Pannello Indici
Giugno 30, 2023
La differenza tra OneDrive e SharePoint
Settembre 1, 2023
Nel corso degli ultimi mesi si sono verificati numerosi attacchi hacker nei confronti di diverse realtà: multinazionali, servizi pubblici, Utility ma anche piccole e medie imprese, migliaia di siti web…
Anche Gruppo Enercom viene sfortunatamente colpito nella notte tra domenica 21 e lunedì 22 maggio. L’attacco viene tempestivamente interrotto, intorno alle 09:00 del lunedì mattina, dalla squadra tecnica iDigital3 che decide di scollegare la rete per evitare la diffusione della minaccia e salvaguardare i dati sensibili. Questa attività richiede al team sistemistico circa due ore. Ne consegue un immediato disservizio per le sedi e i negozi del Gruppo che si trovano a non poter più comunicare tra loro.
Per meglio comprendere la dinamica dell’intervento di ripristino è bene fare un breve passaggio sull’infrastruttura del Gruppo Enercom che possiamo definire come suddivisa in diversi livelli:
1-Il network, ovvero lo “strato” più superficiale dell’infrastruttura, che comprende la rete e collega le varie realtà del Gruppo.
2-La parte hardware che comprende circa sessanta server.
3-Il Cloud.
4- I dati presenti nel Cloud. Il 70% dell’infrastruttura si concentra a questo livello.
5-I backup in Cloud.
Dopo aver scollegato la rete, in accordo con il board e la direzione Gruppo Enercom, la squadra tecnica iDigital3 stabilisce la road-map di intervento insieme al team responsabile della cyber sicurezza. La collaborazione già in essere con una società strutturata di professionisti nel campo, che vanta al proprio interno un C-SOC (Cyber Security Operations Center), consente di velocizzare le operazioni e le comunicazioni con la Polizia Postale – evitando l’attesa per l’assegnazione di una figura d’ufficio di questo tipo.
L’obiettivo primario è individuare fino quale livello gli hacker si sono infiltrati.
Il giorno successivo (martedì 23 maggio), dopo ore e ore di analisi, la squadra tecnica definisce come danneggiati solamente i primi due livelli dell’infrastruttura. Il cloud e tutti i dati sono salvi e al sicuro. Tutti file criptati vengono spostati su dischi fissi per non essere eliminati, in modo da tentare successivamente di decriptarli (centinaia di Tera di dati).
Vengono conseguentemente valutate le due possibili strade:
1) Seguire le istruzioni degli hacker, pagando il riscatto e chiedendo il restore dei livelli danneggiati. La tempistica stimata è di circa 3/4 giorni.
2) Ricostruire il network e l’infrastruttura hardware (unici livelli danneggiati) da zero. La tempistica stimata è di circa 4/5 giorni.
Gruppo Enercom, dopo essersi confrontato per gli aspetti tecnici con iDigital3, decide di percorre la seconda strada. In circa due giorni e la struttura viene ricreata. Giovedì 25 maggio Enercom inizia a muovere i primi passi, uscendo dal blocco. La ripartenza è graduale (un utente alla volta!), per salvaguardare ulteriormente la sicurezza dell’infrastruttura.
Nonostante questo, per alcune aziende del Gruppo e per alcune attività specifiche, la ripartenza risulta tutt'oggi più lenta a causa di alcune complicazioni tecniche, che comunque verranno superate.
A differenza di molti altri attacchi che si sono verificati nel panorama mondiale, quello nei confronti del Gruppo Enercom non è stato rivendicato e non ci sono state minacce da parte degli hacker. L’analisi tecnica e la mancata rivendicazione della violazione confermano la tesi secondo cui il gruppo di criminali non è riuscito a entrare in possesso di alcun dato sensibile.
Nonostante ciò, è fondamentale rimanere in allerta: il gruppo hacker non ha certo apprezzato l’elusione delle loro richieste. Non sono da escludere nuovi tentativi di intrusione in futuro.
In conclusione, osservando l’infrastruttura del Gruppo Enercom, uno dei plus è sicuramente che tutte le aziende sono in grado di comunicare tra loro, dando vita a una “metropoli informatica”. In questo particolare caso, però, il network ha rappresentato una debolezza: se l’infrastruttura di Enercom srl e GEI SpA fosse stata completamente separata, le due aziende non avrebbero subito l’attacco.
Questi eventi sono da considerarsi una naturale conseguenza dell’emergenza coronavirus: tutti i PC che un tempo lavoravano solo all’interno della rete aziendale ed erano protetti, durante la pandemia sono stati esposti a innumerevoli rischi a causa dello smart working. Nonostante ciò, a seguito delle analisi presentate da iDigital3 sul tema lavoro da casa e sicurezza informatica, nei mesi scorsi Gruppo Enercom – credendo fortemente nel progetto – ha deciso di alzare l’asticella investendo sulla sicurezza e adottando CiscoMeraki. Grazie a questo sistema è stato possibile intervenire velocemente e bloccare l’attacco sul nascere.
