L'interruzione dei concessionari di auto ha messo in difficoltà le concessionarie per giorni. Secondo gli esperti, questa è la nuova normalità per i cyberattacchi.
L'attacco più recente a ricevere ampia attenzione continua questa tendenza: un incidente cibernetico in corso presso CDK Global, la cui software utilizzano i concessionari automobilistici per gestire tutto dal programma a partire dal programma fino ai record, ha paralizzato i concessionari da giorni ormai, senza una chiarita fine in vista.
A maggio, un ciberattacco su Ascension, una rete non profit basata a San Luis, Missouri, con 140 ospedali in 19 stati, ha costretto il sistema a deviare ambulanze da diversi dei suoi ospedali. Ha preso quasi un mese per risolvere completamente il problema.
E in febbraio un attacco di ransomware su Change Healthcare, una controllata di UnitedHealth Group, ha causato interruzioni di fatturazione in farmacie in tutta l'America e minacciava di mettere fuori business alcuni fornitori di assistenza sanitaria.
Gli esperti affermano che i pirati informaticici stanno diventando più sofisticati e possono nascondersi nei sistemi di un'organizzazione per lungo tempo senza essere rilevati. Questi pirati attaccano aziende in stile supply chain, prendendo in giro intere industrie per estorcere più denaro. E certe industrie che spesso utilizzano sistemi obsoleti, come la sanità, diventano ancora più facili obiettivi.
“Non possiamo addirittura paragonare cosa succedeva dieci anni fa a quello che succede oggi”, Dror Liwer, co-fondatore di Coro, una azienda di cybersecurity, ha detto a CNN. “(I pirati informaticici) sono nel gioco per guadagni molte più grandi di prima.”
Perché gli attacchi siano così distruttivi
I pirati informaticici non sono solo più sofisticati, ma sono anche più pazienti, Liwer ha aggiunto.
I pirati si nascondono all'interno del quadro di un'organizzazione per un po' di tempo e si spostano lateralmente attraverso quel quadro, influenzando molte parti del sistema. Attendono fino a quando è la giusta ora per lanciare gli attacchi. E il più tempo che i pirati attendono, più grande è il danno.
“Quando (i pirati) fanno partire l'attacco e eseguono, è veramente paralizzante per l'organizzazione, che genera ancora più entrate per loro”, Liwer ha detto.
Gli esperti con cui CNN ha parlato hanno dichiarato che è difficile ottenere dettagli specifici sui singoli attacchi cibernetici subito. Per una cosa, le aziende vogliono proteggere la reputazione del loro marchio dalla potenziale azione legale. Inoltre, le organizzazioni potrebbero non volere rivelare dettagli specifici dell'attacco prima che un'indagine sia conclusa, i tecnici hanno aggiunto, in caso ci siano copie.
Eric Noonan, CEO di CyberSheath, un fornitore di cybersecurity, ha detto che gli attacchi di ransomware tipicamente penetrano attraverso canali come un messaggio di phishing. Questi penetramenti possono andare inosservati per giorni o anche settimane mentre il pirata si sposta lateralmente.
La distribuzione effettiva di ransomware è spesso rapida e ampia, Noonan ha aggiunto. La maggior parte delle vittime scopre di essere stata hacked una volta che perdono accesso a importanti file o ricevono note di estorsione digitali.
“Il ransomware è l'equivalente digitale di squattatori che occupano una casa. L'ingresso iniziale va inosservato, consentendo ai squattatori di occupare e controllare la proprietà e alla fine i proprietari scoprono che c'è un problema solo quando è troppo tardi per riprendere il controllo e la proprietà”, Noonan ha detto.
Anche se le aziende utilizzavano sistemi meno interconnessi nel passato, il passaggio al cloud e la dipendenza dai sistemi terzi, pur aiutando le operazioni quotidiane, creano sistemi complessi più sospettibili di attacchi diffusi.
“Creano una sorta di obiettivo e aiuta gli attaccanti a concentrare le loro attenzioni su specifici tipi di infrastruttura o specifiche piattaforme cloud”, Noonan ha aggiunto.
E i pirati stanno attaccando organizzazioni che servono nel settore di approvvigionamento di industrie. Attaccando il software di CDK, ad esempio, i pirati sono riusciti a mettere in piedi l'industria dei concessionari automobilistici in ginocchio. Change e Ascension, grandi catene ospedaliere, non erano in grado di offrire adeguata assistenza ai loro molti rami. Questo dà ai pirati sfruttamento per chiedere somme di denaro sempre maggiori, ha detto John Dwyer, direttore della ricerca di sicurezza di Binary Defense, una società di soluzioni cybersecurity.
