Una soluzione di backup and recovery non è una soluzione di data security. Le prime sono progettate per creare copie di dati utili per il ripristino in caso di perdita accidentale o guasti hardware. Fondamentali per garantire la disponibilità dei dati, ma non altrettanto efficaci contro intrusioni, furti e attacchi informatici, in continuo aumento. Secondo lo studio condotto dal team di ricerca Zero Labs di Rubrik, il 99% degli executive intervistati, tra cui oltre 1.600 IT director e leader della sicurezza informatica, ha ammesso di aver subito almeno un attacco lo scorso anno. Di questi attacchi, il 93% è stato mirato ai backup, e ha avuto successo in tre casi su quattro.
«Secondo le nostre rilevazioni – ci dice Alessio Stellati, regional director Italy di Rubrik – quest’anno il 65% delle aziende italiane ha subito una violazione dei dati, a causa di sistemi di difesa che si sono rivelati inadeguati nel proteggere l’azienda. Siamo il terzo Paese al mondo più colpito da attacchi ransomware, e il primo in Europa. Ormai, viviamo in un contesto di “assume the breach”, consapevoli o meno dell’inevitabilità di cadere vittime di un attacco. Se poi lo siamo stati in passato ci sono buone possibilità che accada di nuovo nel giro di sei mesi».
Investimenti mirati
Non si tratta solo di investimenti inadeguati in cybersecurity. «Al contrario anche in Italia negli ultimi anni, la spesa ha registrato sensibili incrementi» – spiega Stellati. «Secondo Gartner, la cybersecurity rimane al primo posto nelle priorità di investimento dei CIO per il 2023». Tuttavia, non è compito solo dell’IT promuovere gli investimenti. «Anche il Business deve fare la sua parte. La sensibilizzazione alla cybersecurity deve venire anche dal titolare, dal CEO. L’IT deve essere un facilitatore. Gli investimenti stanno andando nella giusta direzione. Però è necessario una maggiore coesione nelle scelte e nei comportamenti». In realtà – continua Stellati – anche in aziende blasonate del nostro Made in Italy, ci sono sistemi legacy, tecnologie superate, aggiornamenti mancanti. «Spia evidente della volontà di assumersi il rischio di non investire in sistemi di backup avanzati. Eppure, non mancherebbero le opportunità rappresentate dalle risorse del PNRR e dal percorso di trasformazione digitale intrapreso da tante aziende. Ammesso che ci sia la consapevolezza da parte di tutti gli stakeholders circa la necessità di investire in una vera e propria trasformazione della sicurezza e in tecnologie di cyber recovery avanzate».
L’importanza dell’engagement
Molto dunque dipende ancora dalla sensibilità aziendale al tema. «La maggior parte dei responsabili IT sa benissimo di non disporre di tecnologie adatte a mitigare i rischi di un attacco ai backup» – afferma Stellati. «Si incontrano ancora numerosi ostacoli per indirizzare la sensibilità di stakeholders e Board su questi temi. In realtà, basterebbe riflettere sulle proprie capacità a fronte di un attacco, di recuperare tutti i dati e in quanto tempo». Su questo tema, Stellati cita una recente ricerca Sophos condotta tra gennaio e marzo 2023 in modo agnostico su oltre tremila intervistati dalla quale emerge come soltanto l’8% delle aziende vittime di un attacco ransomware sono riuscite a recuperare tutti i dati in meno di 24 ore, impiegandoci fino a un mese nel 30% dei casi. «In questo contesto come si raggiunge la certezza che i dati recuperabili dal mio sistema di backup, ammesso che ce ne sia uno, siano dati “puliti”? Come trovare in tempi rapidi l’ultima copia valida dei dati aziendali? Spesso i cosiddetti “bad actors” rimangono all’interno dei nostri sistemi per settimane o mesi interi prima di sferrare un attacco».
Risposte inadeguate
La strategia tipica del CISO o del responsabile dell’IT, nel pubblico così come nel privato rimane invece quella di mettersi in casa vari strati di tecnologia. «Investimenti disarticolati e spesso del tutto inefficaci» – afferma Stellati. «Non è così raro trovare aziende costrette ad amministrare decine di soluzioni di protezione dei dati. Che si considerano protetti solo per la presenza di una soluzione di backup and recovery». In realtà, qui si concentra la stragrande maggioranza degli attacchi di tipo ransomware. «Parliamo di un layer che non si è evoluto con la stessa modalità dei livelli di sicurezza superiore» – afferma Giampiero Petrosi, regional vice president sales engineering Southern Europe di Rubrik. «Al contrario, per raggiungere una vera e propria resilienza informatica va adottato un approccio olistico, investendo su tutti i livelli dello stack che definiscono la postura di sicurezza in azienda. In particolare in sistemi avanzati di ripristino informatico in grado di far ripartire l’azienda in modo sicuro, proteggendo i dati da possibili esfiltrazioni dall’esterno».
Sistemi obsoleti e risposte inadeguate. Per Rubrik, la chiave è proteggere i dati del Made in Italy, anticipare gli attacchi e garantirsi una ripartenza rapida al sicuro dal malware
Diventare proattivi
Una ripartenza che, grazie alle soluzioni Rubrik – afferma Petrosi – non si ferma al ripristino dei dati, ma incorpora la garanzia di riportare in produzione solo dati non compromessi. «Il recupero dati garantisce altresì la possibilità di fare analisi forense, remediation, e tutto quanto serve per indagare sull’incidente. Per determinare cosa è stato esflitrato, misurare all’ampiezza del blast radius, e mettendosi al riparo dal rischio di essere vittima di un attacco secondario». Tutti elementi che combinati alla capacità di anticipare l’attacco prima che possa fare danni, sono essenziali per mettere in campo un approccio davvero proattivo. Basato su due elementi, AI/ML e monitoraggio delle minacce. «Grazie alla tecnologia e agli algoritmi di intelligenza artificiale e machine learning, soluzioni come le nostre sono in grado di rilevare in modo automatico eventuali comportamenti “anomali” all’interno di copie di dati e allertare in modo proattivo il sistema» – spiega Petrosi. «Per questo, non ci limitiamo a parlare Threat hunting, ma estendiamo il concetto incorporando le attività di Threat monitoring, con l’obiettivo di anticipare un possibile attacco limitandone l’impatto sui dati di produzione».
Eccellenze anche nella protezione
L’arrivo di normative stringenti come il GDPR e il più recente Digital Operational Resilience Act (DORA) – che si applica ai paesi membri dell’Unione Europea, pensato per aumentare la cybersicurezza degli istituti finanziari e dei loro partner o fornitori – contribuiscono ad incrementare il livello di awareness e resilienza operativa, aumentando la protezione di asset “core” come i dati sensibili legati a brevetti, file di R&D, informazioni personali di clienti e fornitori. «L’eccellenza del Made in Italy racchiude una serie di dati che vanno protetti. Ancora una volta – ci dice Stellati – l’invito rivolto a tutte le aziende pubbliche o private è di sfruttare le tecnologie all’avanguardia per proteggere i dati – l’asset più importante – e garantirsi una ripartenza rapida e sicura in caso di attacco».