di Francesco Pagano, Consigliere Aidr e Responsabile servizi informatici Ales spa e Scuderie del Quirinale

Una normativa finalmente organica per regolare il trattamento dei dati personali. Il GDPR, entrato in vigore nel maggio 2018, ha senza dubbio portato a un miglioramento nel panorama complessivo della cyber security. Attraverso la previsione di obblighi puntuali e, non ultimo, di un sistema sanzionatorio per chi non adegua procedure e policy a quanto previsto, il nuovo regolamento europeo sulla protezione dei dati ha obbligato numerosi soggetti ad adeguarsi a quelle best practice che consentono di tutelare la riservatezza dei dati e la privacy degli utenti.

Negli ultimi mesi, però, gli esperti di sicurezza hanno lanciato un allarme riguardante un “effetto collaterale” del regime sanzionatorio introdotto con il GDPR. A sfruttare la normativa a loro vantaggio sono pirati informatici specializzati negli attacchi alle aziende che, normalmente, utilizzavano per le loro operazioni i cosiddetti crypto-ransomware. Questa tipologia di malware è progettata per agire in chiave estorsiva ai danni della vittima, attraverso la codifica tramite crittografia di tutti i dati e documenti presenti sui computer infetti.

Chi subisce un attacco di questo tipo si trova in una situazione paradossale: tutti i dati sono presenti sui suoi sistemi, ma non può accedervi senza la chiave crittografica che è in possesso dei pirati. Lo schema, ormai adottato da numerosi cyber criminali, prevede poi la richiesta di un “riscatto” (a volte milionario) per ottenere la chiave di decodifica e ripristinare i dati presi “in ostaggio”. Inutile dire che il meccanismo nasconde numerose insidie e che percorrere la via del pagamento del riscatto è estremamente rischioso. La cronaca, infatti, ha registrato numerosi casi in cui i pirati informatici non hanno fornito la chiave crittografica nonostante il pagamento o, addirittura, hanno reiterato l’estorsione. La reazione corretta a un attacco di questo genere, così come confermano forze di polizia ed esperti di cyber security, prevede la denuncia del data breach e il ripristino dei dati attraverso strumenti specializzati o, in assenza di alternative, dei backup di sistema.

Negli ultimi mesi, però, i pirati informatici hanno modificato il loro modus operandi per poter esercitare una pressione maggiore sulle loro vittime. Oltre a crittografare i dati, togliendone la disponibilità al legittimo proprietario, esfiltrano una copia di tutti i documenti. Nel documento che richiede il pagamento del riscatto, a questo punto, viene anche ventilata la minaccia di pubblicare online tutti i dati, innescando un meccanismo per cui l’azienda vittima dell’attacco rischierebbe anche di subire le (salatissime) sanzioni previste dal GDPR.

A inaugurare questa strategia nel dicembre 2019 è stato un gruppo come Sodinokibi, seguito a ruota da altre gang di cyber criminali specializzati in attacchi ransomware. Uno di questi, chiamato Maze, ha addirittura creato un sito sul Dark Web in cui vengono sistematicamente pubblicati i dati rubati alle vittime che non cedono al ricatto. L’invito, in pratica, è quello di pagare il riscatto per poter tenere sotto silenzio l’accaduto ed evitare le indagini sul data breach da parte dell’autorità garante. Inutile dire che, anche in questo caso, il fatto che i cyber criminali rispettino i patti è tutt’altro che garantita. Sono molti i casi in cui, nonostante il pagamento, le informazioni sottratte sono state comunque divulgate, mettendo le vittime in una situazione ancora più complicata di fronte alle autorità. L’intera vicenda conferma la sorprendente creatività dei pirati informatici e, allo stesso tempo, come la linea per contrastarne l’attività possa passare solo da una rigorosa e puntuale esecuzione delle procedure. Qualsiasi “scorciatoia” rischia infatti di trasformarsi in un vero disastro.