bisognava pagare. E così hanno fatto.
I motivi che spingono a pagare per liberarsi di un ransomware
Il primo motivo tra tutti che spinge un’organizzazione a pagare è l’enorme divario tra i costi di ripristino dell’intera infrastruttura (anche quando ci sono backup) e quelli per pagare il riscatto, come segnalato da un recente rapporto Forrester.
Inoltre in molti casi sono state attivate delle coperture assicurative che hanno comunque mitigato ulteriormente la spesa effettivamente sostenuta ed infine, forse è il caso più frequente, le infrastrutture IT colpite non avevano adeguate procedure di ripristino dei dati o peggio ancora non era stato minimamente considerato il rischio di simili eventi.
Sebbene il pagamento del riscatto non elimini completamente il rischio che l’infrastruttura sia effettivamente ripristinabile e non comprenda comunque il costo necessario per rendere nuovamente operativi tutti i servizi, è chiaro che la scelta di pagare sia stata per il momento quella più produttiva.
Forrester consiglia di considerare questa scelta in parallelo con le possibili procedure di recupero/ripristino.
I due casi opposti di Lake City e Baltimora
Per comprenderlo proviamo ad analizzare due casi opposti.
La municipalità di Lake City, colpita probabilmente da una variante del ransomware Ryuk (lo stesso che di recente ha colpito l’azienda italiana Bonfiglioli Riduttori) che ha crittografato qualcosa come 16 Terabytes di informazioni, dopo diversi tentativi di ripristino non andati a buon fine ha deciso di pagare un riscatto pari a circa 460 mila dollari di cui 450 mila coperti da assicurazione. Nonostante il lavoro di ripristino sia durato diverse settimane al ritmo di circa 1 Tb al giorno, nonostante anche il fatto che non sia stato possibile ripristinare l’intera infrastruttura e soprattutto che dopo l’incidente sia stata creata un’apposita struttura di disaster recovery in cloud che quindi comporterà ulteriori costi, si è stimato che il risparmio complessivo sia stato pari a circa 10 milioni di dollari.
Di contro la municipalità di Baltimora che ha deciso di non pagare i 76 mila dollari richiesti per il riscatto ha dovuto sostenere costi per circa 18 milioni di dollari per poter ristabilire la piena operatività dei servizi.
Aldilà della legittimità di entrambi gli approcci, quello che è successo a Lake City ed in altre situazioni analoghe fa parte di un nuovo modo di intendere la strategia risolutiva rispetto a situazioni simili. Un approccio che è stato studiato anche da Forrester che in un recente rapporto spiega perché il pagamento del riscatto debba essere considerato un’opzione praticabile e valutata come qualsiasi altra decisione strategica dell’organizzazione.
La strategia dietro il ransomware
Il ransomware spesso si propaga in maniera silente all’interno dell’organizzazione per poi manifestarsi in tutta la sua efficacia, bloccando a vari livelli l’operatività perché non inibisce solo l’accesso a pc o server, ma sostanzialmente blocca tutto ciò che è connesso all’infrastruttura sottoposta all’attacco. A mano a mano che si diffonde, le attività quotidiane si bloccano creando un duplice effetto: la preoccupazione di avere perso irrimediabilmente il proprio lavoro e lo stress di dover trovare ad ogni costo un rimedio per sanare la situazione. Il tutto è aggravato dalle pressioni che i vari livelli di management fanno o subiscono generando una complessiva situazione di caos e frustrazione crescente che porta a sottostimare la portata del danno ed a concentrarsi più su quanto non è più accessibile piuttosto che sui rimedi da porre in atto e che porta a dimenticare un aspetto del tutto peculiare di questi tipi di attacchi: (per ora) non nascono per vendere dati a soggetti esterni ma per creare il solo disagio della perdita di possesso delle informazioni e la conseguente perdita di servizi.
E’ chiaro che la strategia di accettare il pagamento per minimizzare l’impatto dei costi possa avere come effetto perverso quello di amplificare la portata degli attacchi ransomware e soprattutto il ripristino dei sistemi tramite chiave di codifica non dà alcuna garanzia che il malware sia stato rimosso o che resti latente nei sistemi pronto ad attivarsi alla prima occasione utile, ma un fatto è certo: pagare costa meno che provare a ripristinare autonomamente i dati almeno per due ordini di motivi, tecnici e culturali.
