Nuova piattaforma

Un pronto soccorso
per le aziende che vengono
colpite dai cyber-attacchi

Mercoledì 15 febbraio 2023 circa 5 minuti di lettura In deutscher Sprache
(Foto Shutterstock)
(Foto Shutterstock)

Iniziativa coordinata dal Servizio informatica forense della SUPSI. Al via anche un progetto di ricerca per un simulatore avanzato in grado di riprodurre le aggressioni degli hacker, che sono in forte aumento
di Paolo Rossi Castelli

Un pronto soccorso per aiutare gli enti e le aziende private che subiscono attacchi informatici: l’iniziativa, denominata SOS Cyber, è partita in Ticino il 14 febbraio alle 14 (un riferimento non casuale al giorno di San Valentino), con un numero verde - 0800 800 188 - che cercherà di assistere soprattutto le imprese medio-piccole, spesso prive di personale esperto in informatica al loro interno. Il servizio è attivo dalle 9 alle 18, dal lunedì al venerdì. La procedura prevede che l’operatore del call center esegua un primo triage, come si dice in gergo, cioè una valutazione delle caratteristiche del cyber-attacco. Poi sarà lo stesso operatore a indicare le competenze necessarie per affrontare il problema, e fornirà una stima dei costi dell’intervento, coinvolgendo i partner dell’iniziativa SOS Cyber: per il momento tre (InTheCyber Group, Assidu e Talleri Law Tech Services), attivi nel settore tecnico e in quello legale e assicurativo, sotto il coordinamento del Servizio informatica forense del Dipartimento tecnologie innovative della SUPSI (ma in futuro anche altre aziende specializzate nella cybersecurity potranno entrare in questa “alleanza”, come è stata definita). Il tutto in collaborazione con la Camera di commercio, dell’industria, dell’artigianato e dei servizi del Canton Ticino, e con il patrocinio di Cyber sicuro, il gruppo di lavoro strategico istituito nel 2019 dal Consiglio di Stato, punto di riferimento a livello cantonale per le questioni legate al tema della sicurezza informatica.

«Negli ultimi quattro anni - ha spiegato Milena Properzi, direttrice del Dipartimento tecnologie innovative della SUPSI, durante la conferenza stampa di presentazione - il numero degli attacchi informatici è aumentato del 50% e, inevitabilmente, è cresciuta anche la richiesta di assistenza da parte delle aziende, per cercare di ridurre al minimo i danni e, se possibile, di prevenirli. Ma per evitare gravi conseguenze è necessario un lavoro di team, con la creazione di una sorta di ecosistema complesso. SOS Cyber ha proprio lo scopo di fornire una risposta rapida ed efficiente alle aziende».

Ma quanti sono in Ticino i cyber-attacchi? È difficile tracciare numeri precisi, perchè ancora non è in vigore l’obbligo di notifica e molti episodi vengono tenuti riservati. «A livello svizzero, in ogni caso - ha detto il consigliere di Stato Norman Gobbi - arrivano 700 segnalazioni in media ogni settimana al Centro nazionale per la cibersicurezza».

Sono ancora molte le aziende che non hanno piena consapevolezza dei rischi a cui possono andare incontro, se non si proteggono al meglio. Ma uno “scossone” arriverà dalla nuova legge federale sulla protezione dei dati, che dal 1° settembre di quest’anno imporrà alle imprese e alle istituzioni di farsi “trovare pronte” per limitare i danni. Altrimenti le coperture assicurative potranno venire meno. «Ogni azienda dovrà essere in grado di individuare gli eventuali punti deboli dei propri sistemi informatici e di eliminarli - ha spiegato Alessandro Trivillini, responsabile del Servizio di informatica forense SUPSI. - Questa “validazione”, eseguita con metodi scientifici, sarà determinante per le aziende colpite da un incidente informatico».

Per aiutare le aziende, la SUPSI partecipa, insieme ad altri partner svizzeri, anche a un progetto di ricerca - coordinato dal Centro nazionale per la cibersicurezza - destinato a sviluppare un simulatore degli attacchi informatici. Ma come avvengono questi attacchi? «Esiste una grandissima varietà - spiega a Ticino Scienza Andrea Borsetti, esperto del settore e cofondatore di Red Carbon, una startup innovativa, con sede a Lugano. - Quello più comune è il tentativo di corrompere i dati presenti nei computer aziendali (portatili, rete, e ogni altro dispositivo), per renderli inutilizzabili e chiedere poi un riscatto. Il sabotaggio, se vogliamo definirlo così, viene realizzato tramite un software, chiamato ransomware, che i cyber-criminali inseriscono, in vari modi (direttamente o tramite allegati di posta elettronica, annunci pubblicitari ingannevoli e altro), all’interno dei computer da infettare. L’utente non se ne rende conto e quando, ad esempio, apre un allegato di posta che contiene, ben nascosto, un apposito programma “eseguibile”, lancia senza saperlo il ransomware. Questo software è in grado di crittografare i dati, e di cancellare gli originali, bloccando la possibilità di riportarli in chiaro senza un’apposita chiave di decifratura».

Il riscatto viene chiesto quasi sempre in criptovalute, scegliendo quelle meno tracciabili, come il Monero. Se vengono colpite dal ransomware, molte aziende cercano di difendersi cancellando i dischi rigidi infettati, inizializzandoli nuovamente, e recuperando i dati dai back-up. «Ma i sistemi di cyberattacco più sofisticati - dice Borsetti - riescono a superare anche questa strategia. In che modo? L’attacco viene lanciato qualche settimana o addirittura qualche mese prima dell’attivazione del ransomware. In questo modo, quando l’aggressione diviene evidente e l’azienda prova a utilizzare i dati di backup, scopre che anche questa "riserva" è stata resa inutilizzabile, e il ripristino, a questo punto, diventa quasi impossibile. È quello che gli hacker chiamano cash cowing, denaro facile: le vittime diventano “mucche da soldi”». Esistono modi per identificare il software cattivo, ma sono costosi.  

Il repertorio dei cyber-aggressori comprende anche altri misfatti, ancora più temibili: «A volte - conclude Borsetti - i dati, prima di subire la cifratura, vengono sottratti (esfiltrati, come si dice in gergo), e poi rivenduti sul mercato nero internazionale, senza che le aziende violate, in molti casi, se ne rendano conto. Dipende da come vengono configurati i loro sistemi».

Il mondo dell’”hackeraggio” è cambiato moltissimo negli anni. Un tempo era una sorta di attività artigianale. Adesso, purtroppo, è diventato un’industria, gestita da organizzazioni criminali (al pari del traffico di droga), o addirittura - secondo certi analisti - da apparati statali, in nazioni al di fuori delle regole democratiche. Come difendersi? Si calcola che le aziende dovrebbero destinare dal 3 all’8% del fatturato (a seconda del settore in cui si muovono) per la cyber-sicurezza. Ma ben poche lo fanno, almeno nel mondo delle piccole imprese.