Ha aperto e scaricato l’allegato ricevuto via email: ma non c’era alcun sollecito di pagamento di fatture scadute. Anzi c’era un malware che ha causato un grave data breach.

Sembrava un sollecito di pagamento e invece…

Ha ricevuto una email contenente un sollecito di pagamento di una fattura scaduta. Così l’ha inoltrata ad un collega dell’amministrazione, perché procedesse pagamento dell’insoluto. Il collega ha quindi aperto la mail ed ha scaricato l’allegato ZIP.

Tanto è bastato perché il dipendente consentisse ad un attaccante esterno (a tutt’ora non individuato) l’accesso all’intera rete aziendale e ai dati di clienti, fornitori e dipendenti. L’email sembrava provenire da un fantomatico fornitore dell’azienda, ma non conteneva alcun documento amministrativo. Al contrario l’allegato conteneva il payload di un ransomware. Così l’apertura del file compromesso ha dato il via alla criptazione di tutti i dati presenti nei server aziendali.

L’impiegato amministrativo però non si è accorto di nulla. L’antivirus ha segnalato il file come compromesso e ha richiesto all’utente di spostarlo in quarantena. Il dipendente ha assecondato la richiesta dell’antivirus e ha proseguito il suo lavoro. Il virus però non è finito in quarantena, anzi. L’attaccante ha mantenuto una backdoor aperta sul pc del dipendente (in smart working per la pandemia). Ha poi atteso il fine settimana, disabilitato l’antivirus ed è entrato nella rete aziendale.

In poche ore ha compromesso 283 sistemi e 16 account in quattro diversi domini Windows. Complessivamente ha criptato 4 database contenenti i dati personali di almeno 113.000 dipendenti dell’azienda. Tra questi:

• coordinate bancarie;
• numeri di previdenza sociale;
• origine etnica;
• orientamento sessuale
• ecc…

Per saperne di più > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum

Il Garante inglese interviene dopo il breach

John Edwards guida l’Autorità Garante per la Protezione dei dati personali inglese (Information Commissioner’s Office) e, su questo episodio, ha scelto la linea dura.

“Questa violazione dei dati potrebbe causare danni reali ai dipendenti, poiché li ha resi vulnerabili alla possibilità di furto di identità e frode finanziaria“

ha spiegato al fine di motivare l’elevata sanzione inflitta all’azienda. Sanzione che ammonta a 4.4 milioni di sterline, circa 5.1 milioni di euro. In particolare colpiscono i toni scelti dall’Autorità Garante:

“Lasciare la porta aperta ai cyber-attaccanti non è mai accettabile, soprattutto quando si ha a che fare con le informazioni più sensibili delle persone. Il più grande rischio informatico che le aziende devono affrontare non viene dagli hacker al di fuori della loro azienda, ma dalla noncuranza all’interno dell’azienda“

si legge nel provvedimento, nel quale viene citata anche la ragione sociale dell’azienda. Un duro colpo alla reputazione aziendale, non c’è che dire.
 

Il divario tra burocrazia e gestione della sicurezza informatica

La particolarità di questo episodio è che l’azienda sanzionata aveva implementato praticamente tutte le misure imposte dalla legge nazionale in fatto di privacy e protezione dati. Disponeva di policy di sicurezza, di protocolli di incident reponse e gestione delle vulnerabilità, aveva prodotto le valutazioni d’impatto ecc…

Apparentemente tutto in regola quindi. Ma John Edwards ha esplicitato nel provvedimento che tutto ciò serve a poco

“se l’azienda non monitora regolarmente le attività sospette nei suoi sistemi e non agisce in base agli avvisi, o non aggiorna il software e non fornisce formazione al personale“.

Un insegnamento fondamentale quindi, ci viene dal Garante inglese. Tutelare la privacy, gestire la sicurezza informatica non ha nulla a che fare con la burocrazia. Protocolli e policy producono soltanto montagne di carta se non sono effettivi, se non sono tradotti dalle parole ai fatti. E, soprattutto, non bloccano i cyber attaccanti e neppure il rischio di subire pesanti sanzioni.

Il provvedimento dell’Autorità Garante inglese è disponibile qui