I criminali informatici hanno nel mirino quattro settori industriali

Sebbene le aziende di tutti i settori e di tutte le dimensioni stiano registrando un forte aumento degli attacchi hacker, i criminali informatici hanno intenzioni diverse dietro questi incidenti. Per tutti i gruppi target, la pubblicazione o la divulgazione illegale di informazioni è associata a grandi disagi, tuttavia tali incidenti colpiscono maggiormente il settore finanziario e quello sanitario. L'ampio spettro di attacchi all'IT con altre intenzioni è attualmente rivolto in particolare ai fornitori di SaaS/software, seguiti dal settore finanziario, dalle aziende manifatturiere e dal settore sanitario.

Settore target 1: Sanità

Ospedali, compagnie di assicurazione sanitaria e altre organizzazioni sanitarie si affidano sempre più spesso a servizi di piattaforma per condividere e gestire i dati dei pazienti e altre informazioni importanti. Le pressioni di razionalizzazione e l'accelerazione della trasformazione digitale nel contesto della pandemia o di iniziative come la cartella clinica elettronica stanno aumentando l'esigenza di digitalizzare i processi, dallo scambio di dati alla programmazione degli appuntamenti o persino alle note di malattia. Inoltre, il numero di endpoint sta crescendo, ad esempio nel cloud o attraverso l'Internet degli oggetti.

Il rapido aumento del numero di sistemi, applicazioni e utenti sta ampliando la superficie di attacco. Basta un solo attacco a un fornitore di servizi IT come Bitmark per avere un impatto massiccio sulle operazioni di un ospedale. Gli ospedali sono anche obiettivi lucrosi per gli attacchi di ricatto, poiché non possono tollerare tempi di inattività o perdite di dati nell'interesse della salute dei pazienti o addirittura a causa del rischio per la loro vita. Anche i legislatori stanno rafforzando o ampliando le loro iniziative di conformità. I produttori di dispositivi medici, per esempio, sono ora interessati anche dai nuovi requisiti NIS 2. I periodi di grazia per la conformità al GDPR sono finiti da tempo: il commissario per la protezione dei dati di Amburgo ha imposto una multa di 105.000 euro nel 2022 per il ripetuto invio di lettere mediche errate e per la mancanza di una funzione di log per l'accesso ai dati dei pazienti.

Settore target 2: Fornitori di servizi finanziari

Il cliente bancario digitalizzato di oggi, che si aspetta la stessa facilità delle transazioni bancarie sul proprio smartphone come quando ordina su Amazon e allo stesso tempo la sicurezza del caveau di una banca o la riservatezza di un incontro faccia a faccia in una filiale, è il fattore di rischio che sta trasformando l'eBanking. Vengono prese di mira sia le banche stesse che, nella stessa misura, i fornitori di servizi specializzati come il partner per il cambio di conto di Deutsche Bank, Postbank o ING o la filiale della cassa di risparmio Deutsche Leasing. Gli aggressori trasferiscono all'istituto di credito preso di mira metodi generali specifici del settore, come il ransomware o gli attacchi BEC (Business Email Compromise): i cybercriminali si fingono manager o altre persone di alto livello per indurre i dipendenti a trasferire fondi o a divulgare informazioni riservate.

I fornitori di servizi finanziari sono quindi sottoposti a un'ampia pressione normativa: oltre alla legge sul segreto bancario e sull'antiriciclaggio, allo standard PCI DSS per le carte di credito e ai tradizionali standard di settore, il Digital Operational Resilience Act (DORA), in vigore da gennaio per le società finanziarie e i loro fornitori di servizi IT, richiede anche il monitoraggio dei comportamenti anomali. Ciò richiede la visibilità dei sistemi, dei processi e del traffico di dati nell'infrastruttura IT al di là dell'endpoint tradizionale.

Settore target 3: Aziende di produzione

I sistemi e i processi digitalizzati, automatizzati e sempre più basati sul cloud nella produzione e nella catena di fornitura stanno ampliando la superficie di attacco. L'industria manifatturiera è un obiettivo importante per le spie informatiche di matrice statale che vogliono distruggere le infrastrutture critiche e rubare la proprietà intellettuale. Rheinmetall ha respinto con successo un sospetto attacco russo. Gli interessi economici sono stati la forza trainante dell'attacco al fornitore di ricambi per auto Bilstein Group, come esempio di industria automobilistica sotto pressione. Una sicurezza informatica inadeguata, dispositivi vulnerabili e sistemi non correttamente configurati sono fattori di rischio per scenari di attacco noti, che di solito iniziano con un attacco di phishing. Non sorprende quindi che, oltre allo standard industriale ISO 27001, ulteriori normative stiano creando nuovi compiti informatici. La NIS 2 sta diventando rilevante per un numero sempre maggiore di aziende industriali, ora che il legislatore ha ulteriormente ampliato il gruppo di aziende "importanti" o "essenziali" interessate, includendo anche le piccole aziende con 50 o più dipendenti.