Anche se i pirati hanno più sfruttamento, la probabilità di riuscire a pagare un riscatto e a riprendere rapidamente i sistemi è elusiva, hanno detto gli esperti.
“Non c'è mai stata una storia scritta su una compagnia che abbia pagato un riscatto e quindi abbia rapidamente ripristinato i suoi sistemi”, Noonan ha detto.
La sanità è un facile obiettivo
Noonan ha detto che l' problema non è che i pirati informaticici siano necessariamente più avanzati, ma che molte organizzazioni mancano di sistemi moderni aggiornati. La maggior parte delle organizzazioni non fa esercitazioni di risposta agli incidenti, per cui è taking longer to recover from these massive hacks.
“Molto della nostra infrastruttura critica è ancora molto indietro in termini di essere pronti per riconoscere i minacce cibernetiche quando appaiono, ma in modo ancora più importante, recuperare da esse”, Noonan ha detto.
Un rapporto dell'FBI ha trovato che i pirati informaticici hanno mirato più frequentemente sul settore sanitario e di pubblica salute e sui siti critici e le installazioni governative.
Come le sistemi diventano sempre più interconnessi, c'è solo cos'è che una impresa possa fare per tenere aggiornata la sua sicurezza cibernetica – specialmente quando si affida a sistemi terzi, come fanno i concessionari automobilistici con CDK.
“I concessionari automobilistici non sono nel business della sicurezza informatica, quindi non sono realmente in grado di proteggere quel tipo di sistema. È in mano al fornitore”, Cliff Steinhauer, direttore della sicurezza informatica e di ingaggio alla National Cybersecurity Alliance ha detto.
Steinhauer ha anche detto che è un gioco continuo di “gatto e topo”.
“Ogni volta che fissiamo qualcosa, il pirata può ancora romperlo. E essi solo devono essere giusti una volta, noi deviamo essere giusti ogni singola volta”, Steinhauer ha detto.
Gli attacchi ospedalieri stanno aumentando. Una infermiera che lavora all'ospedale Ascension Providence Rochester Hospital vicino a Detroit, Michigan, ha precedentemente detto a CNN che l'attacco di ransomware sui reti è “mettendo in pericolo la vita dei pazient
Altri affermano che la sanità è bersagliata a causa della tecnologia obsoleta, ha dichiarato Steven McKeon, fondatore e CEO delle aziende software MacguyverTech e MacNerd, in un comunicato stampa. Questa tecnologia aiuta i pazienti a richiedere rilavi delle prescrizioni, a visionare i risultati dei test e a programmare visite, ma è anche più sospetta a essere hackerate.
CNN ha contattato Ascension e Change per richiesta di commento.
Come prevenire lunghe interruzioni
Dwyer ha detto che le aziende possono fare un lavoro migliore utilizzando esperti esterni poiché molte squadre di sicurezza interne sono piuttosto piccole. Le migliori esempi utilizzano una squadra interna che è esperta delle sistematiche interne dell'organizzazione e assoldano fornitori di sicurezza informatica esterni per rafforzare le loro dimensioni.
Le aziende possono anche mettere in place sistemi in grado di esaminare la sicurezza a livello d'intera azienda.
Altri affermano che dovrebbero essere stabilite norme minime di sicurezza informaticaa per le società quotate in borsa. Queste norme minime dovrebbero essere viste come cinturini di sicurezza e airbag, Noonan ha detto — non preveniranno gli incidenti, ma meglio prepareranno le società.
“C'è molte aziende software o produttori critici o parti della catena di approvvigionamento degli americani che non hanno mai sentito parlarci – queste aziende, le applicazioni e il software o le parti che producono, finché non sono più disponibili. C'è molta altra CDK's fuori da qui”, Noonan ha detto.
Ha contribuito a questo rapporto CNN Sean Lyngaas.
I hacker stanno sempre di più mirando a settori con sistemi obsoleti, come la sanità, per ottenere più denaro dalle attacchi di ransomware. Questi attacchi possono interessare molte parti di un sistema, con i hacker nascosti indetectati per un po' di tempo prima di lanciare gli attacchi. Ad esempio, l'incidente cibernetico al CDK Global ha paralizzato i concessionari di automobili per giorni, dimostrando come colpire un settore chiave possa mettere tutta l'industria in stallo.
Con la crescente interconnessione dei sistemi, le aziende possono fare un lavoro migliore utilizzando esperti esterni per rafforzare le misure di sicurezza informatica, specialmente quando si affidano a sistemi esterni come fanno i concessionari con CDK. L'introduzione di norme minime di sicurezza informaticaa obbligatorie per le società quotate in borsa potrebbe anche aiutare meglio a preparare le società per tali attacchi.
