Il costo del rischio IT

227

La tecnologia evolve velocemente e con essa evolvono anche i rischi collegati, spingendo sull’acceleratore dei costi aziendali

Il termine malware raccoglie una vasta casistica: dai virus ai worm, dai cavalli di Troia ai rootkit, dal phishing agli adaware. Capirne l’evoluzione significa potersi proteggere minimizzando i costi collegati.
È un processo discontinuo, con fasi in cui le minacce sono una combinazione dell’esistente e momenti di rapido e profondo cambiamento. Non solo da un punto di vista tecnologico, cioè delle tecniche utilizzate per creare, diffondere e nascondere il malware, ma anche in termini di organizzazione e obiettivi di chi lo utilizza. Il rischio da gestire è la somma di entrambi i fattori. Avere coscienza di questi due distinti rami dell’evoluzione è molto importante. Chi infatti ritenesse di fondare la propria protezione (ovvero focalizzare i propri investimenti) esclusivamente sull’analisi del rischio tecnologico farebbe un significativo errore di valutazione.

I principali salti evolutivi tecnologici
Dall’inizio dell’era informatica la tecnologia ha visto molti salti evolutivi. Ecco i più significativi:

Nascita dei Worm – Il concetto di virus è sempre stato parte dell’informatica: un programma in grado di fare cose all’insaputa dell’utente di un sistema. Era ed è facile inserire codice malevolo in programmi legittimi, o camuffare un virus da programma legittimo. Il loro problema era la incapacità di replicarsi in modo efficace. Con la nascita dei worm appare un nuovo malware che ha il suo punto forte proprio nella capacità di diffondersi rapidamente e efficacemente.
Polimorfismo – I primi malware erano “facilmente” identificabili dai programmi di protezione. Questi operavano essenzialmente sulla base di pattern matching, ovvero sul riconoscimento di specifiche sequenze di caratteri nei file. Il polimorfismo ha introdotto la capacità di auto-modificarsi, in modo da apparire sempre diversi, rendendo difficile la vita agli antivirus.
Stealthing – Inizialmente il malware era disegnato per essere piccolo, veloce e facile a riprodursi. Una volta che il suo compito fosse stato esaurito, poteva anche essere scoperto. Progressivamente però, sulla scia dell’evoluzione degli obiettivi, nacque l’esigenza di avere malware che sapesse nascondersi, ovvero che potesse far sembrare al sistema ospite che tutto è normale, compreso all’eventuale software di sicurezza. Ciò ha creato un nuovo filone di sviluppo che ha portato a tecniche sempre più sofisticate di stealthing. È una branca molto ampia: dai sistemi in cui il malware opera alla intercettazione e/o modifica delle comunicazioni tra sistemi. In quest’ultimo caso ricadono ad esempio i meccanismi di sniffing e di phishing.

… e quelli non tecnologici
Di pari passo con l’evoluzione tecnologica, e talvolta come traino della stessa, si sono evolute le motivazioni e gli obiettivi dietro allo sviluppo e utilizzo di malware. Ciascuna fase non ha completamente soppiantato le altre, che continuano a esistere, ma è divenuta dominante.

Sperimentazione e promozione personale – Agli albori della tecnologia e delle comunicazioni, scrivere malware era un modo per spingere al limite le (scarse) risorse informatiche disponibili. Spesso proprio scavalcando le limitazioni dei sistemi si riusciva infatti a ottenere risultati altrimenti impensabili. Era anche un modo per “primeggiare” in questo campo, dimostrando con i fatti di saperne più di altri.
Business o vendetta personale – Con la diffusione di Internet e la progressiva pervasività della tecnologia emerge un uso più fraudolento del malware, volto a trarne benefici, anche finanziari. In parallelo diviene anche strumento di rivalsa verso torti subiti o presunti tali. Il tutto rimane comunque a titolo personale o di piccoli gruppi.
Business su larga scala – La successiva espansione di Internet e dei servizi di pagamento online ha aperto le porte a vere organizzazioni criminali in grado di gestire volumi d’affari significativi. Si va dal furto di identità alla vendita di informazioni, dall’invio di mail spazzatura alla gestione di schiere di computer, controllati ad insaputa dei legittimi proprietari, da usare per scatenare attacchi su commissione. In parallelo è fiorita l’industria della generazione di strumenti per la creazione di malware, da vendere a chi non ne ha le competenze.

E i costi?
Strategie d’uso e tecniche sottostanti al malware si sono evolute nel tempo, affinandosi, componendosi in cocktail sempre più sofisticati. L’evoluzione dei costi connessi con la protezione da malware si è caratterizzata secondo due direzioni precise: la protezione dei singoli sistemi informativi e quella almeno perimetrale delle comunicazioni. Gli investimenti sono stati progressivi, molto spesso congiunti a quelli di evoluzione tecnologica dell’infrastruttura da proteggere. In questo senso i costi sono stati allocati come parte del budget di evoluzione ICT. Fa eccezione solo la formazione specifica degli utilizzatori dei sistemi, che è considerata come budget dei dipartimenti delle Risorse Umane.

