E’ un tema su cui continuerò a scrivere e che probabilmente porterà a dovermi ripetere spesso, ma è necessario che il fenomeno venga compreso a livello di funzionamento e strategia prima di affrontare i temi tattici e tecnici. Inoltre è molto più facile per le figure dirigenziali comprendere i concetti strategici rispetto alle tematiche che coinvolgono l’ambito tecnologico… validissimo motivo per approfondire.
Per prima cosa dobbiamo comprendere lo scenario in cui stiamo operando e vivendo. Il luogo comune, del quale ancora fatichiamo a liberarci, vuole che “l’hacker cattivo” (espressione di per se impropria) sia un ragazzotto in felpa e cappuccio che dal suo scantinato riesce a tenere in scatto aziende, enti e persino governi.
Questo pensiero è il refuso di una visione distorta ed estremamente obsoleta del mondo digitale sul quale media e cinema hanno giocato per anni disinformando il pubblico e spesso anche gli addetti ai lavori. Se è vero che c’è stato un periodo in cui diversi appassionati di settore giocavano in rete facendo talvolta qualche danno è altrettanto vero che oggi il mondo del crimine informatico è composto da figure estremamente diverse ed è governato dal logiche di puro business.
Abbiamo quindi a che fare con figure mosse dal lucro ingaggiate o facenti parte di organizzazioni criminali, l’obiettivo degli attacchi informatici è principalmente quello di ricavarne un profitto diretto (con meccaniche di estorsione) o indiretto grazie all’utilizzo di informazioni trafugate che possano danneggiare il target.
E’ inoltre interessante analizzare le revenues di questo modello di business per comprendere su quali fronti il crimine informatico è più attivo. Una stima proposta tra il 2019 ed il 2020 da più studi tra cui Atlas parlava di un 1.500 miliardi di USD l’anno… quasi il PIL di un paese industrializzato.
Ancor più interessante è la ripartizione di questo business. Una considerevole fetta riguarda la compravendita illegale di beni online, ambito di analisi interessante ma che difficilmente va a danneggiare direttamente il business delle aziende. Il resto della torta è sostanzialmente diviso per tre parti: compravendita di dati, compravendita di informazioni riservate e caas/ransomware.
Questa fetta del “mercato” del crimine informatico si riferisce quindi a tutte quelle tipologie di attacco che hanno come obiettivo la compromissione ed il furto di dati o il danneggiamento di sistemi (quelli informatici quanto quelli industriali: in entrambi i casi è possibile chiedere un riscatto). E’ inoltre interessante constatare come gli attacchi che utilizzano la tecnica forse più nota e più discussa — i ransomware — rappresentino una relativamente piccola fetta del totale: “solo” 1 miliardo di USD l’anno. Eppure è un dato di fatto che una delle prime preoccupazioni degli interlocutori con cui abbiamo a che fare sono i ransomware. Evidentemente il fenomeno del crimine informatico è solo in minima parte percepito da chi è chiamato a gestire il tema, cosa che porta inevitabilmente ad esporsi a rischi di cui non si conosce la natura.
Viviamo in un contesto in cui chi attacca è spesso “ingaggiato” da gruppi criminali e lavora dietro compenso al fine di colpire target da cui poi trarre un facile profitto e i dati ci dicono che “loro” di cui i criminali informatici vanno a caccia sono le informazioni.
E chiudo con una riflessione sul modello opportunista (nel senso proprio del termine) che si osserva: è evidente che da un punto di vista economico l’attacco deve costare meno di quanto si ritiene di poter ricavare, altrimenti il modello non sta in piedi. Il target non è quindi selezionato a caso ma viene accuratamente scelto sulla base di parametri anche abbastanza ovvi come la capacità di sostenere un riscatto e la possibilità reale di poter compromettere l’operatività del target con l’attacco così da indurlo al compromesso del pagamento.
La diretta conseguenza di questo ragionamento è che le aziende che espongono superfici attaccabili particolarmente “morbide” — identificabili con specifiche tecniche di analisi — vengono selezionate come appetibili per il mercato del crimine informatico.
Uno dei nostri obiettivi, tra gli altri, è quello di non essere catalogabili come appetibili.
Rocco Sicilia 