In questi giorni, a qualcuno potrebbe essere venuta la voglia di comprare una famosa auto di lusso. Parliamo delle vetture del gruppo indiano Tata, che ha acquisito lo storico marchio inglese JLR. Visitando il sito ufficiale, appare un comunicato che informa dello spegnimento di tutti i sistemi informatici a seguito di un attacco. L'azienda sta ora procedendo al ripristino controllato dei vari sistemi.
La situazione ricorda quanto accaduto durante la pandemia di COVID-19: una minaccia pericolosa, di cui si sapeva poco o nulla, ha causato un lockdown generale e ha richiesto un lungo e complesso ritorno alla normalità. È esattamente ciò che è successo a JLR: non riuscendo a contenere la minaccia in modo mirato, l'azienda ha dovuto spegnere tutti i sistemi.
Non è stato ancora rilasciato un comunicato ufficiale su cosa sia successo esattamente. L'ipotesi più probabile è quella di un attacco ransomware, che consiste nel criptare i dati per poi chiedere un riscatto in denaro. Ne sapremo di più nei prossimi giorni.
Al di là degli aspetti puramente tecnici, è necessario riflettere profondamente sulle conseguenze che un simile attacco ha provocato. In primo luogo, il blocco totale della produzione ha di per sé un impatto economico enorme. A questo si aggiungono poi le implicazioni collaterali, che amplificano ulteriormente il danno.
Tra le principali conseguenze possiamo citare: il blocco degli ordini per le nuove autovetture, l'impossibilità di fornire tempi di consegna certi, l'impatto sull'occupazione della manodopera, il grave danno d'immagine e la perdita di reputazione per un marchio così prestigioso.
A prescindere dalla natura dell'attacco, ciò che si evince dal contesto è una scarsa attenzione alle più basilari regole di igiene informatica, riassumibili nei seguenti punti:
- Analisi, gestione e trattamento dei rischi superficiale, inconsistente o lasciata solo sulla carta senza un'effettiva applicazione.
- Segmentazione della rete inadeguata, con segmenti troppo ampi o mal definiti, che non ha impedito il "contagio".
- Misure inefficienti contro i cosiddetti movimenti laterali; un buon sistema XDR ne avrebbe mitigato notevolmente gli effetti.
- Sistema di monitoraggio inefficace o assente.
- Piano di Incident Response (risposta agli incidenti) inefficace o inesistente. Non sono state implementate misure di contenimento adeguate; l'unica soluzione adottata è stata: “spegniamo tutto e poi vediamo”.
- Piani di Business Continuity e Disaster Recovery (BCDR) di fatto inesistenti. Se fossero stati presenti e funzionanti, si sarebbero verificati dei disagi, ma non il blocco totale delle operazioni.
- Aderenza a standard internazionali di sicurezza delle informazioni (come ISO 27001 o NIST 800-53) inefficace o solo apparente.
L'elenco potrebbe continuare, ma fermiamoci a questi punti principali.
È fondamentale prendere spunto dalle disavventure altrui per trarne insegnamento. Sfruttiamo l'analisi "post mortem" (come viene definita tecnicamente) di questo incidente per valutare cosa possiamo migliorare nella nostra realtà, prendendo esempio dagli errori commessi da altri.
Di seguito, alcune sigle e procedure di igiene informatica su cui avviare una riflessione:
- ISO 27001: Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
- CIS Controls & Benchmark: Standard per configurare in modo sicuro i sistemi.
- XDR (Extended Detection and Response): Rilevamento e Risposta Estesi per un approccio unificato e proattivo alla sicurezza.
- ZTNA (Zero Trust Network Access): Un'alternativa più sicura alle tradizionali VPN per l'accesso dei dipendenti.
- Firewall con IPS/IDS e Threat Intelligence.
- Patching costante: Aggiornare, aggiornare, aggiornare. È un'attività fondamentale.
- Utilizzo di password manager per archiviare e gestire le credenziali in modo sicuro.
- Monitoraggio dei sistemi tramite una soluzione SIEM (Security Information and Event Management).
- Implementazione di sistemi IAM (Identity and Access Management) per la gestione centralizzata delle identità e l'applicazione dell'autenticazione a due fattori (2FA).
- Analisi dei rischi aziendali: Identificate e trattate le vulnerabilità più critiche, aiutandovi con le linee guida ISO 31000 (risk management generico) e ISO 27005 (specifica per l'IT).