Settore target 4: SaaS e software

I fornitori di software-as-a-service e i produttori di software stanno guidando la trasformazione digitale. In quanto early adopter di nuove tecnologie, sono i soggetti più a rischio. La volontà intrinsecamente positiva di innovare può esporre queste aziende a nuovi pericoli che le persone coinvolte non sono ancora in grado di comprendere appieno.

Come punto di partenza per attacchi a cascata di vasta portata, la catena di fornitura con il software è un gateway con un elevato effetto di dispersione per attacchi opportunistici, inizialmente automatici. In ultima analisi, i clienti possono bloccare i prodotti gravemente colpiti da cui dipendono. Nel caso dell'attacco al fornitore dell'app per videoconferenze 3CX nell'aprile 2023, gli aggressori sapevano di poter compromettere migliaia di altre aziende con un solo attacco.

Il giovane settore, con un'alta percentuale di start-up, soffre anche più spesso di una carenza di risorse, di specialisti in sicurezza informatica e di budget IT limitati. Ciononostante, deve ancora affrontare il compito della sicurezza informatica, in quanto gli investitori controllano gli sforzi dei candidati all'investimento in questo senso quando prendono decisioni su investimenti di capitale di rischio, acquisizioni o rilevamenti.

Protezione informatica di base contro gli aggressori generalisti

Solo alcuni hacker cercano vulnerabilità specifiche del settore fin dall'inizio o inviano e-mail di spear phishing con destinatari elaborati. La prima linea di difesa in ogni settore deve quindi essere una protezione di base IT all'avanguardia contro gli aggressori opportunisti, che ricerchi automaticamente le vulnerabilità con vari metodi.
La base di questa protezione informatica di base è una visione completa in tempo reale di tutti i processi IT legittimi, ma anche potenzialmente anomali. Il monitoraggio della sicurezza deve coprire l'intera infrastruttura, ossia i classici endpoint IT e la rete stessa. Deve includere anche i nodi e le piattaforme cloud, i dispositivi Internet-of-Things e, se disponibili, gli ambienti OT.

Esperti di sicurezza esterni contro hacker mirati

Tuttavia, ogni settore richiede anche la conoscenza dell'attuale panorama degli attacchi nel proprio settore. Nelle campagne ibride opportunistiche, dopo un'analisi automatica delle vulnerabilità e l'accesso iniziale alla rete, solo la seconda fase di un attacco è più specifica per il settore e la vittima. Non appena gli aggressori ottengono l'accesso, scansionano le reti e adattano le loro azioni al rispettivo settore. Nel settore sanitario e finanziario, ad esempio, dove i dati sensibili svolgono un ruolo cruciale, gli aggressori si concentrano sull'esfiltrazione dei dati che generano maggiori entrate o per i quali le aziende sono più propense a pagare un riscatto. D'altro canto, l'ambiente di produzione ininterrotto è spesso un obiettivo primario per gli attacchi alla sua disponibilità: gli aggressori potrebbero utilizzare il ransomware per bloccare i sistemi e causare costosi tempi di inattività della produzione.

La protezione contro queste minacce mirate richiede esperti esterni. Nessun amministratore IT può sapere chi sta attaccando un'applicazione di un concorrente che l'azienda potrebbe utilizzare a sua volta. Soprattutto le piccole e medie imprese spesso non dispongono delle competenze e degli esperti necessari per reagire in tempo, né tantomeno per anticipare gli aggressori. Solo servizi di sicurezza ad alte prestazioni, come un SOC esterno o un servizio di Managed Detection and Response (MDR) con analisti di sicurezza esterni, consentono di rilevare in modo proattivo le minacce specifiche del settore e di reagire rapidamente in caso di attacco. Non è quindi necessario un costoso investimento in ulteriori specialisti IT interni, spesso non disponibili o non accessibili. Inoltre, la creazione di un team SOC interno e della relativa infrastruttura può richiedere mesi o addirittura anni. Si tratta di un lasso di tempo inaccettabile, viste le crescenti pressioni normative e ambientali. Tuttavia, l'aiuto esterno comprende anche l'assicurazione informatica o la consulenza legale professionale esterna e la conoscenza degli attuali panieri di finanziamento specifici del settore.

Autore: Jörg von der Heydt, Direttore regionale DACH di Bitdefender