Stuxnet: un nuovo orizzonte
Fino all’inizio 2010 questo era lo scenario. Poi qualcosa è cambiato, e di molto. Questo qualcosa si chiama Stuxnet. La prima comparsa è del Giugno 2009 ma la variante più importante è dell’Aprile 2010. All’inizio è parso uno dei tanti malware con un mix di tecnologie note, e quindi non gli è stato dato peso, ma ci si è dovuti ricredere.
Tecnicamente Stuxnet è un worm, ma ha caratteristiche che lo rendono diverso dai predecessori. Sono proprio queste ad aprire nuovi scenari di rischio e di costo. Non è il primo caso di malware che si “occupa” di impianti industriali. Tuttavia è il primo caso in cui è disegnato per spiarli, danneggiarli e che modifica i chip PLC (Programmable Logic Controller) addetti al controllo dei macchinari. Inoltre i worm tendono a essere generalisti, mentre Stuxnet è disegnato per colpirne un tipo specifico di controller: i sistemi Siemens SCADA (Supervisory Control and Data Acquisition) disegnati per gestire alcuni processi industriali. In particolare è pensato per applicare una precisa modifica ai controllori di uno specifico tipo di motori, in modo da variarne il funzionamento in un modo particolare (frequenti accelerazioni e decelerazioni) atte a causare un danneggiamento ben determinato, e non altri.
E non è tutto: è un concentrato di tecnologie allo stato dell’arte. Sa inserirsi con tecniche di sniffing avanzato nel mezzo di comunicazioni tra sistemi; mutare; porre attacchi multi-layer, con certificati originali; mascherare la propria presenza ingannando anche sistemi di controllo e verifica della consistenza delle configurazioni che esso ha modificato; catturare dati sensibili e mandarli a destinatari remoti; tutelare i propri creatori da eventuali ritorsioni legali, fino ad autodistruggersi.
Per ammissione della stessa Siemens, la sua rimozione dai sistemi che rappresentano il suo target è molto complessa. Se è infatti più semplice eliminarlo dai sistemi Windows usati come ponte, è molto difficile fare la stessa cosa dai controller PLC in cui si fosse insediato.
Ma la cosa che sorprende di più è la presenza di molti exploit Zero-Day, che come sappiamo sono invece centellinati. Ciò denuncia chiaramente la volontà di riuscire nell’intento e un disinteresse per il costo dell’intera operazione. E in effetti agli esperti che hanno “smontato” questo software è apparso che si tratta dell’opera di un team di super professionisti, per la qualità e per l’ammontare di competenze e risorse necessarie alla sua creazione, difficilmente disponibili anche ai più accreditati creatori di malware o organizzazioni illecite. Il tutto si traduce in una ulteriore differenza: è inusualmente grande (500 KB). Stuxnet è quindi una nuova generazione di malware creata da una nuova tipologia di obiettivi, e quindi di creatori. Creatori più potenti di quanto visto in precedenza. Il target non è più il nostro PC, che diviene solo il primo dei passi (tipicamente tre) per raggiungere il target finale: un particolare componente di uno specifico impianto industriale.


Scenari e rischi futuri

Lo scontro sulla sicurezza è nell’immaginario collettivo la battaglia tra tecnologie digitali. Qui si apre un nuovo scenario: una tecnologia digitale che opera per sabotare strumenti essenzialmente meccanici. Certo, si tratta di strumenti pilotati da dispositivi elettronici, ma non più dell’elettronica che si trova in una lavatrice. Il rischio nuovo è quindi la vulnerabilità di tutti quei sistemi nevralgici di tipo ancora elettro-meccanico, ovvero a bassa automazione, che sono predominanti nelle infrastrutture di molte aziende e Paesi. E che con la pervasività della domotica saranno sempre più parte anche delle nostre case. Se infatti nei sistemi ad alta automazione vi è già una notevole attenzione al rischio informatico, in questi altri ambienti prevale ancora la credenza che essendo a bassa automazione siano immuni da attacchi. E pertanto le loro difese sono ancora basse.
Ciò ha un immediato impatto sui costi aziendali. Se infatti fino a ora il budget allocato sul fronte sicurezza era destinato al solo comparto ICT, ora si aprono nuovi scenari di investimento: da un lato l’allargamento della base su cui è necessario investire in modo continuativo (nuovi running cost), dall’altra l’incombenza di recuperare un gap che può essere sostanziale (aggiunta di numerosi nuovi costi one-off). Per mitigare il secondo problema possono aiutare metodologie di quantificazione del rischio quali CVSS, ma il fatto rimane: siamo a una svolta con un significativo impatto finanziario.