Indipendentemente che tu sia un commercialista o un avvocato, un imprenditore o un libero professionista, riesci a dormire tranquillo la notte? Se la tua risposta è SI, forse non ti sei mai soffermato a pensare a quanto i tuoi dati e quindi la tua attività, siano a rischio.
Ogni giorno infatti, migliaia di azienda vengono colpite dai cryptovirus e questo mi fa pensare che il problema non è “se verrò colpito” dal virus ma “quando”. Cosa fare quindi? Attendere che il virus blocchi la mia attività o correre per tempo ai ripari? Io propenderei per la seconda ipotesi.
Ma iniziamo ad analizzare il nostro nemico; i cryptovirus sono una particolare forma di ransomware che accede alla tua rete aziendale e “cripta” i dati in tuo possesso rendendoli in questo modo inaccessibili. Può anche capitare che ti venga chiesto un riscatto per riaverli e questo danneggerebbe “solo” il tuo portafoglio. Il problema è che spesso, anche a seguito del pagamento, i dati risultino comunque danneggiati e quindi non più utilizzabili. I nomi più noti di questi cryptovirus sono Cryptolocker, CTB Locker, CryptoWall e TeslaCrypt, tienili bene a mente.
Se pensi di far parte di quelle persone che utilizzano il PC per lavoro, ma ne faresti anche a meno, sappi che sei più a rischio degli altri.
Se pensi di essere a posto e che hai preso già tutte le precauzioni, sappi che sei più a rischio degli altri.
Se pensi che a nessuno interessano i tuoi dati, sappi che sei più a rischio degli altri
Questo perché i malintenzionati sfrutteranno questo tuo “punto debole” per entrare in contatto con i tuoi dati. Arriva una mail (e sicuramente ne riceverai tantissime ogni giorno), ti sembra normalissima, magari di un tuo collaboratore o fornitore, doppio click sull’allegato senza pensarci troppo e… congratulazioni!, sei entrato a far parte anche tu nella statistica delle persone che sono state colpite dai un Cryptovirus.
CONOSCI IL TUO NEMICO e NON SOTTOVALUTARLO
Ora conosci il suo nome ma forse non hai ancora ben chiaro come si comporta. Come ti ho accennato in precedenza, i cryptovirus hanno due peculiarità: bloccare l’accesso ai tuoi dati, richiederti un riscatto. Per fare questo si avvalgono di quattro fasi principali partendo con la loro diffusione. In questa fase il virus viene inviato, con sistemi di mailing massivo e quindi in maniera automatica, a più indirizzi mail possibili, in maniera casuale. Ecco perché, come ti ho spiegato, il concetto del “tanto da me non vengono perché non ho dati che gli interessano” cade miseramente. I malintenzionati non sono alla ricerca di dati particolari, gli interessa unicamente il riscatto e di conseguenza, più macchine infettano, più salgono le possibilità di avere un ritorno economico.
La seconda fase consiste nella sua attivazione. Una volta ricevuta l’e-mail, un operatore distratto clicca sull’allegato e questo, che in apparenza può sembrare un normalissimo file .pdf, .zip o un normale documento di Word, in realtà è un file che si connette ad un server gestito dai criminali il quale a sua volta, scaricherà sul tuo PC un minuscolo software in grado di cifrare i dati ovvero renderli inaccessibili, a meno di avere una sorta di codice per disattivarlo. Una volta installato, inizia la terza fase ovvero la criptazione vera e propria dei dati. In questa fase i virus maggiormente in circolazione oggi si concentrano su immagini, documenti, disegni CAD e file di backup. Per di più non si limitano ad infettare il solo PC in cui sono stati scaricati ma si diffondono volentieri su tutta la rete raggiungibile come Server, sistemi di backup e archiviazione dati. Ci siamo, il ransomware ha fatto il suo dovere ed inizia la quarta ed ultima fase ovvero, il contatto per la richiesta di riscatto (ransom in inglese significa riscatto). Il malintenzionato invierà una mail al mal capitato con la richiesta di un esborso economico, solitamente in cryptovaluta, in modo da non essere rintracciabile facilmente. Una volta effettuato il pagamento, invierà i codici per ripristinare i dati e renderli ancora accessibili ma è importante sapere che non sempre questo accade… può capitare che una volta inviato il denaro, non si abbiano più notizie ed i nostri dati rimangono inaccessibili.
