INDICE
Malware, ransomware e DDoS sono tra le minacce informatiche più spesso colpiscono le aziende: si tratta di attacchi molto gravi che sono puniti dalla legge come reato.
Le loro conseguenze variano a seconda del tipo di attacco. Alcuni hanno lo scopo di rendere temporaneamente inaccessibili i sistemi informatici aziendali; altri quello di impedire l’accesso ai dati fino a quando la vittima non paga un riscatto.
Dalle PMI alle multinazionali, nessuna impresa può ritenersi al sicuro e protetta contro questi pericoli. Conoscere queste minacce – e sapere in quali ipotesi esse costituiscono reato – è il primo passo da fare per proteggere la vostra azienda e tutelare i vostri database.
Ransomware & Co.: panoramica delle principali minacce cyber
Malware, ransomware e DDoS sono termini molto usati nella pratica. Per proteggersi adeguatamente da queste minacce, però, non basta “conoscerle per nome”. Dobbiamo capirne i meccanismi di funzionamento e le caratteristiche principali per pianificare una strategia difensiva adeguata.
Daremo quindi alcune indicazioni utili per capire come funzionano questi attacchi informatici e in quali ipotesi costituiscono reato.
Attacchi malware
Con la parola malware indichiamo una categoria generale di software dannosi. Rientrano in questa categoria virus, worm, trojan horse e spyware.
Il programma può avere la forma di codice eseguibile, script, o altro file apparentemente innocuo in cui viene inserito il software dannoso.
Il malware può colpire ogni genere di computer o device mobile ( tablet e smartphone). Viene diffuso Dai cybercriminali al fine di danneggiare i sistemi informatici, rubare o criptare le informazioni presenti sul dispositivo, usare il device all’insaputa del suo titolare.
La vittima può installare il malware volontariamente (come nel caso di un dipendente rancoroso che voglia “farla pagare” al proprio datore di lavoro), o involontariamente (per esempio tramite una pendrive USB apparentemente abbandonata). In questa seconda ipotesi – più frequente – l’utente apre il file apparentemente innocuo dopo averlo ricevuto da terzi (via email e social media) o scaricato dalla rete (es. software scaricato da uno store non ufficiale).
Non perderti il nostro approfondimento: “È reato diffondere un virus informatico, un worm o un malware?”
Ransomware: il malware più cattivo
I ransomware rappresentano una categoria particolare di malware, in grado di bloccare l’accesso ai componenti principali della rete o crittografare i dati presenti su un device, rendendoli inaccessibili all’utente. Gli attacchi più sofisticati, poi, prima di cifrare i dati ne estrapolano una copia, che gli attaccanti possono minacciare di diffondere nel dark web se la vittima non si piega alla richiesta di riscatto.
Dopo aver effettuato la cifratura, il cybercriminale intima alla vittima il pagamento di un riscatto per ottenere il ripristino di quei dati. In genere, il pagamento viene richiesto sotto forma di criptovalute. Rifiutando l’offerta, l’utente perderà definitivamente la possibilità di recuperare le informazioni criptate (qui il nostro articolo su come difendersi dagli attacchi ransomware).
I ransomware sono progettati per propagarsi all’interno del dispositivo e cifrare tutti i dati possibili a disposizione. Per questo motivo, esso rappresenta una minaccia molto grave per le imprese. Quando il computer infetto è collegato alla rete aziendale, il ransomware può propagarsi e colpire anche altri dispositivi ad essa collegati, compromettendo così l’intero intranet d’impresa.
Esempi recenti di attacchi ransomware sono quelli che hanno colpito la Regione Lazio e l’ospedale San Giovanni di Roma.
Attacchi DDoS (Distributed Denial of Service): basta un malware…
Gli attacchi DDoS (acronimo di Distributed Denial of Service, letteralmente “interruzione distribuita del servizio”) sono una minaccia informatica molto diversa dai ransomware. I DDoS sono la versione più sofisticata e su larga scala degli attacchi DoS (Denial of Service). L’azione si basa sull’invio di numerosissime false richieste di accesso a sistemi informatici, data center o reti di distribuzione, allo scopo di sovraccaricarli.
I sistemi attaccati, non riuscendo a far fronte a tutte le richieste ricevute, si bloccano e collassano in tutto o in parte. Questi enormi flussi di traffico esauriscono la larghezza di banda disponibile, cosicché tutti coloro che cercheranno di accedere al sistema informatico non potranno farlo e si vedranno “negato l’accesso”. Gli effetti di un simile attacco possono protrarsi per ore o addirittura giorni.
Negli attacchi DoS la fonte di traffico informatico che satura il sistema è unica. In sostanza, le richieste di accesso provengono tutte da un’unica parte (es. un account o un device). Nel DDoS, invece, le fonti di traffico informatico sono molteplici, e questo complica notevolmente la struttura della minaccia.
