Se un tempo poteva essere un pensiero secondario, oggi la protezione dei dati è una priorità quotidiana per le aziende. Al di là di normative come il GDPR e l'imminente NIS2, il costo medio globale di una violazione dei dati è di 4,45 milioni di dollari. L'impatto finanziario può essere ancora peggiore se i dati di produzione sono compromessi - da una violazione o da un errore interno - con conseguenti tempi di inattività. Per le aziende, i tempi di inattività costano più di 1 milione di dollari all'ora, e in alcuni casi raggiungono i 5 milioni di dollari all'ora. Con il 37% dei server che hanno subito almeno un'interruzione imprevista nel 2023, ormai si tratta di una lotta costante. Tuttavia, è necessaria una maggiore formazione, poiché troppe convinzioni sbagliate possono lasciare le aziende impreparate. Ecco tre miti sulla protezione dei dati che devono essere sfatati nel 2024.

Partecipa agli ItalianSecurityAwards 2024 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative

I Cloud Provider fanno il backup

Le aziende sono ormai abituate a conservare dati e carichi di lavoro nel cloud. Un esempio su tutti: le violazioni della sicurezza nel cloud hanno superato quelle che si verificano sui server on premise. Questo non è un giudizio sul fatto che uno dei due sia più sicuro dell'altro, ma dimostra lo spostamento dell'equilibrio del potere, o dei dati, per l'organizzazione moderna.

Nonostante ciò, esiste ancora un diffuso fraintendimento del modello di responsabilità condivisa del cloud. Uno studio del 2023 ha rilevato che il 43% dei responsabili dei dati IT ritiene erroneamente che i fornitori di cloud siano responsabili della protezione e del ripristino dei dati nel cloud. Non è così. Sebbene i cloud provider garantiscano un certo livello di resilienza e ridondanza per i dati che ospitano, la loro responsabilità principale è quella di mantenere la disponibilità e l'integrità della loro infrastruttura.

Questo malinteso deriva dalla convinzione che i cloud provider si occupino di tutto una volta effettuata la migrazione. Si è soliti pensare all'analogia secondo cui l'on-premise è come cucinare a casa, mentre il cloud è come cenare fuori. Questo è fuorviante. È più simile all'affitto di una cucina completamente attrezzata: ci si deve aspettare che i fornelli funzionino (e siano sicuri), ma se si brucia il cibo, la responsabilità è vostra.

Il backup dei dati e il disaster recovery sono spesso responsabilità condivise. Il cloud provider offre gli strumenti e le funzionalità, ma spetta al cliente configurare e gestire i backup in base alle proprie esigenze. Se volete scaricare queste responsabilità a terzi, potete farlo con il Backup-as-a-Service (BaaS) e la Platform-as-a-service (PaaS), ma non sono pratiche standard.

Il pagamento del riscatto

Il ransomware rimane la principale minaccia per le violazioni dei dati e le interruzioni di sistema. Il Veeam Data Protection Trends Report 2024 ha rilevato che tre organizzazioni su quattro hanno subito almeno un attacco ransomware lo scorso anno, e un quarto è stato attaccato più di quattro volte. Il recupero dal ransomware è una sfortunata realtà delle aziende moderne, eppure troppe organizzazioni finiscono per pagare. Un’indagine sulle vittime di ransomware ha rilevato che l'81% delle organizzazioni ha pagato il riscatto, mentre solo il 54% è riuscito a recuperare i propri dati e il 27% non è riuscito a recuperarli.

Tuttavia, solo alcune persone comprendono questo processo, in particolare tra i non addetti alla sicurezza o dell'IT. Ma cosa accade dopo il trasferimento di fondi in Bitcoin e l'invio del pagamento agli aggressori? All'inizio, spesso, non succede nulla. Il ransomware non è come creare un account Netflix. Non si ottiene un accesso istantaneo a ciò per cui si è pagato: bisogna aspettare. Nei casi più sfortunati, l'attesa dura per sempre e non viene mai fornita alcuna chiave di decrittazione. È più probabile che alla fine le chiavi vengano fornite, ma vale la pena notare che anche questo non è una garanzia di restituzione dei dati. Secondo la stessa indagine, una vittima su quattro che ha pagato non è riuscita a recuperare i propri dati.

Il malinteso di base si fonda sul fatto che non è tanto il rischio che si corre nel pagare il riscatto, ma quanto tempo ci vuole per recuperare i dati. Non si tratta di un'attività "point-and-click"; la decrittazione è un'operazione piuttosto manuale, con chiavi di decrittazione che sbloccano solo un piccolo numero di file alla volta. Non è come sbloccare la porta di un magazzino, si deve sbloccare ogni singolo item all’interno. Alcuni gruppi vi faranno addirittura pagare di più per chiavi aggiuntive per rendere il processo più veloce! Non c'è da stupirsi che, in media, il recupero da un attacco ransomware richieda poco più di tre settimane.

Alessio Di Benedetto di Veeam

I backup dopo un attacco ransomware

Gli esperti di resilienza al ransomware di tutto il settore si sono impegnati a fondo per contrastare il pagamento del ransomware ed educare le organizzazioni su come il backup dei dati e il ripristino dei sistemi siano un modo molto più sicuro, affidabile ed etico per riprendersi da questo tipo di attacchi. Sebbene oggi praticamente tutte le organizzazioni prendano sul serio il backup (tanto più che regolamenti come il NIS2 dell'UE lo rendono un obbligo di legge per molti), molte sono meno preparate di quanto pensino quando si tratta di usare il backup per riprendersi da un evento come il ransomware.

Quando arriva il momento del rispristino da un attacco ransomware, ci sono alcuni errori da evitare. Il primo è che il backup potrebbe essere stato preso di mira e compromesso durante l'incidente. Infatti, in tre attacchi su quattro, gli aggressori potrebbero colpire i repository di backup. Quindi, come ovviare a questo problema? Avere più backup, avere backup immutabili e mantenere una versione offline. Un altro ostacolo che le organizzazioni incontrano è quello di non avere un ambiente pronto per il ripristino dei dati. A volte le organizzazioni si rendono conto solo quando è troppo tardi che l'ambiente che ospita i carichi di lavoro, sia esso cloud o on-premise, spesso non è disponibile per qualche tempo. È compromesso o "isolato" come una scena del crimine attiva. Se scoppia un incendio nella vostra cucina, non potete sostituirla finché l'edificio stesso non è stato controllato e messo in sicurezza. Quindi, è necessario un ambiente in cui recuperare i dati di backup durante un'interruzione. Se si tratta di un cloud, assicuratevi che il vostro team sia tecnicamente a proprio agio con il funzionamento di quel cloud specifico: nessuno vorrebbe dover fare il refactoring dei dati o imparare nuove specifiche del cloud nel bel mezzo di un'emergenza.

Garantire la protezione e la resilienza dei dati non ha mai fine. È necessario adattarsi costantemente alle nuove minacce e tecnologie. Ciò significa educare continuamente noi stessi o gli specialisti responsabili e gli stakeholder, come la leadership senior, la finanza e la compliance. Alcune diffuse credenze sbagliate possono rendere un'organizzazione vulnerabile o più lenta nel rispondere alle esigenze di protezione dei dati aziendali. La conoscenza è potere e l'ignoranza è una beatitudine finché le cose non cominciano ad andare male.

Alessio Di Benedetto è Technical Sales Director Southern Emea di Veeam