Cybersecurity: cosa ci insegna il caso Geox

Il caso del colosso di Montebelluna, bloccato da un attacco hacker non è isolato. Si moltiplicano sempre di più gli attacchi informatici alle aziende e i costi sono sempre più elevati. Abbiamo raccolto alcune esperienze e dialogato con un esperto di sicurezza per capire come imparare a difenderci 

L'attacco a Geox

Un attacco virtuale che tiene praticamente sotto scacco una delle maggiori aziende italiane. Da giorni la Geox è entrata nel mirino degli hacker che hanno chiesto un riscatto per togliere le catene virtuali (ma dagli effetti reali, e pesantissimi) che paralizzano l’azienda con quartier generale a Montebelluna.

Un attacco diretto al cuore del sistema operativo dell'azienda veneta con un "virus" capace di paralizzarne molte attività produttive e commerciali. In inglese li chiamano “ransomware”, da “ransom” che significa appunto riscatto, ed è uno degli incubi per aziende a forte vocazione digitale. Per riappropriarsi delle funzionalità dei propri sistemi informatici si è così invitati a pagare un riscatto, spesso versato in bitcoin.

Per ora l'azienda ha denunciato il tutto alla polizia postale e si è rivolta a tecnici specializzati: «I nostri tecnici sono già al lavoro, c’è una task force dedicata che è all’opera» puntualizza il portavoce dell’azienda di Mario Moretti Polegato. Quel che è certo è che, nel tempo dell'interconnessione globale e della telematica a cui affidiamo le nostre vite, un attacco hacker è qualcosa di potenzialmente disastroso. 

Un incubo che, nel caso di Geox, si traduce in magazzini fermi e camion rispediti al mittente (la logistica è completamente automatizzata, collegata ai lettori di codici a barre), contabilità violata e inaccessibile, e-commerce a singhiozzo (funziona dai pc di casa ma non dai tablet in dotazione ai negozi), persino la mail aziendale del tutto fuori servizio, cosa che taglia anche i ponti comunicativi: gli stessi dipendenti, non sapevano i motivi del fermo, alcuni pensavano addirittura a un problema legato al maltempo.

Conseguenze, come accennato, anche per i negozi, che sono riusciti a lavorare con il pubblico sul fronte delle vendite dirette ma hanno dovuto fare i conti con il blocco totale del sistema informatico che gestisce ordini, mail, e-commerce.

Non è la prima volta che il gruppo della “scarpa che respira” finisce nel mirino degli hacker: già cinque anni fa un “trojan” entrato probabilmente da una mail-esca aveva infettato la rete interna, ma con conseguenze meno gravi di ora. Nelle settimane scorse, inoltre, una truffa online viaggiava su un finto sito di e-commerce Geox. Ma qui siamo ben oltre. Altri nomi di spicco dell’industria trevigiana erano finiti sotto attacco: al gruppo Benetton erano state “clonate” alcune collezioni moda ancor prima di arrivare nei negozi.
 
La notizia dell’attacco hacker a Geox ieri è rimbalzata sottotraccia, in particolare su un profilo Twitter legato al mondo della cyber-sicurezza. Secondo gli esperti, si tratterebbe di un attacco su larga scala che ha colpito molte grosse aziende in tutto il mondo, nato da una insolita “sinergia” tra gruppi hacker rivali che, agendo unitariamente, danno forza alle loro richieste di riscatto. Ma cosa può insegnarci questa vicenda? 
 
 
«Che tu sia una multinazionale con fatturato miliardario o una piccola impresa, cadrai sotto i colpi degli hacker. Ma la vera bravura sta nel rialzarsi prima possibile, minimizzando i danni». Nicola Vanin, 42 anni, è senior manager in Tim, si occupa di data governance e sicurezza digitale.
 
