Cybersecurity: guardia alta sul conflitto russo-ucraino

Il conflitto russo-ucraino ha provocato gravi sconvolgimenti sul piano internazionale; anche la cybersecurity si è messa in allerta per fronteggiare nuove minacce.
Che le misure di cybersecurity fossero un pilastro importante nella nostra società non è una novità; ma che le minacce cyber potessero addirittura annidarsi nelle pieghe della guerra russo-ucraina è sicuramente motivo di grande preoccupazione.
Ma perché la cybersecurity diviene tanto importante nell’attuale confilitto russo-ucraino?
Cybersecurity e conflitto russo ucraino: questione di dati
Quando si parla di cybersecurity si fa riferimento soprattutto ai dati; e non possiamo negare l’importanza che, da sempre, questi hanno ricoperto nel corso della storia.
Basti pensare ai tentativi di decrittare i codici di Enigma, la macchina di cifratura della Germania nazista.
Il ruolo di Roberto Baldoni nella cybersecurity e nel conflitto russo-ucraino
La raccomandazione di alzare le difese informatiche contro la minaccia russa è stata lanciata da Roberto Baldoni.
Roberto Baldoni, nominato direttore dell’Agenzia per la cybersicurezza nazionale (Acn) dal premier Draghi, è sicuramente una delle massime autorità in tema di difesa informatica.
La sua nomina è arrivata a seguito dei recenti attacchi hacker alla regione Lazio, per mezzo del ransomware Lockbit 2.0.
È stata proprio l‘agenzia di Baldoni a lanciare l’allarme.
Ma vediamo, nello specifico, da quali minacce il nostro Paese si starebbe difendendo.
Diversi siti ucraini sotto cyber attacco
Diversi siti ucraini sono stati posti sotto attacco informatico poco prima dell’esplosione del conflitto.
A essere penetrate per prime, le infrastrutture digitali del Ministero della difesa e dell’esercito ucraino: i loro siti sono stati oscurati.
L’attacco si è poi riversato sul sistema bancario, minando in un colpo micidiale a tutta l’economia del Paese.
Il Los Angeles times riporta questo aspetto della guerra russo-ucraina sulle sue pagine, annunciando messaggi da numeri estoni, austriaci e polacchi, in cui si segnalava agli utenti che i loro sportelli bancari fossero fuori uso.
Infine, non sono stati risparmiati il Parlamento nazionale, il gabinetto dei ministri e il sito del Ministero degli esteri.
Tutto questo prima che, all’alba del 24 febbraio, il presidente russo Vladimir Putin annunciasse l’inizio dell’invasione militare.

Cybersicurezza e conflitto russo-ucraino: necessità di misure urgenti
Questi eventi rendono evidente come la battaglia russo-ucraina non avvenga soltanto nei territori invasi, ma anche nelle infrastrutture digitali, con conseguenze terribili sul piano internazionale.
Come riporta Shchihol, capo del servizio di intelligence tecnico e di sicurezza dell’Ucraina:
Per la maggior parte delle persone, l’inizio di questa guerra consiste nell’attraversamento dei
confini dell’Ucraina; ma la guerra nel cyberspazio è in corso. Sono anni che monitoriamo e ci
difendiamo dagli attacchi della Russia.
Ma sono riusciti, i nostri esperti, a identificare nello specifico la minaccia?
La cyber minaccia
Sin dai primi giorni del conflitto, sul sito Csirt, l’Agenzia per la cybersicurezza nazionale aveva diffuso una nota in cui segnalava la diffusione di un nuovo malware di tipo Wyper: il nome è HermeticWiper, alias KillDisk.NCV.
Il malware ha la capacità di distruggere tutti i dati presenti in un dispositivo, rendendoli irrecuperabili, e di minare irreversibilmente tutto il sistema operativo.
Vi sono prove concrete che anche il gruppo ransomware Conti – gang informatica che ha prodotto danni ad aziende italiane come San Carlo, Artsana e Clementoni – stia operando i suoi attacchi in forte collusione con Putin.
Le ripercussioni della cyber minaccia
Ciò che si teme maggiormente è il rischio di un esacerbarsi dei cyber attacchi russi su tutto il territorio europeo, soprattutto in risposta al pacchetto di sanzioni approvato dall’Europa da pochi giorni.
In particolare, il sistema dello swift.
Per quanto riguarda il nuovo continente, l’impatto di un attacco simile, in termini economici, sarebbe stimato, secondo quanto riportato dall’agenzia S&P global, con perdite di 10 miliardi di dollari su nazioni e imprese, con gravi ripercussioni e reazioni su tutto il tessuto sociale e produttivo.
I muri alzati della cybersecurity
Da par suo, l’Agenzia per la cybersicurezza nazionale si è mossa immediatamente nei confronti di enti pubblici e privati, raccomandando, sul suo portale:
“l’adozione di misure di difesa cibernetica
alte e massimi controlli interni per la protezione delle proprie infrastrutture digitali”.
L’agenzia incoraggia “di seguire le indicazioni e gli aggiornamenti pubblicati sul portale e sul profilo Twitter del Csirt Italia (Computer security incident response team)”.
Queste indicazioni contengono “alcuni indicatori di compromissione rispetto ai più recenti attacchi cyber”, al fine di orientare gli utenti e tenerli pronti rispetto a un eventuale attacco.

Le misure di cybersecurity previste
Per fronteggiare gli attacchi, l’Agenzia ha previsto sia misure di tipo organizzativo-procedurale che tecnico.
Misure di tipo organizzativo-precedurale
Fra le misure di tipo organizzativo-procedurale, L’Agenzia include:
- L’inserimento di rigide misure di sicurezza nelle attività di info sharing
- protezione ambienti cloud
- esercitazione del personale rispetto all’eventualità di minacce informatiche
- creazione di un team di risposta in caso si debba fronteggiare una crisi
- implementazione di attività di monitoraggio e logging
- identificazione e protezioni di flussi normativi in connessione con partner presso sedi ucraine
- identificazione di sevizi offline di backup per il ripristino di servizi di core business
Misure di tipo tecnico
Fra quelle tecniche, invece, si rilevano:
- il sincerarsi che tutti gli accessi remoti prevedano l’autenticazione a più fattori, soprattutto in caso di servizi aziendali rivolti verso l’esterno (extranet) e di accesso alla posta elettronica (exchange online)
- rilevazione del traffico di rete, con particolare attenzione ai picchi anomali nella connettività di rete in uscita verso destinazioni inusuali
- monitoraggio di tutti i processi di compressione o archiviazione, e dell’installazione di software di trasferimento file come Filezilla e rclone
- il porre attenzione all’installazione di software da linea di comando da cui potrebbe scaturire un dump di credenziali
- verificare le interconnessioni fra le reti IT o OT, optando, laddove possibile, per la segregazione delle stesse.
Implementazione misure di cybersecurity
A ogni modo, vista l‘imprevedibilità degli esiti del conflitto, e dei mezzi adoperati, si prevede una possibile implementazione delle misure.
Cybersecurity con Oltrematica
Oltrematica è in grado di offrirti supporto nell’elaborare una strategia di sicurezza per le tue infrastrutture aziendali, prevenendo criticità ed eventuali danni da un attacco esterno.
Contattaci per saperne di più.