Non abbiamo in questo momento stime complete dell’intero impatto di questo nuovo tentativo di estorsione (ransomwere), si parla di oltre 150 paesi con una quantità incredibile di sistemi colpiti. Sono caduti in larga parte i sistemi d’impresa, i sistemi non inseriti nelle reti aziendali sono in larga parte immuni da questo problema e quindi il paradosso vuole che tutto quanto sta fuori dall’azienda: dal pc domestico al pc del gamer incallito stanno avendo maggiore sicurezza…come possibile??
La risposta sta nella scarsa attenzione dei CIO di gestire in modo corretto il tema della sicurezza e della continuità operativa che si realizza mantenendo aggiornati i sistemi impegnati nell’impresa: aggiornati sia per il sistema operativo che per le applicazioni utilizzate. Come è noto WannaCry o meglio WanaCrypt0r 2.0 nome effettivo sfrutta una fragilità dell’SMB Windows che Microsoft aveva risolto e già distribuito dal 14 marzo a tutti i sistemi collegati alla funzione Update, ma attenzione per policy aziendale i sistemi d’impresa molto spesso non hanno accesso diretto al sistema di update Microsoft che viene mediato o aggirato a livello centrale dalla stessa impresa. Quindi sono stati colpiti tutti i sistemi non aggiornati iniziando con quelli ancora fermi a Windows XP. L’infezione arriva con una mail “trappola” che scatena il codice maligno ed ecco bloccati fino al pagamento del riscatto i file presenti nei sistemi (documenti, fogli di calcolo, foto, etc.)
In un precedente articolo sono state messe in evidenza i rischi e i pericoli per il digitalifestyle che si stanno facendo sempre più forti con la diffusione dei servizi digitali e il valore economico di questi che sta attirando interessi legati alla malavita.
Il fenomeno del ransomwere era già noto e il tipo di attacco (Eternalblue) favorito dalla pubblicazione da parte di un gruppo di hacker nel mese di aprile di un exploit in possesso del NSA (National Security Agency) si aggiunge a qualcosa di noto e che l’ITSM non poteva ignorare e lo specifico attacco detto exploit fa parte di uno stato ricorrente per il digitalifestyle che è quello di essere sempre oggetto di attacchi che la corretta valutazione del rischio impone di non ignorare.
Nello specifico caso la soluzione che annullava il rischio di WanaCrypt0r 2.0 era disponibile da almeno 60 giorni, nessuna scusa quindi.
In modo occasionale (W la sincerità ma non è così) MalwareTech ha scoperto uno switch che disattiva WanaCryptor, questo switch rappresenta di fatto un modo per aggirare le ispezioni dei sistemi antivirus e quindi lasciando di fatto inattivo il codice e le sue pericolose intenzioni. Lo switch che lo disattiva è una URL che è stata registrata prontamente dal blogger di MawareTech.
L’elenco delle vittime e devo dire illustri e di paesi a forte capacità tecnologica stupisce ancora di più come se si fosse ignorato il rischio o meglio valutato in modo teorico e mai come reale, ricordo che proprio l’ISO 22301 relativo alla continuità operativa ha la sue radici nel BS25999 le cui iniziali BS sono appunto l’acronimo di British Standard analoga considerazione vale per ISO 27000 rispetto a BS17799.
ITSM o DRM che stanno per IT Service Management o meglio Digital Service Management hanno avuto una speciale e forse terribile lesson learned che ha ridimensionato ruolo e valutazioni di chi è responsabile dei servizi tecnologici, e ci auguriamo appunto che sia stato un efficace segnale per il presente e per il futuro e che dai propri errori è possibile avere il miglioramento continuo: stato costante di molti framework ITIL compreso.