Per la serie: PREVENIRE è meglio di CURARE
Iniziamo a sfatare il mito che vi è una soluzione sicura al 100%. Un esempio che faccio spesso è quello legato alla nostra abitazione. Possiamo avere la porta blindata, possiamo installare un antifurto e magari anche le inferiate alle finestre. Siamo talmente attenti che non ci rubino le nostre cose che installiamo anche delle telecamere che ci avvisano sul nostro cellulare se qualche cosa si muove intorno alla nostra casa… bene, ma sappiamo tutti che questo, se vogliono, non impedisce ai ladri di entrare in casa nostra. Gli stiamo però rendendo la vita un pochino più difficile. La stessa cosa vale per i nostri dati aziendali. (… e mi chiedo, se ci tieni così tanto ai tuoi oggetti personali custoditi a casa tua, perché non dovresti stare attento ai dati contenuti all’interno della tua azienda, che per di più sono quelli che ti aiutano a fatturare a fine mese?).
Bene, se nell’esempio di casa nostra la mancanza di una porta blindata, un allarme, le inferiate alle finestre e/o le telecamere sono un fattore che diminuisce le probabilità di avere degli ospiti inattesi all’interno della nostra abitazione, un utente superficiale, l’insufficienza delle infrastrutture informatiche e la mancanza di un sistema di ripristino dei dati, avvantaggia e di molto, il lavoro dei Cyber Criminali.
Utente superficiale: in un mio articolo passato ho evidenziato quanto la distanza fra noi ed un criminale informatico la si possa misurare ed è pari a 2 mm ovvero, la distanza che separa il nostro dito indice dal tasto del mouse. Prova a pensarci un attimo, quante volte ti è capitato che a causa della fretta e delle milioni di cose da fare, hai cliccato SI su una finestra che continuava ad apparire sul tuo schermo. Quante volte hai detto, riferendoti a quella finestra invadente: “ma SI, basta che smetti di tormentarmi che ho un sacco di cose da fare”. E quante volte non hai nemmeno letto con attenzione quanto la finestra ti stava dicendo? Capisci bene che questa è una delle cose da non fare e che per di più, non costa nulla! Pensa ora ai tuoi collaboratoti e a quante volte anche loro si sono ritrovati in questa situazione. Se in passato i criminali si concentravano principalmente sul trovare un accesso tramite la tua rete attraverso il server aziendale, col tempo hanno capito che questi sono solitamente ragionevolmente protetti. Hanno così spostato il loro target. Perché fare fatica a superare i livelli di sicurezza di un Server quando mi basta passare dalla porta secondaria, ovvero l’utente? (che solitamente è indaffarato a compiere il suo lavoro e quindi presta meno attenzione alle altre cose come una mail dall’apparenza innocua o un messaggio in finestra che appare sullo schermo). Per di più il server è uno, gli utenti possono essere 5, 10, 100, 1000 all’interno di una azienda o ufficio e quindi aumentano moltissimo le possibilità di poter accedere alla tua rete aziendale.
Insufficienza delle infrastrutture informatiche: ancora oggi mi capita di visitare nuovi clienti ed accorgermi che sono sprovvisti di antivirus e firewall. Lo sai vero che un antivirus ti costa meno di un caffè al giorno?! (esempio banale ma che rende l’idea). L’antivirus è la tua porta blindata, un firewall (hardware) il tuo antifurto perimetrale. Sicuro di volerne fare a meno?
Assenza di un sistema di ripristino: la mancanza di un sistema di ripristino significa NON sapere cosa fare una volta infettati. Troppo spesso mi trovo in situazioni in cui l’unica cosa che al cliente rimane da fare è chiamare l’assistenza chiedendogli di ripristinare immediatamente i dati e possibilmente senza un ulteriore esborso economico. Capisci bene che l’aver pensato in precedenza a delle procedure per il ripristino dei dati invece, avrebbe aiutato l’assistenza tecnica nel ripristinare i dati in minor tempo, magari da remoto e quindi senza dover pagare l’uscita, che si traduce in un minor tempo di fermo macchina, minor tempo di fermo della azienda, minor perdita economica.
Le ARMI a nostra DISPOSIZIONE
Spero nel riuscire a farti scappare un sorriso dicendoti che la prima arma a tua disposizione non costa nulla! Si chiama ATTENZIONE.
Quando ricevi una mail (sospetta o meno non importa anzi, spesso è proprio la seconda a fregarti) poniti sempre alcune semplici domande:
- Conosco la persona che mi sta scrivendo?
- Mi aspettato questa mail?
- Il testo del messaggio è scritto in maniera corretta?
- L’allegato ha una estensione .pdf, .doc oppure nasconde una seconda estensione come .exe, .vbs, .js?
Se anche solo a una di queste domande che dovrai porti hai risposto NO, solleva lentamente il dito indice dal mouse ed inizia a pensare a quello che stai facendo, è molto importante!
Naturalmente, non puoi affidarti alla sola attenzione. Spesso mentre lavori sei sotto pressione, hai delle scadenze da rispettare, una chiamati al telefono può distrarti da quello che stai facendo sul PC. Per fortuna vi sono altre armi a nostra disposizione per difenderci.
