Cosa insegna l’attacco ransomware a Conad

Conad, abbastanza grande per essere hackerata

Partiamo da qui. Il gruppo Conad detiene circa il 15% del mercato e, nel 2024, ha conseguito un fatturato di 21,1 miliardi di euro.

Il fatto che i criminal hacker abbiano preso di mira il gruppo non desta stupore: Lynx, in particolare, è un collettivo che agisce per mero interesse pecuniario e – nella logica dei malviventi – ha molto senso colpire soggetti facoltosi.

Proprio perché particolarmente appetibile, nasce il sospetto che Conad avrebbe dovuto essere ancora più solerte nel difendere i propri dati. Uno spunto da approfondire, infatti, si evince dal comunicato stampa del gruppo nel quale si legge: “Conad ha verificato che una piccola quantità di dati – non strutturati e non rilevanti, non riferiti in alcun modo ai clienti dell’insegna – potrebbe essere stata oggetto di copia”.

Quali sono i dati non rilevanti

Prima di entrare nello specifico, va sottolineato che Conad – nel pieno dell’attacco – ha avviato delle misure di difesa che hanno scongiurato il peggio, allertando inoltre tutte le autorità preposte e quindi assolvendo i proprio compiti e doveri.

Nonostante ciò, alcune informazioni sono state sottratte, si tratterebbe di contratti con fornitori e alcuni documenti afferenti alla sfera del dipartimento risorse umane.

Con Salvatore Lombardo, esperto ICT e funzionario informatico, approfondiamo l’idea di “dati non rilevanti” che, almeno in prima battuta, può stridere con i concetti basilari della cyber security: “Sarebbe ideale proteggere ogni dato con lo stesso livello di sicurezza. Tuttavia, nella pratica, le organizzazioni spesso devono fare delle scelte difficili a causa delle risorse limitate. Le minacce informatiche sono in continua evoluzione e le aziende devono essere strategiche nel distribuire le loro risorse di sicurezza. Questo non vuol dire che i dati non rilevanti non siano importanti, ma che la protezione di dati rilevanti può avere una priorità più alta a causa delle più gravi conseguenze che una loro compromissione potrebbe comportare. Ritengo che le organizzazioni debbano trovare un giusto compromesso tra proteggere tutti i dati e gestire le risorse in modo efficace”.

Quindi va puntualizzato che non esistono dati di Serie A e di Serie B o che, in ogni caso, i dati che possono sembrare irrilevanti per un’azienda (Conad nel caso specifico) possono essere strategici per altre realtà d’impresa (i fornitori di Conad).

A questo punto resta da stabilire quanto i documenti che riguardano più entità aziendali facciano parte della supply chain di cui ogni organizzazione dovrebbe garantire la sicurezza al meglio delle proprie possibilità.

La doppia estorsione, la risposta rapida e i backup

Gli attacchi ransomware evolvono e, oltre a criptare i dati, i criminal hacker li esfiltrano per mettere pressione alla vittima affinché paghi il riscatto. La piaga della doppia estorsione è in continua crescita e le organizzazioni devono tenerne conto: anche da questo punto di vista, individuare dati meno sensibili di altri è un esercizio che può avere un senso all’interno delle imprese ma che potrebbe essere letto diversamente al di fuori dei perimetri aziendali.

Salvaguardare i dati significa anche non scalfire l’immagine di un’organizzazione. Da questo punto di vista Conad avrebbe dovuto mostrare maggiore proattività.

Va però riconosciuta al gruppo Conad la capacità di sganciare le misure difensive che hanno limitato i danni e questo è un grande insegnamento alla volta di qualsiasi organizzazione: la migliore difesa è misurata anche grazie alla rapidità con cui si reagisce a un’incursione.

Non sappiamo molto altro. Va però presa in considerazione l’ipotesi che Conad – considerando la scarsa rilevanza dei dati esfiltrati – abbia potuto contare su backup freschi che hanno reso ancora meno necessario il pagamento del riscatto richiesto dal collettivo Lynx. In linea generale, i backup sono fondamentali e, come tali, vanno pianificati in modo attento e lungimirante.

Conclusioni

Tutto è perfettibile. Conad ha però dato dimostrazione di avere la situazione sotto controllo e di avere applicato le procedure secondo i crismi, incluse le comunicazioni al Garante per la protezione dei dati personali e alla Polizia postale, presentando infine denuncia presso la Procura della Repubblica di Bologna.

Non da ultimo, il fatto di non avere ceduto alle richieste economiche dei criminal hacker e di avere evitato il peggio con le opportune misure di cyber security, lascia intuire che Conad ha saputo gestire la situazione di crisi con un elevato grado di prontezza.

Queste considerazioni sottolineano l’importanza di un approccio alla cyber security proattivo e architettato su più livelli per proteggere le aziende. Impedire ai criminal hacker di penetrare i perimetri aziendali è un compito che può rivelarsi proibitivo. Limitare i danni e non cedere alle loro richieste economiche è una via più percorribile.