Ransomware: le multe, il GDPR e le contromisure

Mar 09, 2022 Trend Micro Approfondimenti, Attacchi, Ransomware: La serie 0

Non c’è quasi utente di computer che non abbia sentito parlare di ransomware, la piaga informatica di sicurezza per eccellenza in questo periodo, ma spesso ci si focalizza solo su alcuni aspetti del problema, trascurandole altri altrettanto rilevanti.

Il ransomware è una tipologia d’attacco in cui il cybercriminale accede ai dati della vittima criptandoli, spesso anche rubandoli, per poi richiedere un riscatto per decifrarli e permettere all’utente di accedervi nuovamente, oppure per evitare che questi vengano pubblicati rete.

La criptazione dei dati è quindi solo un aspetto dell’attacco e bisogna considerare che l’altro rischio, quello del loro furto e della possibile pubblicazione, ha anche delle conseguenze relative alla normativa sulla privacy.

Come commenta Gastone Nencini, Country Manager di Trend Micro Italia, “si tratterebbe di un classico data breach, ossia un furto di dati, e vanno informati sia l’utente di cui è stato rubato il dato sia le istituzioni”.

Per data breach si intende una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. L’azienda che subisce l’attacco si trova quindi anche a rischio di una multa.

“Nel momento in cui c’è un data breach, il GDPR ci dice che questo deve essere denunciato entro un determinato lasso di tempo proprio per informare gli utenti dei dati che sono stati rubati, altrimenti si rischia una multa fino al 4% del fatturato dell’azienda.” – spiega Gastone Nencini.

Quando i dati vengono sottratti è quindi importante avvisare tempestivamente le autorità preposte per evitare conseguenze legali. Non è infatti possibile, a prescindere dal pagamento del riscatto, sapere come verranno utilizzati dai cybercriminali, quindi non comunicare l’evento è una strategia rischiosa.

Il 4% del fatturato l’azienda è naturalmente un costo elevatissimo. Anche per questo è importante prevenire gli attacchi ransomware, che come anticipato ormai non si limitano più a criptare i dati.
Oggi infatti è prassi abbastanza comune che, prima che avvenga la codifica, i dati vengano rubati dal criminale per forzare la mano alla vittima in modo da costringerla a pagare anche se ha un backup o se sarebbe incline a non versare il riscatto.

Fabio Petumia, Sales Engineer di Trend Micro Italia, commenta: “La richiesta del riscatto è l’ultima fase dell’attacco. I criminali entrano nelle organizzazioni addirittura mesi prima per andare a esfiltrare dei dati ed eseguire altri tipi di attività e poi utilizzare questi dati per andare a fare leva sull’utente finale per invogliarlo a pagare”.

Gli attacchi ransomware di oggi non solo durano mesi, ma sono suddivisi in fasi. Il protrarsi nel tempo potrebbe far pensare che siano relativamente più facili da bloccare, ma non è necessariamente così.

Fabio Petumia, infatti, spiega che “l’esecuzione del ransomware rappresenta l’ultima fase, ma l’attacco parte da molto prima con un accesso alla rete, un discovery su tutta la rete e poi una privilege escalation dormiente per ottenere credenziali amministrative. Tutte queste attività portano a quello che è l’attacco finale. È importante andare a interrompere questa catena per bloccarlo”.

Ogni fase naturalmente è importante ma è più facile andare a bloccare l’attacco nelle prime fasi delle attività, prima che i criminali abbiano potuto sottrarre i dati.

Una tecnologia utile per farlo sono le piattaforme di XDR (Extended Detection and Response) studiate per andare a rilevare tutte quelle attività che sono da un punto di vista informatico lecite ma sospette all’interno di un’organizzazione, allo scopo di bloccare proprio le prime fasi di un attacco.

Condividi l'articolo