Per ripristinare il funzionamento del sistema, infatti, sarà necessario molto più tempo, e un dispendio maggiore di risorse. In queste ipotesi l’attacco è anche più efficiente, in quanto un maggior numero di richieste è in grado di mandare in tilt il sistema in meno tempo.
Possono essere vittime di attacchi DDoS sia soggetti privati, sia le cosiddette infrastrutture critiche, come, ad esempio, ospedali e aeroporti.
I DDoS attacks sono strettamente collegati alla categoria dei malware. Spesso infatti i cyber-criminali pianificano queste minacce servendosi di un insieme di computer precedentemente compromessi da uno o più malware (cosiddetta botnet). I dispositivi infetti permettono agli attaccanti di assumere il controllo delle macchine e di far eseguire loro le operazioni necessarie per far collassare il sistema preso di mira.
Gli attacchi malware, ransomware e DDoS possono costituire reato?
Tutte queste minacce hanno lo scopo di bloccare o limitare l’attività dell’organizzazione aziendale, ostacolandone il funzionamento.
Ma questi attacchi informatici assumono anche rilevanza penale? Detto altrimenti, chi pianifica e/o esegue queste azioni illecite commette reato?
La risposta è certamente positiva.
Tutti questi attacchi informatici possono infatti ricadere in una delle ipotesi di reato informatico previste nel Codice Penale. Tra le disposizioni che sanzionano queste forme di attacco ricordiamo soprattutto l’articolo 615‐quinquies c.p. e gli articoli 635-bis ss. c.p.
Queste norme sono state pensate dal legislatore per garantire una tutela estesa alle vittime di attacchi ransomware e simili. Si tratta di disposizioni tra loro collegate: mentre l’art. 615‐quinquies c.p. punisce la semplice diffusione di strumenti in grado di danneggiare un sistema informatico, a prescindere dal fatto che a ciò segua effettivamente un danno, gli artt. 635-bis ss. c.p. puniscono il danneggiamento vero e proprio di questi sistemi.
Analizziamo le norme appena citate nel dettaglio.
Il reato di diffusione di ransomware e altri programmi in grado di danneggiare un sistema informatico
L’art. 615‐quinquies c.p. sanziona la diffusione di dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico o i dati e programmi che esso contiene.
Perché possa ritenersi commesso questo reato non serve quindi che si dia corso ad un vero e proprio attacco informatico, né che esso abbia avuto esito positivo: è sufficiente la mera diffusione di malware o altre forme di software o dispositivi infetti o dannosi (per esempio tramite internet o app, o tramite pendrive fintamente “abbandonate”), a prescindere dalle conseguenze. Il vero e proprio danneggiamento informatico è infatti punito da un’altra norma (art. 635 bis c.p.), che esamineremo nel prossimo paragrafo.
Questi programmi o files dannosi – spesso di tipo malware – possono essere messi in circolazione sia da terzi malintenzionati sia da persone interne all’azienda, anche se in buona fede.
Può accadere, ad esempio, che un lavoratore disattento apra un messaggio di posta elettronica o scarichi un programma dannoso dal web utilizzando il computer “di lavoro” e, così facendo, riceva un ransomware che circolerà poi nell’intranet aziendale.
Seguendo la classificazione già proposta nella Guida ai reati informatici in azienda possiamo quindi qualificare gli attacchi malware e ransomware come una minaccia sia interna sia esterna all’azienda.
Fate molta attenzione: il delitto di cui all’art. 615‐quinquies c.p. può dare luogo anche a responsabilità dell’ente in base al D.lgs. n. 231/2001.
Il reato di danneggiamento di informazioni, dati e programmi informatici
L’altra ipotesi di reato collegata a un attacco informatico del tipo ransomware o DDoS è quella prevista dagli articoli 635-bis e seguenti c.p.
Tutte queste norme disciplinano delle fattispecie molto simili tra loro.
L’art. 635-bis c.p. punisce il danneggiamento di informazioni, dati e programmi informatici. Scopo della norma è quello di proteggere il patrimonio aziendale, in particolare quei beni intangibili (es. software, files) che sono spesso difficili da tutelare. In particolare, sono punite sia le ipotesi di danneggiamento materiale (es. cancellazione o riscrittura dei files) sia le ipotesi di “danneggiamento” informatico (es. cifratura) di files e programmi.
Seguendo la classificazione già proposta nella Guida ai reati informatici in azienda possiamo qualificare questo reato come una minaccia interna ed esterna all’azienda.
Anche in questo caso la commissione del delitto di cui all’art. 635-bis c.p. può dare luogo a responsabilità dell’ente ex d.lgs. n. 231/2001.
Il reato di danneggiamento di sistemi informatici
L’art. 635-quater c.p. punisce invece il danneggiamento di sistemi informatici o telematici. A differenza dell’art. 635‐bis c.p. sopra citato, questa norma sanziona tutte quelle condotte che colpiscono o danneggiano i sistemi telematici, non i dati e i programmi in essi contenuti.
