Gli attacchi ransomware stanno aumentando a livello globale e rappresentano una minaccia crescente per le aziende di tutte le dimensioni. Questo articolo spiega come funzionano questi attacchi, quali conseguenze possono avere e quali misure preventive devono essere adottate per proteggere l’azienda.
Cos’è un ransomware?
Un ransomware è un malware che cripta i file presenti sul computer della vittima e sui dischi di rete collegati, rendendo tali dati inaccessibili per l’azienda. Attacchi di questo tipo possono causare danni considerevoli, paralizzando l’attività e compromettendo dati sensibili. In genere, i criminali informatici chiedono il pagamento di un riscatto per sbloccare i dati.
Secondo l’Ufficio federale per la cibersicurezza (UFCS), una PMI su tre è già stata vittima di un attacco informatico. I ransomware rappresentano un pericolo particolarmente elevato per le PMI, poiché spesso non dispongono delle risorse necessarie in materia di sicurezza informatica, di piani di emergenza né di riserve finanziarie sufficienti per affrontare un attacco. È quindi essenziale che le PMI adottino misure preventive e implementino un piano di emergenza per limitare i danni e proteggere la propria attività a lungo termine.
Come funziona un attacco ransomware?
Le principali porte d’accesso dei ransomware sono i sistemi scarsamente protetti e le e-mail contenenti allegati infetti (phishing). Una volta che il malware è installato nel sistema, cripta i dati. L’aggressore richiede poi un riscatto, spesso in criptovaluta, per ripristinarli.
Oggi quasi tutti gli attacchi ransomware sono accompagnati anche da un’esfiltrazione di dati. Pertanto, non è sufficiente concentrarsi solo sul ripristino dei sistemi, ma è necessario valutare anche le potenziali conseguenze di una fuga di dati.
Quali sono le conseguenze di un attacco ransomware?
Un attacco ransomware può avere molteplici conseguenze dirette e indirette per una PMI.
Sotto pressione, alcune PMI decidono di pagare il riscatto, nonostante le autorità ne sconsiglino fortemente la pratica. Tuttavia, non esiste alcuna garanzia che i dati saranno effettivamente ripristinati dopo il pagamento.
In ogni caso, i costi per il recupero dei sistemi sono elevati. Un attacco comporta anche perdite di fatturato dovute all’interruzione dell’attività.
Nel peggiore dei casi, un attacco ransomware può anche comportare una perdita di fiducia da parte della clientela, con ripercussioni durature sull’azienda.
Misure di protezione contro i ransomware
- Backup regolari: assicuratevi di effettuare frequenti backup dei dati e di conservarli in modo sicuro, ad esempio applicando la regola 3-2-1: 3 copie dei dati, su 2 supporti differenti, con 1 copia conservata off-site.
- Aggiornamenti regolari: i ransomware sfruttano spesso vulnerabilità non corrette. Installate gli aggiornamenti disponibili per tutti i software e dispositivi il prima possibile. Blocco degli allegati sospetti: configurate la vostra piattaforma di posta elettronica per bloccare i file potenzialmente pericolosi.
- Formazione dei collaboratori: sensibilizzate il personale sui rischi legati alle e-mail di phishing e formate i dipendenti sulle buone pratiche di cybersicurezza. Alcuni fornitori propongono video e formazioni regolari.
- Utilizzo di software di sicurezza: installate soluzioni di protezione aggiornate, come antivirus e firewall, su tutti i terminali connessi a internet.
- Preparazione e prevenzione: sviluppate e attuate politiche interne, procedure e piani di comunicazione per affrontare attacchi ransomware nell’ambito di un piano di continuità operativa. In caso di emergenza, ogni responsabile deve sapere esattamente cosa fare.
Cosa fare in caso di attacco ransomware?
Le seguenti misure devono essere adottate in caso di attacco:
- Isolamento dei sistemi infetti: scollegate immediatamente i dispositivi compromessi dalla rete per impedirne la diffusione. Disattivate le connessioni Internet, e-mail e VPN tra sedi.
- Ripristino dei dati: controllate i backup e metteteli subito in sicurezza. Devono essere fisicamente scollegati dalla rete infetta (“messi offline”) il prima possibile. Utilizzateli per ripristinare i dati cifrati.
- Non pagare il riscatto: l’UFCS sconsiglia formalmente di cedere alle richieste dei criminali informatici. È vivamente raccomandato non contattarli, ma discutere i passi successivi con la polizia.
- Contattare un esperto: se internamente non disponete delle competenze necessarie, rivolgetevi a un fornitore specializzato in sicurezza informatica (Security Incident Response Service), che potrà aiutarvi nella gestione dell’incidente e nella relativa analisi.
- Segnalare l’incidente: informate le autorità competenti e il vostro servizio IT. L’UFCS raccomanda sempre di sporgere denuncia.
- Secondo l’articolo 24 della nuova Legge federale sulla protezione dei dati (nLPD), in vigore dal 1° settembre 2023, qualsiasi violazione della sicurezza dei dati deve essere notificata all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) se comporta un rischio elevato per i diritti delle persone interessate.
- La notifica deve essere effettuata il prima possibile.
- Modulo di notifica online: https://databreach.edoeb.admin.ch/report
- Se sono coinvolti dei dati personali, l’azienda deve rispettare anche il GDPR, a seconda della propria ubicazione.
A partire dal 1° aprile 2025, i gestori di infrastrutture critiche saranno obbligati a segnalare qualsiasi incidente informatico, incluso un attacco ransomware, all’UFCS entro 24 ore dalla scoperta.
- Assicurazione cyber: l’assicurazione cyber può attivare immediatamente misure d’emergenza. Assicuratevi di avere tutti i numeri importanti disponibili offline. L’assicurazione può fornire supporto finanziario e contribuire, in modo preventivo, al miglioramento delle misure di sicurezza.
