CIO – cosa possono imparare dalla criminalità informatica
Nad completa la rassegna della Business Continuity, pensando al modus operandi dei CIO delle aziende.
Ricordiamo che per CIO si intende il direttore informatico, ovvero il manager responsabile della funzione aziendale tecnologie dell’informazione e della comunicazione.
Secondo la ricerca di Hackmageddon sulle motivazioni scatenanti gli attacchi informatici nel 2018, circa l’80% era guidato dal cyber crime (criminalità informatica).
L’organizzazione meticolosa crescente dei gruppi criminali rappresentano un’opportunità per i Chief Information Officer (CIO) lungimiranti di capire chi e cosa stanno affrontando.
Il CIO può essere meglio preparato a mitigare i cyber risk (rischi cibernetici) all’interno dell’azienda, traducendo la psicologia – ovvero le motivazioni – e le modalità di azione di questi attori delle minacce in decisioni perspicaci e informate.
Non tutti i crimini informatici sono connessi con bande
Non tutte le bande di criminali informatici sono in realtà bande. Si tratta a volte di individui singoli, spesso con connessioni con lo stato.
Si faccia l’esempio di Alexey Belan, hacker russo che ha compromesso più di un miliardo di account. Secondo Digital Shadows, egli ha avuto accesso a wiki aziendali che hanno rivelato flussi di lavoro amministrativi e dettagli della rete privata virtuale. Semplicemente, poichè i cookie degli ambienti di staging venivano spesso riutilizzati negli ambienti di produzione, Belan ha potuto bypassare le misure di autenticazione. Ad ogni attacco, ha anche raccolto indirizzi e-mail e password, usati poi per colpire altre vittime.
Il consiglio in merito è che le chiavi e le credenziali di crittografia non debbano essere riutilizzate negli ambienti di produzione e di gestione temporanea (sviluppo…).
I CIO dovrebbero concentrarsi sui fondamentali della sicurezza
Non c’è dubbio che il cyber crimine si sia progressivamente spostato dai lupi solitari a veri e propri sindacati organizzati. Un mix terrificante di mafia e business moderno.
Un chiaro esempio è il gruppo organizzato detto Lazarus, famoso per aver investito il proprio tempo aprendo conti bancari per trasferimenti. Poi, dopo aver trovato un insider per dare una mano con l’accesso alla rete, ha infine distribuito furtivamente keylogger per ottenere le credenziali di vari account.
È importante ricordare che gli attori avanzati di minacce persistenti come Lazarus spesso approfittano dei fondamenti di sicurezza mancanti.
I CIO devono utilizzare le informazioni su tattiche, tecniche e procedure per concentrarsi su aspetti fondamentali: assegnare priorità ad aggiornamenti e patch specifici, formare i dipendenti per identificare le tattiche di phishing e configurare correttamente i dispositivi di sicurezza della rete.
I malintenzionati cercano sempre il modo più facile per entrare in una rete, come ad esempio password predefinite (di fabbrica) di server o semplici attacchi di phishing. Il CIO deve occuparsi di questo e assicurarsi che tutto il suo team sia pronto.
Ogni dipendente ha la responsabilità di concentrarsi sulla sicurezza come parte dei suoi doveri quotidiani.
Il crimine informatico è interessato solo ed esclusivamente ai soldi
Un singolo acronimo rappresenta l’intera mentalità delle corporazioni criminai informatiche: ROI o ritorno sull’investimento. Questo è il motivo per cui acquistare sul dark web credenziali rubate in precedenza e pacchetti di exploit già pronti è fondamentale ed efficace per tali operazioni.
Le motivazioni e la psicologia della maggior parte dei cyber criminali non sono complicate. Il cyber crime è il modo in cui si guadagnano da vivere.
Si prenda come esempio l’organizzazione recentemente smantellata, InFraud, che gestiva un forum nella dark-web che collegava venditori affidabili di carte di pagamento e altri preziosi dati rubati con acquirenti interessati. Si stima che InFraud, in quanto facilitatore di questo commercio, abbia causato perdite per aziende e privati per 455 milioni di euro.
I CIO possono imparare da esempi quali InFraud in molti modi.
È essenziale sapere dove sono archiviati i dati, come accedervi e come potrebbero essere esposti.
I CIO dovrebbero assicurarsi che le aziende possano rilevare l’uso insolito di credenziali valide. Le aziende che agiscono secondo legge dovrebbero provare ad emulare questi modelli collaborativi. In tal modo sarebbe possibile mitigare il cyber risk, scambiando feedback, conoscenze, informazioni e tecniche tra fornitori, gruppi di risposta ad emergenze informatiche e imprese private .