“le implicazioni di Cyber Security nella implementazione frettolosa del telelavoro”
Da malattia lontana, propria dei soli paesi orientali ed oggetto di attenzione principalmente da parte della comunità scientifica, il nuovo Coronavirus COVID-19 è diventato una triste realtà anche in Svizzera. Le ultime statistiche rilasciate dall’Ufficio Federale della Sanità Pubblica (UFSP) sono molto chiare: all’11 marzo, 645 persone sono risultate positive al test e 4 persone sono decedute - tra cui 1 di queste proprio nel Cantone Ticino -, dimostrando mai come prima la concretezza di tale minaccia per la salute pubblica.
Oltre ai rischi sanitari che il COVID-19 sta causando al nostro paese, non devono assolutamente essere trascurati tutti i rischi indiretti derivati dalla diffusione del virus, tra cui il rischio informatico. Ricerche condotte a gennaio 2020 da IBM X-Force e Kaspersky (https://exchange.xforce.ibmcloud.com/collection/18f373debc38779065a26f1958dc260b, https://usa.kaspersky.com/blog/coronavirus-used-to-spread-malware-online/20213/) hanno già dimostrato come i criminali informatici abbiano praticamente sfruttato il nuovo Coronavirus per effettuare efficaci campagne di phishing contro privati ed aziende, sfruttando ansia, paura ed allarmismo. Tali campagne, infatti, erano caratterizzate dall’invio di mail apparentemente provenienti da enti sanitari ufficiali e contenevano allegati Word, PDF oppure video MP4 con presunte istruzioni su come proteggersi dal virus oppure metodi di rilevamento della malattia. In realtà, una volta aperti, i file scaricavano malware sulla macchina della vittima (per esempio, il noto Emotet) aventi lo scopo di rubare password bancarie, cifrare i documenti a bordo della macchina per poi chiedere un riscatto oppure infettare a loro volta altri computer della rete locale.
Per contenere quanto più possibile la diffusione del COVID-19, da circa una settimana l’UFSP consiglia ufficialmente il telelavoro (smart working, home office) ad aziende e privati svizzeri come misura utile, in conformità con gli altri paesi europei.
Seppure innegabili i vantaggi di tale soluzione dal punto di vista sanitario, il telelavoro, se mal implementato, può concretamente diventare un’ulteriore arma a vantaggio dei criminali informatici per poter colpire direttamente da Internet e mai rapidamente come prima le infrastrutture interne delle aziende, con potenziali gravissimi danni a confidenzialità, integrità e disponibilità di dati riservati e/o servizi erogati (per esempio, data breach, blocchi della produzione industriale, ecc.).
Quali sono i principali rischi derivati dal telelavoro? Security Lab propone la seguente lista:
- Modifica delle regole dei firewall aziendali ed esposizione su Internet di servizi interni. Per poter attivare quanto più velocemente possibile lo smart working e rendere raggiungibili da Internet servizi interni aziendali, le società potrebbero frettolosamente optare per l’esposizione diretta degli stessi su Internet dai propri firewall, magari senza neppur revisionare le regole di DMZ. All’interno delle reti aziendali, è prassi trovare sistemi non adeguatamente aggiornati, non difesi da antivirus oppure senza corretta protezione TLS del canale solo perché considerati “servizi interni” e quindi protetti “dal perimetro esterno”. Indubbiamente, se esposti, tali sistemi sarebbero i primi a cadere per mano di eventuali aggressori esterni, consentendo loro accesso diretto all’infrastruttura interna aziendale;
- Abilitazione indiscriminata di utenze di dominio all’accesso alla VPN aziendale. Allo scopo di evitare l’esposizione di servizi interni su Internet ma consentire comunque a tutti i dipendenti il proprio lavoro, in emergenza alcune aziende potrebbero abilitare tutte le utenze di dominio all’accesso alla VPN aziendale, magari senza nemmeno implementare una 2-Factor Authentication e senza definire le Access Control List di servizi raggiungibili. In un comune audit di sicurezza, risulta possibile recuperare il 60/70% delle credenziali aziendali semplicemente utilizzando dizionari e regole ben noti oppure effettuando ricerche su database pubblici di password leak. È sufficiente compromettere anche una sola di tali credenziali perché un aggressore possa ottenere accesso completo alla rete aziendale target direttamente da Internet;
- Scambio insicuro di file riservati ed abuso di risorse cloud. In mancanza di infrastrutture di scambio ed archiviazione dati adeguatamente predisposte, alcuni dipendenti potrebbero optare per condividere informazioni riservate mediante strumenti di messaggistica insicuri oppure con risorse cloud non verificate. Oltre a raccomandare ai dipendenti di non effettuare mai il caricamento di alcun documento confidenziale su sistemi di terze parti non approvati dalla compagnia (l’atto stesso di caricamento, di fatto, costituirebbe un breach), si consiglia di verificare scrupolosamente tutti i fornitori terzi e relativi contratti di outsourcing prima di procedere a qualunque utilizzo in produzione;
- Comunicazione di ordini aziendali mediante soli mezzi telematici. In caso di impossibilità per le persone di incontrarsi fisicamente, ogni decisione, ordine oppure disposizione aziendale deve obbligatoriamente passare mediante mezzi telematici quali mail oppure telefono, con conseguenti rischi di attacchi di Social Engineering. Ancora oggi, diverse società risultano sprovviste di meccanismi di protezione base delle mail quali SPF, DKIM o DMARC, oppure cadono in campagne di phishing (con ratei di click di oltre il 50%) effettuate tramite mail provenienti da domini registrati ad-hoc con nomi simili a quelli target;
- Utilizzo di dispositivi personali insicuri. Nella vicina Italia, il Ministro per la Pubblica Amministrazione ha autorizzato mediante circolare ufficiale i dipendenti ad “utilizzare propri dispositivi, a fronte dell’indisponibilità o insufficienza di dotazione informatica da parte dell’amministrazione, garantendo adeguati livelli di sicurezza e protezione della rete secondo le esigenze e le modalità definite dalle singole pubbliche amministrazioni” (http://www.funzionepubblica.gov.it/articolo/dipartimento/04-03-2020/emergenza-covid-19-emanata-la-circolare-n-1-del-4-marzo-2020). Se non sottoposti ad audit di sicurezza completi, i dispositivi personali potrebbero nascondere molteplici insidie al loro interno. Già negli assessment di sicurezza aziendali, si osservano ancora numerosi dispositivi con sistemi operativi non più supportati (Windows 7 in primis), con browser non allineati agli ultimi aggiornamenti oppure con software a bordo di terze parti vulnerabile. La governance aziendale potrebbe essere messa ulteriormente a dura prova se ad essere usati sono anche i dispositivi personali dei dipendenti.
In conclusione, il nuovo Coronavirus COVID-19 non rappresenta per privati ed aziende solo una minaccia sanitaria ma può comportare anche una concreta minaccia informatica. Paura e fretta potrebbero far cadere personale non adeguatamente formato nelle trappole del phishing oppure spingere aziende a commettere passi falsi nell’adozione del telelavoro. Ricordando ancora una volta il principio “security is a chain, strong as the weakest link” (“la sicurezza è una catena, forte tanto quanto il suo anello più debole”), mai come prima è necessario un approccio rigoroso, ponderato e competente per affrontare e risolvere il problema.