Milanese d'adozione lavorativa ma trevigiano di nascita (Caerano) e di formazione (istituto Cavanis di Possagno prima della laurea a Ca' Foscari), Vanin parte dal caso della devastante intrusione dei pirati informatici in Geox per affrontare un discorso complessivo sui rischi che corrono le aziende. «Anche chi ha una grande struttura di sicurezza informatica è vulnerabile. Realtà come Geox ovviamente hanno persone capaci e che fanno tutto il possibile per difendere l'azienda. Ma la parte difficile è controllare tutte le parti terze che vengono a interfacciarsi».
 
Per esempio?
 
«La logistica, la relazione con i corrieri. Un'azienda è come una piccola galassia, con pianeti e satelliti. L'obiettivo dei cyber-criminali non è l'attacco frontale, come nei film, ma l'accesso a qualche "porta esterna", meno visibile e più vulnerabile».
 
 
E bisogna essere pronti a venire colpiti: «È molto difficile. Vale per Geox, Tim, chiunque. Prima o poi verrai colpito, è praticamente un dato di fatto. Detto ciò, devi essere in grado di tornare online prima possibile. Se non sei pronto a fronteggiare un attacco, poi non sei rapido a tornare operativo. Il tempo di reazione misura la tua impreparazione e quanto gli hacker sono riusciti a colpirti a fondo. Non si resetta tutto in due ore, in media per tornare online ne servono almeno 72. Si consideri che per una media impresa un blocco forzato può costare diecimila euro l'ora».
 
E il danno collaterale di vedere i propri dati messi in vendita? Gli hacker che hanno violato Geox cedono le credenziali per un bitcoin, circa 8.500 euro. E all'azienda chiedono un riscatto per "liberare" la rete. «Cedere al ricatto e pagare è eticamente sbagliato. Dal mero punto di vista economico, però, è sicuramente meno costoso che restare paralizzati per giorni e rischiare sanzioni dal garante per non aver saputo proteggere dati sensibili, ma non parliamo di speovveduti, ma di organizzazioni strutturate che si fanno pagare senza la possibilità poi di trovare tracce del percorso del denaro. Per questo spesso alle aziende viene consigliato di farsi un borsellino di bitcoin, in modo da non dover perdere tempo per acquistarli». 
 
E sulla dinamica potrebbe aver influito anche il telelavoro che, nel tempo del Covid-19, è diventato essenziale:  «il punto è che il lavoratore si collega al modem di casa wi-fi violabile da qualsiasi criminale. Ci sono dei veri e propri motori di ricerca che scovano chi è attaccabile, magari solo perché ha lasciato le credenziali di accesso di default. Sembra incredibile ma è così. I lavoratori usano strumenti ibridi. Magari un tuo amico ti manda un messaggio su Whatsapp "malevolo" e il virus si inserisce nei sistemi aziendali. In questo momento si è creata la tempesta perfetta, anche perché l'emergenza Covid distoglie l'attenzione di aziende e pubblica amministrazione dal fronte della sicurezza informatica. Non è un caso che ci siano ondate di attacchi nei periodi di crisi come questo».
 
Precauzioni?
 
«Zero trust, non fidarsi di nessuno, neanche dei miei partner commerciali abituali: vanno applicati passaggi di autenticazione molto stringenti». Del resto, quella della Geox non è la solo brutta esperienza con i cyber-attacchi.
 
 

Azienda paralizzata per quattro giorni, operai tutti a casa. La scialuppa di salvataggio è arrivata dai sistemi di backup offline, dai quali l'azienda è ripartita per ricostruire, mattone dopo mattone, la propria rete aziendale. A raccontare l'episodio, avvenuto di recente in un'azienda del settore metalmeccanico, è Michela Bonora, responsabile della divisione security di Eurosystem, azienda di Villorba che si occupa di sicurezza informatica e soluzioni IT. Un caso probabilmente simile a quello di Geox. «Quando un attacco informatico colpisce i sistemi e i dati aziendali, il lavoro di ripristino - spiega Bonora - può essere complicato e laborioso, sempre che si siano salvati i backup. Altrimenti bisogna ricostruire l'azienda da zero».

Dopo l'attacco, ripulire l'organismo digitale dal virus non è semplice: «Vanno ricreati tutti i server e i pc dopo aver verificato che il cryptolocker non sia ancora in rete. È necessaria una formattazione da zero. I malware si muovono nella rete interna, toccano tutti i pc e i server, attaccano quello più debole. Ma lasciano una scia, e noi partiamo da quella per la bonifica».

