Perché le violazioni di dati sono aumentate nel 2023

PER MOLTI ANNI le organizzazioni hanno lottato per proteggersi dagli attacchi informatici: aziende, università e agenzie pubbliche hanno speso enormi quantità di risorse per proteggersi. Nonostante questi sforzi, però, le violazioni di dati – in cui gli hacker rubano i dati personali – continuano ad aumentare di anno in anno: dal 2022 al 2023 si è registrato un aumento del 20%. Alcune tendenze di questo aumento sono preoccupanti. Ad esempio, a livello globale, il numero di vittime nel 2023 è raddoppiato rispetto al 2022 e in Medio Oriente l’attività delle bande di ransomware è aumentata del 77% nello stesso periodo.

Perché questo danno informatico si è espanso nonostante tutti i nostri sforzi, e cosa possiamo fare? In base a quanto abbiamo appreso nel mio gruppo di ricerca, ci sono tre ragioni principali alla base di questo aumento del furto di dati personali: (1) l’errata configurazione del cloud, (2) nuovi tipi di attacchi ransomware e (3) un maggiore sfruttamento dei sistemi dei fornitori. Fortunatamente, esistono modi per ridurre l’impatto di ciascuno di questi fattori.

Configurazione errata del cloud

I vantaggi che le aziende traggono dall’utilizzo dell’archiviazione cloud, offerto da Amazon, Google, Microsoft e altri, sono molteplici: efficienza di costo, sicurezza, facilità di condivisione dei dati, sincronizzazione, convenienza, scalabilità e recupero dopo un disastro, solo per citarne alcuni. È comprensibile che le aziende mettano sempre più dati nel cloud. Si stima che oltre il 60% dei dati aziendali a livello mondiale sia archiviato in questo modo.

Questo rende il cloud un obiettivo molto interessante per gli hacker. Nel 2023, oltre l’80% delle violazioni di dati riguarderà dati archiviati nel cloud. Non solo perché il cloud è un obiettivo attraente; in molti casi, infatti, è anche un bersaglio facile a causa di una configurazione errata, ovvero quando le aziende utilizzano involontariamente il cloud in modo improprio, ad esempio consentendo un accesso eccessivamente permissivo, disponendo di porte di accesso senza restrizioni e utilizzando backup non protetti. Secondo l’NSA, “le configurazioni errate del cloud sono la vulnerabilità più diffusa” e possono essere sfruttate dagli hacker per accedere ai dati e ai servizi immagazzinati.

Perché le persone commettono questi errori?

La causa è da ricercarsi in diversi motivi interconnessi: molte aziende sono passate al cloud solo di recente; non hanno, quindi, molti anni di esperienza; per far fronte alle richieste dei clienti e alla concorrenza, i fornitori aumentano continuamente le loro funzionalità e di conseguenza la loro complessità; inoltre, c’è il desiderio di rendere il cloud facile da usare, quindi i fornitori hanno settato molte impostazioni di default. Di conseguenza, gli utenti potrebbero non rendersi conto di quali siano tutte le impostazioni e se alcuni, o tutti, i loro dati di archiviazione siano apertamente esposti al pubblico Internet.

Cosa si può fare

Il vecchio detto “La fretta genera spreco” è molto veritiero. Nel tentativo di passare rapidamente al cloud e di rilasciare nuove applicazioni, le aziende prendono spesso delle scorciatoie e non dedicano abbastanza tempo a verificare che la configurazione del cloud sia impostata correttamente. I titoli dei giornali recitano spesso: “Questo non sarebbe dovuto accadere”. Prendetevi il tempo necessario per verificare attentamente che lo storage nel cloud sia utilizzato correttamente.

Nuovi tipi di attacchi ransomware

Quasi tutti hanno sentito parlare di attacchi ransomware. Si tratta di attacchi in cui gli hacker entrano nel vostro computer e “bloccano” i vostri dati codificandoli crittograficamente e chiedendovi di pagare un riscatto per ottenere la chiave di decodifica necessaria a liberare i vostri dati. In questo tipo di attacco ransomware, i dati non vengono effettivamente estratti: rimangono nel vostro computer, ma non siete in grado di utilizzarli. Poiché le aziende hanno migliorato la manutenzione e l’utilizzo dei backup in modo da poter recuperare i dati utilizzabili senza dover pagare un riscatto, sembrava che saremmo arrivati a una riduzione del ransomware come minaccia, e in effetti c’è stata una leggera riduzione nel 2022. Ma la realtà è che gli attacchi ransomware sono nuovamente aumentati e sono diventati più pericolosi.

Lo sono di più perché, per contrastare la possibilità che la vittima si rifiuti di pagare il riscatto perché i dati possono essere recuperati dai file di backup, gli aggressori fanno una copia dei dati prima di criptarli sui computer della vittima. A questo punto, gli aggressori minacciano ulteriormente: pagate il riscatto o inizieremo a divulgare pubblicamente i vostri dati privati, utilizzando essenzialmente sia il ricatto che il rapimento! In questo tipo di attacco ransomware, si verifica una vera e propria violazione dei dati, anzi, è molto più probabile che enormi quantità di dati possano essere divulgate pubblicamente!

Inoltre, il numero di attacchi ransomware è aumentato a causa dell’emergere di bande di ransomware e di “ransomware-as-a-service”. In sostanza, gli sviluppatori iniziali di ransomware hanno dato in franchise il loro malware per rendere più facile ed economicamente molto interessante per altri criminali l’avvio di questo tipo di attacchi. Nella nostra ricerca, abbiamo visto molti tipi diversi di accordi di franchising, dal semplice acquisto del malware ransomware, a canoni mensili, fino alla divisione del bottino.

