Il Podio EDI 2023, tenutosi il 30 giugno presso la sala del Consiglio cantonale di Lucerna, è stato totalmente dedicato alla nLPD che entrerà in vigore senza periodo di transizione il 1o settembre 2023. Stefan Rothenbühler, Principal Cyber Security Analyst presso InfoGuard SA, è un cacciatore di hacker e supporta le aziende in caso di attacchi informatici e di ransomware. Ha riferito della sua vita quotidiana estremamente dinamica.

La descrizione del suo lavoro, quello di cacciatore di hacker, sembra molto avvincente. In occasione del Podio EDI del 30 giugno 2023, Stefan Rothenbühler, nel suo intervento dal titolo; «Come diamo la caccia agli hacker: spunti di riflessione da incidenti reali legati alla sicurezza», ha parlato del suo straordinario e intenso lavoro come Principal Cyber Security Analyst presso InfoGuard SA. Rothenbühler assiste le aziende in caso di attacchi informatici e di ransomware, conduce indagini forensi di rete, negozia con gli attori responsabili delle minacce e coordina unità di crisi. «In realtà, non vorreste mai vedermi arrivare: quando arrivo da voi, di solito lo spettacolo è già finito e la vostra azienda ha un problema. In questo caso, subentriamo noi con l’obiettivo di garantire un ripristino sicuro.»

Tendenza in aumento
«I data breach sono in forte aumento», afferma Rothenbühler toccando il cuore dell’argomento. Se nel 2018 la sua azienda si è trovata ad affrontare una ventina di casi, nella prima metà del 2023 i casi sono già stati 140. «La protezione preventiva, così come una risposta adeguata agli incidenti legati alla sicurezza stanno diventando sempre più importanti. I varchi di ingresso sono simili: per lo più si tratta di perimetri non protetti. Nei casi più frequenti che vediamo, si tratta di attacchi opportunistici, cioè l’aggressore prova a colpire migliaia di aziende e poi, per una stupida coincidenza, ne riesce a colpire una che viene quindi violata.

Il pericolo viene sempre dall’esterno: attraverso falle nella sicurezza, un accesso remoto non sicuro, phishing, malspam o tramite la catena di fornitura», spiega. «Quest’ultimo punto è in forte crescita. È molto importante capire una cosa: si tratta di un problema che può colpire tutti. Non solo i piccoli operatori che non sono preparati, ma anche le grandi aziende. In questi casi, di solito, la domanda da porsi non è se succederà, ma quando succederà.» Molte aziende e istituzioni hanno (ancora) un sistema di sicurezza inadeguato. «Queste lacune sono spesso dovute al coronavirus, perché all’epoca, ad esempio, gli accessi remoti per i collaboratori sono stati attivati in fretta e furia.» È proprio questo punto che viene sfruttato dagli aggressori.

Carattere monetario
Tali attacchi informatici paralizzano l’intera infrastruttura di un’azienda che diventa incapace di agire, nonché ricattabile. «Nel peggiore dei casi, tutto è crittografato e prima sono stati rubati i dati. In molti casi, gli aggressori chiedono un riscatto per sbloccare i dati bloccati.» Rothenbühler prosegue: «Questi attacchi hanno sempre un aspetto monetario. Gli aggressori sono contenti di entrare nel sistema e si chiedono: quanto posso ottenere da qui?»

Cosa si può fare meglio?
La sicurezza di un’azienda dipende dalle misure precauzionali adottate, ma anche dal grado di formazione e sensibilizzazione dei collaboratori. «Il nostro credo da InfoGuard è questo: i collaboratori non sono l’anello debole di un’azienda, ma la sua ultima possibilità di prevenire i danni.» I superiori dovrebbero quindi comunicare chiaramente ai loro collaboratori che non sono sempre loro i colpevoli quando succede qualcosa, ma che sono fondamentali e necessari laddove tutti i sistemi di sicurezza dovessero fallire.

«L’autenticazione a più fattori (MFA) può già prevenire molti danni», osserva Rothenbühler.  La gestione delle vulnerabilità, l’analisi e l’elaborazione degli incidenti, l’accesso diretto a Internet e il monitoraggio della sicurezza sono altre misure di protezione utili e affidabili contro gli attacchi informatici. Rothenbühler ritiene che quest’ultimo aspetto sia particolarmente positivo. «Ma bisogna anche considerare il sistema di allarme e definire chiaramente le responsabilità in anticipo. Ci è già capitato che alcune aziende ci chiedessero aiuto e che, al nostro arrivo, l’intero sistema di sicurezza si illuminasse come un albero di Natale, ma la persona responsabile era in vacanza.»

Conclusioni:
Il consiglio di Stefan Rothenbühler: «Le aziende dovrebbero prepararsi alla cosa più probabile che può causare i danni maggiori, ovvero il ransomware. Pertanto, è importante conoscere gli aggressori e prepararsi e proteggersi in modo opportuno e costante. È come giocare al gatto e al topo tra aggressori e difensori.» In molti casi, un attacco informatico potrebbe essere notato nelle prime ore o nei primi giorni se le notifiche dell’antivirus venissero controllate o se si reagisse in modo accurato. «E se dovesse succedere qualcosa, noi di InfoGuard SA siamo a vostra disposizione.» Buono a sapersi.

Presentazione (PDF)