Vulnerabilità classiche?

«Sistemi operativi non aggiornati, protocolli di condivisione deboli. Rischi che crescono con il lavoro a distanza». Un rischio, secondo l'esperta di sicurezza di Eurosystem, è che stia già ticchettando il timer di una bomba destinata a esplodere tra qualche mese: «Gli attacchi rimangono silenti per mesi. Tra il momento dell'intrusione del virus e quello in cui fa danni passano in media duecento giorni, è quella che in gergo si chiama finestra di compromissione. I virus si muovono piano per non farsi scoprire, per cercare i punti deboli e preparare l'attacco». Le vulnerabilità attuali, insomma, potrebbero emergere a ottobre.

Come ci si protegge?

«Ci sono strumenti che ascoltano il traffico dati e intercettano i movimenti laterali del virus, anche basati su intelligenze artificiali che rilevano comportamenti anomali, come accessi notturni al sistema». Dietro ogni attacco, però, c'è «lo sfruttamento di una vulnerabilità umana: le mail-esca, per esempio, in questo periodo fanno leva su temi legati al coronavirus, per esempio invitando a cliccare per leggere i decreti»

La scelta: pc aziendale anche a chi lavora da casa

Colpita da un attacco informatico nel 2015, Contarina ha rivoluzionato le proprie pratiche di sicurezza digitale.Oggi, per esempio, in fase di telelavoro spinto che coinvolge praticamente un lavoratore impiegatizio su due, 120 sui 240 totali, tutti i dipendenti dell'azienda di servizi ambientali che operano da remoto lo fanno con un computer aziendale: «Anche a costo di fagli portare a casa il pc fisso dell'ufficio, monitor compreso», spiega Luca Zanini, responsabile divisione sistemi informativi di Contarina, «Non vogliamo collegamenti connpc personali magari non aggiornati dal punto di vista dei sistemi operativi e della sicurezza, cosa che rappresenterebbe una vulnerabilità per la nostra rete».

Contarina si occupa della gestione dei rifiuti in 49 comuni. Cinque anni fa un cryptolocker ha tenuto in ostaggio l'attività per un giorno intero. Sì, poteva andare peggio, ma l'azienda ha dimostrato di saper fare tesoro di quell'esperienza.

«Il virus aveva criptato i file e intaccato in parte quelli di sistema, abbiamo dovuto spegnere, ripulire, ripristinare. Per fortuna in un giorno siamo ripartiti».

Oggi come si previene un potenziale bis?

«Abbiamo aumentato il grado di sicurezza in diversi modi - racconta Zanini - a partire dai software antivirus in tutta la rete, poi applicando regole di accesso più rigide tramite i firewall».

C'è anche il fronte della formazione al personale?

«Certo, a partire dalle buone pratiche nella gestione delle mail, l'attenzione agli allegati da scaricare e aprire se non è noto il mittente. Abbiamo regole precise che vengono impartite a tutti i nuovi arrivati», spiega il responsabile della sicurezza. E poi l'attenzione non si abbassa in questo periodo di telelavoro, anzi: «Anche da remoto lavorano tutti con attrezzature dell'azienda, con VPN specifiche e protezioni, con tracciamento costante dei log degli utenti per vedere se ci sono attività sospette». Avete comprato pc portatili per tutti? «Da tempo lo forniamo, quelli che ancora hanno il fisso se lo sono potuto portare a casa, monitor compreso». 

Se le vie degli hacker sono infinite: la storia di un albergo del trevigiano 

Prenotazioni cancellate, sistema informatico "congelato", attività di fato resa impossibile. Nel mirino dei pirati informatici era finito anche un albergo trevigiano. Il meccanismo era, ancora una volta, quello del ransomware: un virus che occupa la rete interna e cripta i dati rendendoli inutilizzabili dagli stessi proprietari.