Perché le persone commettono questi errori?

Entrambi questi errori sono per lo più causati da una certa ingenuità o inconsapevolezza da parte degli utenti. Spesso si presume che i metodi di protezione utilizzati, come firewall, identificazione a più fattori e simili, tengano lontani gli aggressori e che il furto di dati non sia un problema. Allo stesso modo, può sembrare più semplice elaborare dati non criptati, quindi perché complicare le cose criptandoli.

Cosa si può fare

Per affrontare gli attacchi ransomware tradizionali è ancora importante eseguire con diligenza ed efficacia il backup di tutti i dati e ripristinarli in modo rapido ed efficiente. Per affrontare il rischio aggiuntivo che i vostri dati privati vengano esposti pubblicamente, dovete impedire all’aggressore di estrarre i dati dal vostro sistema, solitamente chiamato esfiltrazione, e di poterli poi esporre.

Nel primo caso, i trasferimenti di dati verso siti esterni ai vostri sistemi devono essere monitorati, e il trasferimento illecito deve essere prontamente interrotto. Purtroppo, questo spesso non viene fatto. Nel secondo caso, i dati presenti sui vostri computer devono essere archiviati solo in formato crittografato, in modo che solo voi possiate leggerli. In questo modo, anche se l’aggressore è in grado di esfiltrare i vostri dati, non può leggerli o ricattarvi.

Sfruttamento dei sistemi dei fornitori

La maggior parte delle aziende ha aumentato la protezione informatica delle proprie “porte d’ingresso” attraverso misure quali firewall, password più forti, identificazione a più fattori e così via. Gli aggressori cercano quindi altri modi, a volte più pericolosi, per entrare. Spesso questo significa entrare attraverso i sistemi dei fornitori.

La maggior parte delle aziende si affida ai fornitori per ricevere assistenza, dalla manutenzione dell’aria condizionata alla fornitura di software, compresi gli aggiornamenti automatici del software. Per fornire questi servizi, questi fornitori hanno bisogno di un facile accesso ai sistemi dell’azienda, che io chiamo “porte laterali”. Tuttavia, questi fornitori sono spesso piccole aziende con risorse di sicurezza informatica limitate. Gli aggressori sfruttano le vulnerabilità nei sistemi di questi fornitori. Una volta ottenuto il controllo sui sistemi, possono utilizzare la porta laterale per entrare nei sistemi dei loro clienti.

Questi attacchi sono spesso chiamati “attacchi alla catena di approvvigionamento”. In realtà, non è un solo cliente che può essere attaccato, ma essenzialmente tutti i clienti che utilizzano i servizi di quel fornitore. Pertanto, una singola vulnerabilità può minacciare molte migliaia di organizzazioni, come nel caso dell’attacco MOVEit 2023, in cui oltre 2.600 aziende in più di 30 Paesi hanno già ammesso di essere state attaccate e più di 80 milioni di persone i cui dati sono stati compromessi. In effetti, il 98% delle organizzazioni ha un rapporto con un fornitore che ha subito una violazione dei dati negli ultimi due anni. Secondo alcuni studi, il numero di compromissioni di dati dovute ad attacchi alla supply chain nel 2023 è aumentato del 78% rispetto al 2022.

Perché le persone commettono questi errori?

Non sorprende che le persone tendano a fidarsi dei loro fornitori di fiducia, come ad esempio dare le chiavi di casa o dell’ufficio alla squadra di pulizia. Di solito non ci si rende conto che la chiave potrebbe essere rubata da quel fornitore.

Cosa si può fare

È importante che ogni azienda sia più consapevole della possibilità di un attacco alla catena di fornitura. Ovviamente la vostra azienda non può controllare completamente i sistemi e le operazioni di altre aziende, ma ci sono cose che si possono fare.

In primo luogo, comprendere il rischio che comporta l’assunzione di un fornitore, effettuando una propria valutazione dell’efficacia della sua sicurezza informatica e/o avvalersi di servizi, come Bitsight o SecurityScorecard, che forniscono “punteggi di credito della sicurezza informatica” per valutare la sicurezza di un’organizzazione prima di fare affari con essa.

In secondo luogo, limitate la portata della porta laterale di ciascun fornitore. Ad esempio, una società di manutenzione dell’aria condizionata dovrebbe avere accesso solo alle aree in cui sono conservate le apparecchiature da manutenere, non a tutti gli uffici dell’edificio.

Infine, come già detto a proposito dell’esfiltrazione dei dati, limitate quelli a cui i fornitori hanno accesso, manteneteli crittografati per renderli inutilizzabili, anche se esfiltrabili, e monitorate i dati esportati dai vostri sistemi per rilevare le esfiltrazioni illecite.

LE PERSONE CHE COMPIONO CYBERATTACCHI sono straordinariamente piene di risorse, inventive e creative. Nei prossimi anni troveranno nuovi modi per attaccare i vostri sistemi. Molti dei principi evidenziati per affrontare questa ondata di attacchi saranno utili per affrontare quelli nuovi. In ogni caso, state all’erta e preparatevi.

Stuart Madnick è Professore di Information Technologies presso la MIT Sloan School of Management, Professor of Engineering Systems presso la MIT School of Engineering e Director of Cybersecurity at MIT Sloan (CAMS): the Interdisciplinary Consortium for Improving Critical Infrastructure Cybersecurity. È attivo nel campo della sicurezza informatica da quando è stato coautore del libro Computer Security nel 1979.