Violazione dei dati

Pronto soccorso in caso di attacchi hacker

Le aziende subiscono continuamente attacchi da parte di hacker. In caso di furto di dati è necessario adottare tempestivamente i giusti provvedimenti. Un esempio dimostra come è possibile contenere i danni che ne potrebbero derivare.

Testo: Felix Raymann in collaborazione con Lorenz Inglin, pubblicato per la prima volta il 17 agosto 2017, aggiornato il 19 gennaio 2021.Immagini: Luca Zanier

Nel cuore della notte Arno P. riceve un’allerta via SMS che gli comunica che «Il sito non è accessibile». Per quanto a malincuore, il responsabile IT di uno shop online entra come di consueto nel sistema per cercare il problema. «Potrei aspettare e farlo domattina», pensa Arno P., in fondo quasi nessuno di notte fa acquisti online in Svizzera.


Ma quando dà un’occhiata alle cifre del traffico, capisce che c’è qualcosa che non va: sui server il traffico di dati è sorprendentemente vivace. Evidentemente gli hacker, lanciando contemporaneamente migliaia di accessi automatizzati, cercano di rendere inaccessibile il sito.


Analizzando i log ai server, però, nota anche un’altra cosa: vengono anche rubati dati del cliente, l’attacco al sito potrebbe non essere che un diversivo! Arno P. non riesce a spegnere singoli server, inoltre non sa se e come contrastare da solo il furto di dati.

È indispensabile avere un piano di emergenza

Il caso che abbiamo appena preso a esempio può comportare una catastrofe per l’azienda oppure, nella migliore delle ipotesi, avere delle conseguenze poco gravi. In questo caso, Arno P. saprebbe come agire grazie a un piano di emergenza. Chiamerebbe il numero dell’assistenza Swisscom di cui l’azienda usa i servizi e le infrastrutture. I collaboratori del team sarebbero già stati informati e nel frattempo avrebbero già bloccato alcuni settori in cui sono state scoperte attività sospette.


«Si tratta di un attacco DDoS», dice il collaboratore del Security Team. «Siamo stati in grado di filtrare dalla rete il traffico di dati dannoso, il servizio verrà ripristinato tra poco». Gli hacker sono però anche riusciti a trovare un punto debole di una banca dati e hanno copiato i dati dei clienti.


Per prima cosa, occorre bloccare questa azione. Solo in un secondo momento gli specialisti del settore Security cercheranno di capire sulla base dei log file come sono riusciti ad accedere ai dati sensibili. 

Assistenza immediata in caso di cyberattacco

Gli esperti del Cybersecurity Incident Response Team (CSIRT) Swisscom sono pronti ad intervenire rapidamente e con professionalità in caso di attacco informatico.

Piano di emergenza: i provvedimenti da adottare in caso di attacco

Nonostante le migliori prevenzioni, gli hacker riescono a rubare dati nei modi più disparati. Dal momento in cui ci si accorge di essere stati attaccati, ogni secondo è cruciale. Il Computer Security Incident Response Team di Swisscom consiglia di adottare i seguenti provvedimenti:

 

  • Valutare le informazioni relative all’incidente di cui si è in possesso: di cosa si tratta? È necessario un Team Swisscom in loco?
  • Avviare misure immediate (fermare le azioni, valutare l’entità del danno, rintracciare le perdite di dati)
  • Trovare la causa del problema
  • Avviare misure per limitare/risolvere il problema
  • Migliorare la protezione e identificare problemi analoghi
  • Avviare il ripristino, la validazione, il controllo
  • Conservare le prove (fonte degli attacchi, per eventuali fini legali)
  • Eseguire il debriefing, la documentazione, l’applicazione delle misure correttive

Dal momento che l’azienda non usa tutti i servizi di Swisscom, occorre limitare il danno sui propri server. Per questo motivo Arno P. va in ufficio. Qui, come prevede il suo piano di emergenza, disinserisce la presa Ethernet dei server, ma non spegne i computer (per poter rintracciare in un secondo momento eventuali manipolazioni). «La RAM ci dà molte informazioni sugli accessi al sistema» dice Lorenz Inglin, Head Cyber Defense di Swisscom.

 

La successiva analisi dei log file stabilisce che l’hacker è riuscito a entrare nel sistema sfruttando un punto debole dell’applicazione (mediante «SQL Injection»). Il compito del Team forense di Swisscom è quello di conservare le prove e scoprire chi è il colpevole. I collaboratori del Team forense devono analizzare da dove proveniva l’attacco, quali dati sono stati rubati e l’entità del danno. È altrettanto importante bloccare i canali di comunicazione con gli hacker e il punto debole nell’applicazione. Inoltre occorre comunicare a collaboratori e clienti come si devono comportare. Occorre creare anche disposizioni linguistiche per il servizio media e clienti.

1/5 Il Security Team di Swisscom presta pronto soccorso in caso di attacchi hacker.

2/5 Gli specialisti analizzano i file log per riscontrare movimenti sospetti.

3/5 Pronto soccorso in loco: con la valigetta degli strumenti dal cliente.

4/5 Creazione di copie forensi di dischi rigidi, identificazione delle cause, contenimento dei problemi: il team CSIRT di Swisscom.

5/5 Estrarre la presa: ogni secondo è prezioso.

1/5 Il Security Team di Swisscom presta pronto soccorso in caso di attacchi hacker.

Le conseguenze possono costare caro

Una volta avviati i primi provvedimenti, occorre limitare il più possibile i danni. È difficile calcolare l’entità effettiva dei danni. I danni economici possono essere diretti o indiretti e dipendono da:

 

  • Costi interni per la risoluzione del problema e il ripristino
  • Servizio forense esterno, ripristino dei sistemi noleggiati
  • Nuove misure di sicurezza
  • Reputazione: danni d’immagine, perdita della fiducia da parte dei clienti, corso delle azioni in ribasso

La minaccia per le aziende

Per poter accedere a dati sensibili come a informazioni sui clienti, carte di credito, password, ecc., gli hacker adottano i metodi più disparati. Lorenz Inglin ci racconta: «Ogni giorno c’è un nuovo attacco; noi siamo sempre in allerta e cerchiamo di individuare e di bloccare gli attacchi».


«Monitoriamo costantemente le nostre reti alla ricerca di comportamenti insoliti. Identifichiamo e blocchiamo ogni mese  pagine di phishing», racconta Lorenz Inglin.


Attualmente questi sono i pericoli più comuni che corre un’azienda:

 

  • Phishing
  • Attacchi DDoS (messa fuori uso dei servizi, pagine web)
  • Ransomware (codifica di dati ed estorsione)
  • Social Engineering (ottenere dati e password in modo disonesto. Esempio: «Fake President Fraud»: i truffatori fingono di essere membri del management di un’azienda e cercano di convincere i dipendenti a fare bonifici.

Tipologia di hacker:

  • Singoli criminali: i cosiddetti ‘script kiddies’ o i vandali digitali, cercano di entrare in un sistema per metterlo fuori uso.
  • Hacker: gli hacktivisti sono in grado di lanciare attacchi DDOS, ad esempio.
  • Organizzazioni criminali: bande organizzate che, potendo contare su ingenti mezzi e strumenti, eseguono attacchi mirati per soldi.
  • Terroristi: hacker con motivazioni ideologiche che intendono manipolare le infrastrutture.
  • Hacker dello stato: sono motivati politicamente o economicamente? Sono in grado di lanciare attacchi su larga scala, infiltrarsi, ecc.

Maggiori informazioni