Andrea Farina è il fondatore e presidente di Itway a Ravenna, realtà internazionale che si occupa di cyber security. Per soccorrere le aziende colpite scendono in campo anche gli hacker etici a caccia dei dati rubati nel darkweb

Quando i cattivi colpiscono, arriva la cavalleria. Se l’attacco viene dagli hacker, il soccorso tocca ad aziende come Itway. La realtà internazionale di cyber security è stata fondata a Ravenna da Andrea Farina più di vent’anni fa. A lui abbiamo rivolto un po’ di domande per capire meglio i casi ransomware.

Quale scenario si trova di fronte un’azienda attaccata?
«Se si tratta di un attacco di tipo cryptolocker ci si accorge che non c’è più la disponibilità di accesso ad alcuni dati perché sono stati cifrati e protetti da una password. A quel punto provando a fare qualunque operazione sullo schermo compare un messaggio che avvisa dell’attacco e chiede un riscatto per consegnare i codici in grado di sbloccare i dati».

C’è solo il blocco?
«Di solito avviene anche quella che in gergo si chiama esfiltrazione: una quantità di dati viene copiata dalle reti dell’azienda e si minaccia di renderli pubblici sul darkweb. Così non solo ti blocco l’attività ma metto a rischio la sicurezza aziendale».

I dati prelevati vengono selezionati in modo da raccogliere materiale davvero delicato?
«Non sempre chi sferra un attacco ha il tempo per queste valutazioni. Si copiano dati che possono contenere informazioni importanti».

L’azienda riesce a sapere quali dati sono in mano agli hacker?
«Chi si occupa di soccorrere le aziende sotto attacco ha dei cosiddetti hacker etici che si sanno muovere sul darkweb cercando di individuare questi dati sottratti per capire meglio qual è il rischio effettivo e magari fare un po’ di bonifica. Itway ha una ventina di ingegneri con questi compiti».

La sottrazione di dati non avviene solo con attacchi informatici esterni, come dice il recente caso di Leonardo.
«Nel 50-60 percento delle violazioni di dati si tratta di dipendenti infedeli che colpiscono dall’interno. E la percentuale era fino all’80 percento una decina di anni fa. Il caso più noto al grande pubblico è quello della lista Falciani con i nominativi sottratti dalla banca Hsbc (tra cui quello della figlia di Raul Gardini, ndr)».

Un’azienda attaccata è costretta a fermarsi completamente?
«Dipende dalle dimensioni e dalla struttura della sua rete informatica. Diciamo che se ci sono fino a 40-50 postazioni di lavoro si ferma tutto. Oltre a quella dimensione la differenza la fa se c’è la segmentazione della rete: in quel caso si può arginare il contagio».

Le squadre di soccorso da dove cominciano?
«Bisogna fare quello che abbiamo sentito dire spesso in questo periodo di pandemia: trovare il paziente zero. Nel caso dell’informatica significa individuare il computer da cui il malware è entrato. Le statistiche dicono che dall’attacco al ripristino completo ci vogliono 45-75 giorni».

Quanto studio c’è dietro a un attacco?
«Sono gruppi criminali che lavorano per settori. Guardano alla notorietà del marchio. Di recente è successo a Campari, Luxottica, Ferrero: i primi due non sono riusciti a contenere i problemi».

Anche Enel è finita sotto attacco con un riscatto di 15 milioni di dollari.
«Nel settore ha stupito molto che un’azienda come quella sia stata colpita. Sono stati prelevati qualcosa come 50 terabyte di dati. Per capirci: un terabyte è circa 140 milioni di fogli A4 scritti in word».

La cifra del riscatto come viene calcolata?
«Sulla dimensione dell’azienda e sul calcolo della potenziale sanzione del Garante per la privacy: ai sensi del Gdpr, se viene individuata una scarsa protezione dei dati, ci può essere una sanzione che arriva al 4 percento del fatturato. È successo a Grandi Navi Veloci: per loro è stato un colpo da qualche centinaio di migliaia di euro. Ma anche alla British Airways».

Pagare o non pagare il riscatto?
«Mai pagare. La tentazione c’è per tutti ma è sbagliato perché non si ha mai la certezza di essere liberi. Chi garantisce che dopo il pagamento verranno distrutti i dati sottratti? So di aziende che l’hanno fatto pensando di cavarsela una volta per tutte e poi si sono ritrovate ancora sotto ricatto».

In caso di violazione di dati, o data breach, il Gdpr prevede la segnalazione alle autorità entro 72 ore. A quel punto cosa succede?
«Un nucleo speciale della guardia di finanza può fare accertamenti: professionisti molto preparati. L’azienda è tenuta a dimostrare cosa ha fatto per evitare l’attacco: non dobbiamo dimenticare che spesso le aziende maneggiano dati sensibili di cittadini e per questo è richiesto che li proteggano. Non è detto che se c’è stato l’attacco allora è stata per forza gestita male la protezione».