Semplifichiamo dicendo che che mentre l’art. 635-quater c.p. protegge il “contenitore” (sistemi informatici o telematici), l’art. 635‐bis c.p. protegge il “contenuto” (dati, informazioni, programmi). Ad esempio, tra le condotte punite rientrano i casi di manomissione di un sistema informatico o la compromissione del suo funzionamento, in tutto o in parte.
Pensiamo all’esempio di un attacco DDoS sferrato attraverso un malware. Grazie al software dannoso il cybercriminale può “entrare” nel computer della vittima e acquisirne il controllo (alterazione di informazioni, dati o programmi informatici altrui ex art. 635‐bis c.p.), mentre con il successivo attacco DDoS il colpevole danneggia il sistema informatico rendendolo inutilizzabile (ex art. 635-quater c.p.)
Anche in questo caso, seguendo la classificazione già proposta nella Guida ai reati informatici in azienda possiamo qualificare questi attacchi informatici come una minaccia sia interna sia esterna all’azienda.
Teniamo a mente che anche la commissione di questo delitto può dare luogo a responsabilità dell’ente ex d.lgs. n. 231/2001.
Danneggiamento di informazioni o sistemi informatici di pubblica utilità
Gli articoli 635-ter e 635-quinquies c.p. sono due disposizioni “gemelle” rispetto a quelle menzionate sopra.
Entrambe sanzionano comportamenti illeciti rivolti a dati e programmi, ovvero sistemi informatici, utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità.
Il legislatore ha cioè previsto una disciplina più severa per i casi “delicati” in cui il danneggiamento riguardi un’informazione o un sistema utilizzati per scopi utili all’intera collettività.
Malware, ransomware e DDoS più diffusi grazie ai social networks
Il rischio di subire attacchi malware, ransomware e DDoS è particolarmente alto per le imprese che utilizzano i social network per scopi lavorativi.
Grazie alla diffusione di account personali e delle immagini presenti sui profili personali, i cybercriminali possono sferrare attacchi ransomware e simili attraverso i social media con molta facilità. Ad esempio, si possono usare bot automatizzati per inviare richieste di accesso ai sistemi aziendali e sovraccaricarli fino a mandarli in tilt (attacco DDos).
Ancora, non dimentichiamo che attraverso i social media è possibile appropriarsi dell’identità digitale di persone a noi vicine. Il legame esistente tra la vittima e il suo presunto interlocutore (la cui identità è stata rubata dall’hacker) porterà quella persona ad “abbassare la guardia” e a fidarsi delle istruzioni ricevute. Questo aumenta enormemente le probabilità di esito favorevole dell’attacco ransomware o di altra minaccia cyber.
Ad esempio, quando il lavoratore riceve un’email o un messaggio via social network dal proprio datore di lavoro ne segue le istruzioni senza mai dubitare dell’identità del proprio interlocutore.
I criminali informatici sono a conoscenza di questa eccessiva fiducia riposta nei social media, e sfruttano questa vulnerabilità a proprio vantaggio. Assumere le vesti di colleghi di lavoro della vittima è semplicissimo: basta creare un account fake rubando il nome e la foto dal profilo autentico del conoscente e fingersi questa persona. Una volta entrati in contatto, la vittima seguirà le istruzioni ricevute senza fare domande. Così facendo il criminale potrà diffondere malware (soprattutto ransomware) prima nel computer del lavoratore, e poi in tutta la rete aziendale, controllandone i dispositivi o criptando i dati in essi conservati.
Lo sapevate che in questi tipi di truffe informatiche la persona più impersonata è proprio l’Amministratore delegato?
Proteggersi da attacchi ransomware e altre fattispecie di reato informatico
Cosa fare per proteggere la vostra azienda da queste gravi minacce?
E’ bene anzitutto affidarsi a strumenti di sicurezza come firewall, antivirus e software di rilevamento e ignorare qualsiasi messaggio o richiesta anomala.
Per evitare attacchi malware e ransomware più sofisticati è opportuno adottare un modello di sicurezza informatica multilivello. Questo consentirà all’azienda di proteggersi per diversi tipi di vulnerabilità.
Un’altra pratica per proteggersi e impedire la commissione di questo tipo di reati è ricorrere alla crittografia dei files conservati all’interno dei server aziendali.
Difendersi dagli attacchi DDoS può invece risultare molto più difficile. La soluzione in questi casi è giocare d’anticipo implementando un’infrastruttura resiliente (cluster di front-end web, database, firewall, ecc.) Per evitare la saturazione di banda e il collasso dell’infrastruttura è possibile attivare servizi di protezione ad hoc in grado di “filtrare” il traffico in entrata e bloccare le false richieste di accesso al sistema.
Infine, è bene diffidare sempre dalle richieste di collegamenti sui social network inoltrate da colleghi che non conoscete direttamente.
La regola vale anche se la richiesta di amicizia proviene da … il vostro capo.
