Un attacco del gruppo russofono Lockbit ha bloccato Westpole colpendo 1.300 enti. Bisogna prevenire queste offensive preparandosi sui piani della sicurezza, tecnico, legale e comunicativo, spiega l’avvocato Mele (Gianni & Origoni) a Formiche.net
Il gruppo hacker Lockbit, che ha rivendicato l’attacco ransomware contro le pubbliche amministrazioni in Italia che si avvalgono dei servizi di Westpole, parla russo, non colpisce soggetti russi e ha un’agenda piuttosto allineata a quella del Cremlino. Tanto che l’attacco di maggio contro il giornale China Daily aveva stupito gli addetti ai lavori vista l’amicizia “senza limiti” tra i leader russo Vladimir Putin e cinese Xi Jinping.
Spesso i suoi attacchi rientrano nello spettro delle minacce ibride. In particolare, dopo l’inizio dell’aggressione russa dell’Ucraina, hanno come obiettivo finale quello di alimentare tensioni nei Paesi colpiti per fiaccare il sostegno a Kyiv da parte dei governi degli stessi.
Come ha dimostrato il recente caso australiano, gli attaccanti conoscono bene il contesto in cui attaccano. Sia nell’attacco ai porti australiani, sia in quello alle pubbliche amministrazioni italiane c’è di mezzo il Natale.
Nel primo c’entra per la logistica, nel secondo per via dell’attacco ai sistemi di rendicontazione di buste paga e di fatturazione elettronica. Ieri l’Agenzia per la cybersicurezza nazionale ha comunicato che il blocco degli stipendi di dicembre e delle tredicesime per i dipendenti degli enti locali colpiti dal massiccio attacco è stato scongiurato. A dieci giorni dall’offensiva l’attività svolta per contenere i danni “ha consentito il ripristino di tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali”, legati alla catena di approvvigionamento di Pa Digitale”, ha comunicato la struttura diretta dal prefetto Bruno Frattasi. Per le restanti (circa 600) amministrazioni, ha aggiunto, “resta l’esigenza di recuperare i dati risalenti ai 3 giorni precedenti l’attacco, avvenuto l’8 dicembre”.
“Essendo il ransomware una minaccia cibernetica che impatta pesantemente sull’operatività e quindi sul business delle aziende, oltreché sulla loro reputazione, bisogna prevenire questi danni non soltanto sul piano meramente tecnico-informatico, ma anche sotto il punto di vista della strutturazione di processi capaci di far fronte a questo genere di attacchi informatici”, commenta Stefano Mele, partner e responsabile del dipartimento cybersecurity & space economy law dello studio legale Gianni & Origoni. “Serve prepararsi in anticipo e farlo curando diversi profili”, continua. “Quello tecnico, in cui prevedere in anticipo, per esempio, un’unità di supporto esterno in grado di intervenire in maniera tempestiva e metodi di comunicazioni alternativi che possano sopperire all’eventuale blocco completo delle comunicazioni. Quello legale, che deve guardare anticipatamente anche all’eventuale (e denegata) ipotesi di essere costretti a pagare il riscatto richiesto dall’organizzazione criminale, che, pur non essendo vietato per legge, potrebbe portare con sé alcune conseguenze sul piano fiscale e su quello etico dell’azienda. Senza dimenticare le necessità di dover assolutamente accertare e poter eventualmente provare lo stato di necessità in cui la società si è ritrovata e che condizione minima per poter giustificare l’eventuale pagamento del riscatto. Infine, quello delle comunicazioni alle autorità, ai dipendenti, ai clienti, ai fornitori e al pubblico”.
Nella realtà dei fatti, però, sono “tantissimi” i casi in cui le società e le pubbliche amministrazioni non sono preparate a gestire queste crisi di natura cibernetica e dunque si trovano costrette, “loro malgrado”, a pagare il riscatto, conclude l’avvocato.