Il 2021 è stato caratterizzato da una professionalizzazione sempre più rapida delle organizzazioni cybercriminali. Il mercato del cybercrime si è strutturato e ha dato vita a una vera e propria economia sommersa con diverse figure professionali. Come contrastare tale minaccia? Tutte le misure sono adeguate? I programmi “bug bounty” sono sufficienti per rilevare le vulnerabilità presenti nelle infrastrutture e nei sistemi IT di un’azienda? Il “negoziatore di riscatti cyber” è una professione del futuro?
Vulnerabilità quotate due milioni di dollari
Si stima che l’economia sotterranea del cybercrime ammonta quasi 1,5 miliardi di dollari all’anno. Il settore si configura sempre più come un mercato tradizionale con i suoi marketplace, canali di comunicazione e distribuzione, meccanismi di domanda e offerta e concorrenza. I prodotti o servizi del mercato del cybercrime sono persino inseriti in cataloghi: nella fascia alta, le vulnerabilità zero-day sono ad esempio negoziate a prezzi massimi tra 0,5 e 2 milioni di dollari. A caccia del massimo profitto, i cybercriminali stanno passando da un approccio orientato al prodotto/strumento a uno orientato all’erogazione di “servizi”, con campagne malware “chiavi in mano” (Ransomware as a Service e Malware as a Service).
Secondo Deloitte, un cyberattacco con una soglia di investimento minima (p.es. 34 dollari al mese), può fruttare fino a 25.000 dollari – una fortuna. E, a peggiorare le cose, i gruppi di cybercriminali utilizzano talvolta tecniche di business simili a quelle di normali aziende affermate sul mercato.
Sébastien Viou, Direttore dei Prodotti di Cybersecurity ed esperto di cybersicurezza presso Stormshield, conferma: “Oggi si possono acquistare abbonamenti ad un servizio di fornitura di malware per effettuare attacchi su base regolare. I criminali offrono sconti, promozioni speciali tipo “compri 12 mesi, paghi 11” e persino supporto post-vendita“.
La crescita esponenziale del Malware as a Service è guidata dall’ecosistema del ransomware: su scala globale un attacco ransomware ha luogo ogni 11 secondi. Gli aggressori inoltre allineano sempre più spesso le loro richieste di riscatto alle somme che le vittime sarebbero potenzialmente disposte a pagare, a fronte dell’aumento dei costi di ripristino e del rischio di danni reputazionali in caso di esposizione pubblica dei dati oggetto dell’attacco. Che le agenzie di cybersicurezza nazionali di molti Paesi raccomandino di non pagare il riscatto, fa anche parte del gioco. Tuttavia, non è sempre facile mettere in pratica questa raccomandazione.
Approcci di difesa
Di fatto, per rispondere alla professionalizzazione delle minacce informatiche, anche l’industria della cybersecurity si è strutturata. Solo in Europa, il mercato è stato stimato a 23,7 miliardi di euro nel 2020 e si prevede che raggiunga i 43,8 miliardi di euro entro il 2026.
Programmi bug bounty
I programmi bug bounty e i pen test per identificare vulnerabilità o falle informatiche possono rivelarsi efficaci, ma hanno comunque i propri limiti. Alcune aziende credono erroneamente che essi siano sufficienti per la loro difesa, ma non è così. Il modello di business associato a questi metodi è spesso discutibile. A seconda del tipo di analisi condotta infatti, i tester coinvolti sono relativamente giovani e risiedono in Paesi con salari medio-bassi. Può capitare che lavorino per settimane su un’analisi senza alcuna remunerazione se non rilevano nulla, in altri casi non hanno alcuna garanzia di pagamento anche qualora trovassero qualcosa. Gli alti guadagni tra i tester sono rari, mentre le somme promesse sul mercato del cybercrime, il dark web, per la rivendita di informazioni sensibili sono spesso più attraenti.
I negoziatori
Intorno al ransomware si osserva anche lo sviluppo di un’economia e un mercato del cybercrime basati in particolare su negoziatori che fungono da mediatori tra le aziende e i cybercriminali in seguito a un attacco, trattando con gli aggressori e aiutando le vittime ad organizzarsi meglio per superare questa esperienza opprimente. Ma la ragion d’essere dei negoziatori è controversa.
“La procura di Parigi, per esempio, ha creato un’unità per il cybercrimine con l’intento di evitare che questo tipo di negoziatori si guadagni da vivere con i ransomware. Rimane tuttavia ancora aperta la questione relativa ad un divieto di figure professionali di questo tipo“, afferma Sébastien Viou.
Assicurazione casco totale per cyberincidenti
Stipulare una polizza assicurativa per coprire le spese di un cyberattacco come si farebbe con qualsiasi altro incidente è la soluzione? Per quanto l’iniziativa sia lodevole, in realtà un risarcimento assicurato dallo Stato, sullo stesso modello di quelli previsti per i disastri naturali (fatto salvo casi di negligenza fraudolenta), sarebbe più adeguato. Di fatto, diverse compagnie assicurative hanno cercato di entrare in questo mercato, ma alla fine si sono rifiutate di pagare il riscatto. La maggior parte non ha proceduto a causa dei degli elevati costi e dei rischi imprevedibili implicati. In più andrebbe considerato anche un aspetto etico: in linea di principio, assicurarsi contro il furto della proprietà intellettuale o dei beni digitali aziendali risulta appropriato. Tuttavia, se l’assicurazione paga il riscatto, non è forse complice? Non alimenta il business del ransomware?
“In Francia, il governo si sta occupando della questione da diversi mesi e sta considerando un divieto dei pagamenti dei riscatti da parte delle compagnie assicurative o addirittura un divieto della stipula di assicurazioni cyber in assoluto“, conferma Sébastien Viou.
L’approccio migliore
È importante ricordarsi che non si è mai completamente protetti. Si può sperare di beneficiare di un monitoraggio virtuoso dell’infrastruttura, che permetta di scoprire tempestivamente tutte le vulnerabilità e impedisca la violazione di ogni sito o sistema. Ciò non è tuttavia realistico.
“La miglior soluzione possibile resta quella di impostare appropriate barriere multilivello in entrata, cercando di demotivare gli attaccanti il più possibile, facendo sì che il costo di un attacco informatico sia sempre superiore al suo potenziale beneficio“, raccomanda Sèbastien Viou in conclusione.