Non è solo una questione di riscatto
di Michele Pinassi*
SIENA. Ormai tutti sappiamo, più o meno, cos’è un ransomware: una particolare tipologia di malware che, una volta che ha compromesso i sistemi attaccati, utilizza la cifratura e l’esfiltrazione dati come leva per convincere la vittima a pagarne il riscatto. Questa tipologia di attacco è piuttosto costosa, in media quasi 1 milione e 850.000 $ nel 2023 [1].
Questa cifra monstre, comprende, tra costi diretti e costi indiretti, almeno 7 “capitoli di spesa” da considerare:
- costi causati dal blocco dei sistemi. Secondo alcune stime, ogni minuto di downtime ha un costo stimato medio di 5600$;
- costi dell’eventuale pagamento del riscatto, più o meno un 15% del valore dei dati esfiltrati/cifrati;
- costi reputazionali dell’azienda: la compromissione dei propri sistemi non è un bel biglietto da visita;
- costi diretti della perdita dei dati, connessi alle esigenze di recupero da eventuali backup oppure dalla ricostruzione dei datasets perduti;
- costi assicurativi relativi all’aumento del premio della polizza;
- costi operativi per il ripristino dei sistemi, inclusi costi del personale specialistico che dovrà intervenire;
a cui possono facilmente aggiungersi altre voci di costo, tra cui quella relativa a cause legali ed eventuali sanzioni del Garante della Privacy, a cui l’azienda potrebbe andare incontro in seguito all’incidente, e i costi connessi alle esigenze di migliorare la propria infrastruttura informatica (nei momenti critici questi costi tendono a lievitare, rispetto a investimenti ponderati in situazioni di tranquillità).
Vediamoli uno a uno.
Blocco dei sistemi
Che sia totale o parziale, che investa un sistema critico oppure uno secondario, il blocco dell’operatività rappresenta comunque un danno conseguente all’attacco. Non è una coincidenza, ovviamente, che in caso di attacco ransomware siano i sistemi critici i primi ad essere colpiti: le ransomware gang sanno dove colpire per fare più male possibile e invogliare la vittima a pagare. Inoltre, alcune piattaforme sono generalmente più vulnerabili di altre e questo è uno dei motivi per il quale mantenere i sistemi costantemente aggiornati è fondamentale. Al netto di eventuali 0-day, ovviamente, per i quali una buona dose di fortuna è sempre gradita.
Il riscatto
Lo sappiamo bene che ransomware è l’unione di due parole, tra cui “ransom“, che significa, appunto, “riscatto”. Secondo uno studio di Sophos[2], nel 2024 le cifre richieste per il riscatto dei dati sono aumentate esponenzialmente, toccando una media di 2 milioni e 730.000 USD, con un aumento medio di 1 milione di $ rispetto al 2023. Seppure parliamo di cifre indicative, che dipendono essenzialmente dal valore sia dell’azienda che dei dati esfiltrati, queste cifre danno un’idea valida di quanto doversi trovare a pagare un riscatto per poter proseguire il business sia impattante, economicamente parlando.
La reputazione
È forse uno degli aspetti meno considerati ma, purtroppo, nella società dell’informazione in cui le notizie si diffondono velocemente e capillarmente in tutto il globo terracqueo, il business può subire contraccolpi rilevanti a causa di un attacco ransomware. Non sarà solo valutato l’impatto diretto dell’attacco ma anche tutte le fasi di remediation e di contenimento dei danni conseguenti, iniziando dalle strategie di comunicazione messe in atto anche nei confronti degli interessati, come ad esempio i clienti, i partner commerciali, dipendenti e via dicendo, i cui dati personali sono finiti nelle mani degli attaccanti.
Perdita dei dati
Nella famosa triade CIA, l’Integrità dei dati è un elemento base della sicurezza informatica. La perdita dei dati non è solo la distruzione degli stessi ma anche la compromissione della loro integrità. Sono elementi che hanno un costo, tanto più elevato quando mancano adeguate politiche di backup. Se il recupero dalle copie di sicurezza ha comunque un costo (storage, operatività, recupero…), immaginate quanto può essere il costo della perdita totale o compromissione irrimediabile di dati strategici o essenziali al business.
Costi assicurativi
Siete stati previdenti e avete deciso che valeva la pena affidarsi a una società assicuratrice per spostare una parte del rischio verso terzi (in questo caso, la compagnia assicuratrice). Se alcuni elementi di un attacco informatico non sono delegabili, stipulare una polizza assicurativa può comunque mitigare le conseguenze, almeno sotto l’aspetto economico. Solo che, come ben sappiamo, il costo del premio è proporzionale alla quota di rischio che l’evento coperto possa verificarsi. Essere stati compromessi da un attacco informatico certo non depone a favore e quindi è facile vedere il premio lievitare verso l’alto.
Costi operativi di ripristino
Che abbiate uno staff IT interno oppure una ditta esterna, i costi operativi per il ripristino dell’operatività (le stime di Statista parlano di almeno 24 giorni per il ritorno all’operatività, anche se parziale) saranno tutti a carico della vittima. Che dovrà prevedere straordinari, costi per l’ingaggio di professionisti ed eventuale acquisto di hardware supplementare.
Bonus: i costi legali e le sanzioni
At last, but not at least ci sono i costi da sostenere per la difesa da eventuali azioni legali degli interessati che hanno avuto conseguenze in seguito al data breach: molto spesso tra i dati esfiltrati ci sono anche informazioni personali, in certi casi anche riservate –come analisi mediche o informazioni finanziarie– che se pubblicate on-line[4], possono avere conseguenze anche gravi per le vittime. Oppure, ad esempio, cause a scopo risarcitorio intentate da fornitori o clienti che si sono trovati danneggiati in seguito all’attacco. A cui, ovviamente, è bene aggiungere anche le eventuali sanzioni comminate dal Garante della Privacy nel caso vi siano state inadempienze da parte del Titolare sulla protezione dei dati personali trattati[5].
Prevenire costa meno
Chi legge questo blog sa quanto sia importante la prevenzione, che passa necessariamente da interventi sia sul piano tecnico che organizzativo, oltre che procedurale. Non solo la Rete e le infrastrutture informatiche devono essere progettate, configurate e dotate di opportune misure di sicurezza e prevenzione ma anche il personale deve essere adeguatamente e periodicamente formato a intercettare, e reagire in modo corretto, alle minacce digitali. Devono inoltre essere implementate procedure chiare e adeguate, come ad esempio politiche sulle credenziali, sugli accessi alla Rete dall’esterno, classificazione dei documenti e via dicendo. La ISO 27001 è un valido riferimento a tal proposito, con particolare riferimento agli oltre 100 controlli indicati nell’Annex A “Control objectives and controls”[6].
Sitografia
[1] 100+ Ransomware Attack Statistics 2025: Trends & Cost, Astra
[2] Ransomware Payments Increase 500% In the Last Year, Sophos
[3] Average duration of downtime after a ransomware attack at organizations in the United States from 1st quarter 2020 to 2nd quarter 2022, Statista
[4] Attacco hacker ad Aoui, pubblicati dati anche dei dipendenti, VeronaSera
[5] GDPR Fines, Ransomware, and Cybersecurity: What You Need To Know, SmartData Collective
[6] ISO 27001 Annex A 7.2: A Step-by-Step Guide, grcmana
*www.zerozone.it