Potrebbe essere l’ultimo esempio di bracconiere digitale trasformato in guardiacaccia.
Dopo che la banda di ransomware AlphV/BlackCat ha attaccato MeridianLink il mese scorso, gli hacker hanno deciso che la società di software non si era conformata alle nuove regole della Securities and Exchange Commission (Sec) per la divulgazione degli incidenti informatici. Hanno quindi notificato all’autorità di vigilanza questa mancanza, pubblicando una foto del modulo in cui la banda evidenziava questo “problema preoccupante”, scrive il Financial Times.
Gli hacker, tuttavia, si sono sbagliati.
Le regole, che richiedono alle aziende di pubblicare un avviso pubblico entro quattro giorni dall’identificazione di un incidente di sicurezza informatica “rilevante”, non entreranno in vigore prima della metà di dicembre.
Ma la mossa ha certamente attirato l’attenzione: “Nella misura in cui abbiamo discusso sul fatto che questa regola aggiunga un altro strumento alla cassetta degli attrezzi degli hacker, questo lo rende molto chiaro”, afferma Erez Liebermann, partner dello studio legale Debevoise & Plimpton. “La Sec ha messo gli hacker al posto di guida”.
COSA PREVEDONO I NUOVI REGOLAMENTI RIGUARDO GLI ATTACCHI INFORMATICI
I nuovi regolamenti stanno superando i limiti di quelle che sono le migliori pratiche generalmente riconosciute nella comunità informatica: una maggiore trasparenza è un’arma importante contro l’assalto dei criminali online. Secondo EY, il numero noto di attacchi informatici è aumentato del 75% negli ultimi cinque anni. Il costo di 20 miliardi di dollari degli attacchi ransomware nel 2021 è stato 57 volte superiore a quello del 2015. Secondo Cybersecurity Ventures, il costo degli attacchi ransomware, pari a 20 miliardi di dollari nel 2021, è stato 57 volte superiore a quello del 2015 e si prevede che aumenterà ancora fino a 265 miliardi di dollari entro il 2031.
AZIENDE ANCORA INDIETRO RIGUARDO LA SICUREZZA INFORMATICA
Nonostante l’impennata dell’attività criminale, molte aziende non hanno ancora provveduto a chiudere a chiave porte e finestre, e molti consigli di amministrazione non sanno abbastanza per chiedersi il perché. Meno del 70% delle aziende Fortune 100 cita le competenze in materia di sicurezza informatica nella biografia di almeno un direttore. Solo il 16% ha dichiarato che la gestione del rischio include simulazioni o test della risposta alle incidenze. “Mi stupisce completamente il fatto che continuiamo a non fare le cose di base”, afferma un ex politico statunitense. “Se le aziende si dedicano all’igiene informatica di base e dispongono di un back-up intelligente, quasi certamente non avranno mai una giornata veramente negativa”.
LE REGOLE DELLA SEC NEGLI STATI UNITI PER LE AZIENDE CHE SUBISCONO ATTACCHI INFORMATICI
Le regole della Sec hanno suscitato preoccupazione, anche da parte della Camera di Commercio degli Stati Uniti. La soglia di quattro giorni per la divulgazione delle informazioni è impegnativa e dovrà essere applicata in modo ragionevole: date le incertezze (e il panico generale) dopo che si viene a conoscenza di una violazione significativa, le informazioni possono essere parziali o frequentemente modificate man mano che se ne accerta l’entità o la gravità. I consulenti sostengono inoltre che preoccuparsi degli annunci potrebbe distrarre dal contenimento di un incidente e che ammettere che un hack è “materiale” conferisce potere a un aggressore.
Tuttavia, l’impulso globale è quello di condividere le informazioni per il bene del sistema. Nell’esempio più estremo, la trasparenza radicale e la collaborazione tra il settore pubblico e quello privato sono accreditate per aver contribuito a contenere gli attacchi informatici in Ucraina dallo scoppio della guerra con la Russia.
COME SI STANNO MUOVENDO I GOVERNI IN OCCIDENTE
In generale, i governi sono stati troppo lenti nell’insistere sulla condivisione delle informazioni per costruire un quadro completo della criminalità informatica e, cosa fondamentale, per offrire alle aziende un supporto non giudicante per gestire gli attacchi o contenere i danni. Gli Stati Uniti e l’Unione europea hanno ampliato gli obblighi di segnalazione degli incidenti alle autorità per i settori considerati infrastrutture critiche. Il mese scorso l’Australia ha proposto di estendere l’equivalente a tutta l’economia.
In parte, le politiche di divulgazione potrebbero cercare di scoraggiare i pagamenti di ransomware, eliminando l’opzione di firmare un assegno (o consegnare qualche criptovaluta) e far sparire tutto in silenzio. Nel settore dei servizi finanziari, che tende a fare da apripista, l’autorità di regolamentazione dello Stato di New York richiede alle aziende di notificare e giustificare il pagamento di un’estorsione.
LA SEGRETEZZA NON AIUTA
La segretezza, in definitiva, non può aiutare. Ciaran Martin, ex capo del National Cyber Security Centre del Regno Unito, vede un parallelo con le norme europee sulla protezione dei dati: “Con tutti i suoi difetti, il Gdpr ha eliminato un diritto molto problematico di nascondere un problema e questo è stato un bene”. Gli Stati Uniti utilizzano sempre più spesso le informazioni ricevute volontariamente per lanciare avvertimenti pubblici, come hanno fatto il mese scorso sulla base di un rapporto di Boeing sul bug Citrix Bleed. Le regole della Sec fanno un ulteriore passo avanti in termini di rapidità con cui investitori, clienti e fornitori saranno avvisati di un nuovo rischio.
INCORAGGIATI GLI INVESTIMENTI NELLA CYBER RESILIENZA
Per lo meno, secondo i consulenti, la necessità di comprendere rapidamente un attacco informatico, valutarne la gravità e quindi concordare una divulgazione potenzialmente imbarazzante sta trasformando la pianificazione aziendale su come gestire gli incidenti. Ciò dovrebbe incoraggiare una maggiore attenzione e investimenti nella resilienza, oltre a garantire che le preoccupazioni in materia di cyber siano sentite e ben comprese ai vertici delle aziende. Il che, ovviamente, è come dovrebbe essere da tempo.
(Estratto dalla rassegna stampa estera a cura di Epr Comunicazione)
