C’è sempre molta preoccupazione per possibili attacchi informatici russi. Forse il timore più grande, e probabilmente il più probabile, è che questi attacchi informatici saranno probabilmente messi a punto come rappresaglia per le mosse finanziarie statunitensi ed europee ai danni dell’economia russa.

Gli attacchi informatici non sarebbero progettati per rubare denaro o dati di per sé, ma per danneggiare l’economia occidentale (soprattutto quella USA) colpendo strategicamente i principali attori nei verticali chiave. In altre parole, il governo russo potrebbe dire: “Avete danneggiato la nostra economia e il nostro popolo? Faremo lo stesso con voi”.

Finora, non ci sono prove di alcun attacco su larga scala, che però potrebbe essere lanciato in qualsiasi momento. Brad Smith, amministratore delegato della società di consulenza Edgile, sostiene che i dirigenti IT e di sicurezza aziendali devono cambiare idea durante la guerra in corso.

“I tempi e la criticità degli investimenti che le organizzazioni devono fare per la difesa della loro superficie di attacco devono essere modificati e guardati attraverso una lente e una prospettiva diverse“, ha affermato Smith. Aspettare di investire in una sicurezza più forte fino a quando gli attacchi non saranno già visibili è troppo tardi. “La minaccia ora è esistenziale. La natura di ciò da cui state cercando di proteggervi è fondamentalmente cambiata, quindi il vostro comportamento deve cambiare di conseguenza.”

È anche fondamentale ricordare, ha detto Smith, che gli obiettivi degli attaccanti sono diversi dal solito. “La minaccia proviene da organizzazioni che stanno semplicemente cercando di fare il maggior danno possibile per interrompere l’attività delle aziende e quindi sconvolgere l’economia dei Paesi attaccati”.

Ciò solleva la questione del perché gli attacchi più visibili devono ancora materializzarsi. Gli attacchi sono già avvenuti con bombe a orologeria digitali pronte per esplodere in un giorno/ora predeterminata o nell’istante in cui viene emesso un comando di attivazione? Ciò avrebbe il drammatico risultato di far esplodere tutto in una volta. Diverse agenzie governative statunitensi hanno avvertito di attacchi imminenti, ma i pochissimi dettagli che hanno offerto generalmente si limitano a suggerire ai CISO di fare ora ciò che avrebbero dovuto fare anni fa.

Uno degli avvertimenti più significativi è arrivato il 24 marzo dalla Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti. Dopo aver elencato una serie di suggerimenti incredibilmente ovvi e banali (impostare e applicare policy di password sicure per gli account), CISA ha incoraggiato molte più implementazioni di VLAN (soprattutto per stampanti in rete e dispositivi simili) e diodi di comunicazione unidirezionali.

minacce persistenti avanzate

CISA offre anche un consiglio più generale che doveva però essere molto più specifico: “Applicare l’autenticazione a più fattori (MFA) richiedendo agli utenti di fornire due o più informazioni (come nome utente e password più un token, ad esempio una smart card fisica o un token generatore) per autenticarsi in un sistema”.

In primo luogo, nel 2022, CISA dovrebbe scoraggiare completamente l’uso delle password aziendali, che si sarebbero dovute estinguere già anni fa. In secondo luogo, alcuni approcci MFA sono molto più sicuri di altri (che dire ad esempio della pericolosità dell’invio di testo non crittografato tramite SMS?). Perché allora non specificare e incoraggiare chiaramente approcci di autenticazione tramite app mobili, che sono a basso costo e facilmente accessibili?

Ciò che la CISA non ha detto, e ciò che Smith ha invece fortemente insinuato, è che i CISO e i CIO devono iniziare a essere sul piede di guerra e cambiare il loro modo di pensare agli utenti finali. Oggi, i dirigenti IT hanno il terrore di far passare i propri utenti attraverso troppi circuiti di autenticazione, anche se per ragioni molto diverse. I dirigenti line-of-business sono preoccupati per tutto ciò che potrebbe rallentare l’efficienza, mentre i CISO sono più preoccupati per gli utenti finali che si sentono frustrati da un numero eccessivo di protezioni.

Ma ora è il momento di aumentare la rigidità dell’autenticazione e pensare meno all’utente finale. Dopotutto, l’obiettivo dell’attacco non è rubare i dati dei clienti quanto piuttosto bloccare le operazioni aziendali. Pensate a ospedali, centrali elettriche e altri obiettivi di alto valore. Quegli attacchi potrebbero facilmente uccidere delle persone. Contro questo tipo di minaccia, contano davvero pochi minuti di disagio o qualche passaggio in più per autenticarsi?

Detto questo, c’è anche un problema operativo. E se gli attacchi non si verificassero per mesi? O peggio, cosa succede se vengono portati avanti e non sappiamo quando e se sono stati completati? Le aziende dovranno assumere un atteggiamento da “tempo di guerra” per sempre? Non è una domanda a cui è facile rispondere. Da un lato, i cybercriminali “non bellici” ci saranno sempre e i loro attacchi diventeranno continuamente più sofisticati. Ciò non suggerisce forse che le aziende dovrebbero comunque rimanere sul piede di guerra in modo permanente anche in assenza di attacchi a sfondo bellico?

Infine, suggerisco di prendere in considerazione l’analisi comportamentale e l’autenticazione continua. Non è tanto una nuova sicurezza, quanto un nuovo modo di pensare alla sicurezza. E durante una guerra, nuovi modi di pensare potrebbero essere ciò che respinge gli attacchi riusciti.