Dal punto di vista tecnico sono davvero poche le strutture pubbliche e private in grado di comprendere l’effettiva necessità di un sistema di disaster recovery efficace e soprattutto abbiano previsto delle procedure di test sulla qualità dei sistemi di backup. Come se non bastasse, molto spesso, già in fase di progettazione, sia per limiti culturali che di budget, possono essere commessi errori non banali come quello (realmente successo a Lake City) di mettere l’infrastruttura di disaster recovery all’interno della stessa lan della produzione con il risultato che la propagazione del ransomware ha infettato immediatamente anche i sistemi di backup.
Dal punto di vista culturale ancora una volta l’anello debole è l’uomo, perché i ransomware si propagano prevalentemente tramite allegati contenuti in email che nella maggior parte dei casi sono stati aperti da operatori in buona fede ma distratti o totalmente ignoranti rispetto ad un simile problema.
Consapevolezza e responsabilizzazione sono certamente due dei temi più delicati da affrontare per il semplice motivo che quasi nessuno investe in campagne di sensibilizzazione delle proprie organizzazioni sui rischi che comporta un errato utilizzo della tecnologia e nessuno a qualsiasi livello gerarchico si sente mai colpito direttamente da simili eventi negativi.
Abituarsi alla sicurezza “by design”
Esistono però rimedi la cui efficacia dipende esclusivamente dalla sensibilità del management che sempre più dovrà abituarsi a strategie di analisi dei rischi, mitigazione delle minacce e risposta agli incidenti.
La sicurezza delle informazioni prima ancora che dei dati dovrà essere garantita “by design” non solo dal punto di vista dei sistemi informativi ma come elemento fondamentale della cultura dell’organizzazione.
Entrando nel concreto delle possibili attività da mettere in atto, certamente gli assessment di vulnerabilità possono evidenziare i principali punti deboli ed aiutare i responsabili IT a concentrare risorse ed investimenti economici nella direzione giusta, ma a questi dovrebbero seguire piani concreti di “remediation” e soprattutto un buon punto di partenza potrebbe essere quello di considerare la protezione dei dati come un processo continuo di azioni, verifiche e correzioni da condividere a qualsiasi livello gerarchico e non una semplice esigenza aziendale legata ai costi dell’infrastruttura IT.
Inoltre in una situazione di stress legata all’interruzione dell’operatività potrebbe essere necessario affidarsi a consulenti esterni che supportino l’infrastruttura IT impattata principalmente dal ransomware, ma addirittura meglio sarebbe la possibilità di rispondere con un team di emergenza multidisciplinare in grado di analizzare con differenti punti di vista la situazione ed individuare le azioni necessarie.
Cultura ed approccio consapevole al rischio
Cultura ed approccio consapevole al rischio sono certamente due aspetti fondamentali da tenere in considerazione per poter prendere la decisione più giusta a garantire la cosiddetta business continuity a questi devono necessariamente affiancarsi le prescrizioni normative che rappresentano la cornice intorno alla quale le organizzazioni si muovono ed il GDPR negli ultimi 12 mesi ha sicuramente contribuito a cambiare alcune impostazioni errate, ma da solo non basta e l’esempio ci viene dal fatto che nonostante corra l’obbligo di segnalare un data breach entro limiti fissati di tempo, spesso l’approccio (prevalentemente in ambito privato) è quello di cercare di evitare la diffusione di informazioni che possano compromettere la reputazione dell’organizzazione dietro l’illusione che mantenendo un profilo basso si contengano i costi legati ad una violazione dei sistemi.
Aldilà dell’aspetto legale e normativo non è semplice comprendere se nascondere le cose sia l’approccio giusto cosi come è certamente complesso decidere se pagare un riscatto sia la soluzione migliore, ma una cosa è certa: la protezione delle informazioni non è e non potrà più essere una questione da circoscrivere alla sola infrastruttura IT e questo è un bene per tutti.