Una di questa è la MANUTENZIONE periodica dei dispositivi e consiste principalmente nell’eseguire gli aggiornamenti proposti dal sistema operativo, solitamente Windows. In particolar modo quelli relativi alla sicurezza, i service pack e nuove versioni delle applicazioni sono molto importanti e ci aiutano a proteggerci dai cyber criminali.
Un’altra arma di difesa è quella di munirsi di un sistema ANTIVIRUS. Vi sono principalmente due categorie: quelli gratuiti e quelli a pagamento. Ti dico subito la differenza tra i due. I primi sono gratuiti, i secondi no! Questo perché quelli a pagamento hanno solitamente aggiornamenti molto più frequenti e per di più, in caso di infezione, offrono un servizio di supporto tecnico, cosa che quelli gratuiti non danno. Tieni sempre a mente che i ransomware vengono aggiornati continuamente, anche più volte al giorno, per cercare di sfondare le difese create dall’antivirus. Un antivirus non costantemente aggiornato serve quindi un po’ pochino. Vi sono poi soluzioni antivirus in grado di essere gestiti da remoto, da personale tecnico esterno alla tua azienda. Con queste soluzioni, tu non dovrai più preoccuparti di nulla ma sarà del personale addestrato, esterno alla tua azienda e quindi con un costo molto inferiore ad un dipendente, ad occuparsi di verificare se il tuo sistema antivirus si sta comportando correttamente (di questa ed di altre soluzioni gestite da remoto ne parleremo presto in una newsletter dedicata).
Ovviamente, anche il migliore sistema antivirus, non è una soluzione sicura al 100% (altrimenti non esisterebbero più i virus). Per fortuna però, abbiamo ancora qualche arma a disposizione per difenderci.
Una di queste si chiama FIREWALL e non intendendo il firewall di windows, ma un firewall fisico, hardware, solitamente installato appena dopo il router che ti fornisce il collegamento ad internet. Il firewall ha il compito di analizzare tutti i dati in ingresso ed in uscita dalla tua azienda. Per fare questo, il firewalll da noi proposto ai nostri clienti, utilizza le APT(Advanced Persistent Threath) di cui i cryptovirus fanno parte e li blocca all’ingresso della tua rete aziendale nel caso in cui questi dovessero risultare dannosi per la tua infrastruttura. Non tutti i firewall hanno questa peculiarità. Prima dell’acquisto quindi, verifica con il tuo fornitore di riferimento che il firewall che stai pagando, abbia queste caratteristiche.
Bene, ti ho elencato le armi a tua disposizione per difenderti:
- Attenzione
- Manutenzione
- Antivirus Firewall
Ma se ti ricordi, fin dall’inizio di avevo annunciato che nessuna di queste soluzioni funziona al 100%. Vi è comunque la possibilità di essere infettati in maniera più o meno grave. Niente panico, abbiamo ancora un asso nella manica e si chiama DISASTER RECOVERY.
Avere un piano di Disaster Recovery è utile non solo per ripristinare i dati dopo un attacco informatico ma ti aiuta anche in quei casi dove l’errore umano (ho cancellato definitivamente un file per sbaglio), un guasto hardware (l’HD del tuo PC si rompe e non riesci più ad accedervi), un evento naturale, doloso o imprevedibile (incendio, allagamento, furto delle apparecchiature, ecc.) possono compromettere o perdere i tuoi dati.
Se stai pensando di smettere di leggere perché tanto tu copi tutti i file su una chiavetta USB la sera prima di andare via dall’ufficio, o ancora meglio, utilizzi una NAS, sappi che forse, abbiamo un problemino.
Il backup è importantissimo ma il suo ripristino, lo è ancora di più!
Ottimo salvare i dati su altri dispositivi ma se poi non riesci a recuperarli, hai fatto solo metà del tuo lavoro. Come ti ho detto in precedenza, i cryptovirus, una volta entrati in un PC, infettano tutto quello che a quel PC è collegato. PC infetto, sembra funzionare tutto correttamente, la sera inserisci la tua chiavetta USB per copiare i dati e… anche la chiavetta USB risulterà infetta e così i dati al suo interno. Lavori con il tuo PC, il tuo PC è collegato in rete, alla rete vi è collegato un server ed al server la NAS… anche la NAS risulterà infettata e così i dati al suo interno. Ricordati inoltre che anche la tua stampante è spesso collegata in rete e quelle di ultima generazione, hanno la possibilità di trasferire file tramite chiavetta USB… ormai hai capito, vi sono una infinità di modi per infettare la tua rete aziendale… ma puoi proteggerti.
Sei hai dei dubbi o delle domande, contatta il tuo fornitore IT e richiedi un sopraluogo presso la tua impresa per una verifica del tuo impianto informatico.
Ricorda inoltre che anche il “proteggersi in maniera adeguata”, rientra nel nuovo GDPR (se sei interessato, visita la nostra sezione dedicata a questo argomento sul nostro sito).