Gli hacker avevano chiesto un riscatto di cinquantamila dollari per togliere le catene digitali alla rete dell'hotel. Gli obiettivi delle incursioni sono tanti, e i più disparati. La pubblica amministrazione non è immune, anzi: enti locali e aziende sanitarie anche nella Marca hanno dovuto fare i conti con le effrazioni a colpi di bit, in questi mesi. A far gola possono essere i dati sensibili.

Nemmeno le scuole sono immuni: anche un istituto comprensivo trevigiano era finito nel mirino di un cyber-attacco, qualche mese fa: vittima l'istituto comprensivo 3-Felissent, in città, di cui fanno parte nove scuole: una dell'infanzia, sei primarie e due medie. Per colpa di un'infezione causata da un ransomware battezzato con il nome di "WannaCry", la scuola ha dovuto fare ricorso a un team di tecnici informatici per risolvere il problema, e sono serviti quattro giorni di lavoro per ripristinare il sistema operativo dei pc della segreteria dell'istituto e rimediare al danno subito.
 
Il virus è entrato nel sistema informatico, ha colpito il server interno e sequestrato tutti i file attraverso una loro criptatura. I documenti dunque c'erano, ma non si potevano usare. All'istituto era arrivata una mail che pretendeva l'invio di denaro (qualche migliaio di euro in criptovaluta, non tracciabile), il classico riscatto in bitcoin.
 
L'istituto Felissent aveva denunciato subito il fatto alla polizia postale e agli uffici scolastici provinciale e regionale. Nonostante tutti i sistemi di sicurezza attivati e gli antivirus presenti neicomputer della segreteria, la mattina dell'attacco il personale non riusciva più ad aprire i file. Erano stati resi irriconoscibili, come fossero blindati. I tecnici informatici hanno dovuto ripulire da cima a fondo i computer della scuola attraverso l'utilizzo di pc di appoggio esterni, recuperando i dati.
 
L'importanza delle formazione sul tema della sicurezza 

Doversi proteggere «per molti è solo un fastidio, un costo. Per questo motivo, come Assindustria Venetocentro portiamo avanti un discorso di formazione sui temi della sicurezza informatica, molte imprese associate ce lo chiedono. E puntiamo anche a iniziative pratiche come test anti-intrusione nelle aziende».

A parlare è Gian Nello Piccoli, vicepresidente del gruppo servizi innovativi e tecnologici di Assindustria Venetocentro. Sembra incredibile o quantomeno inspiegabile, ma dopo anni di intrusioni e danni digitali «manca ancora negli imprenditori la consapevolezza dell'importanza del tema della sicurezza informatica», dice Piccoli. Che spiega il concetto in maniera limpida: «Finché non rubano in casa tua, non metti l'antifurto. Con gli hacker purtroppo c'è la stessa concezione: proteggere la propria rete aziendale è fastidioso e costoso, per molti».

 
Salvo poi scoprire che i costi del ripristino sono ben più salati di quelli della prevenzione. «Il manager in azienda magari è consapevole dei rischi - spiega Piccoli - ma il padrone pensa che a lui non succederà. Poi i fatti, quotidianamente, dimostrano il contrario: le aziende sono vulnerabili, i disastri possono arrivare dai telefonini come dalle chiavette usb. E sono preoccupato perché questa crisi da Covid, che presenterà temo un conto salato a ottobre o novembre, spingerà molte aziende a tagliare proprio sugli investimenti in sicurezza digitale».
 
Assindustria porta avanti un lavoro di sensibilizzazione «trasversale a tutti i settori», sottolinea il vicepresidente del gruppo servizi innovativi e tecnologici, «e questa contaminazione tra comparti sta dando buoni frutti. Quello della cyber-sicurezza è uno degli argomenti caldi di questi mesi, e si intreccia strettamente con quello dell'industria 4. 0: le macchine in rete sono più esposte ai pericoli e vanno protette. In Pakistan e India ci sono super-ingegneri informatici che guadagnano 40 euro al mese: riuscire a ottenere un bitcoin come hacker per loro è il colpo della vita».
 
 

Riproduzione riservata © il Nord Est