Sono trascorsi due mesi dal peggiore cyberattack di sempre, portato tramite compromissione di un importante vendor di soluzioni IT management, SolarWinds.
Dalla compromissione dei loro software di management, tramite l’iniezione di una backdoor firmata da un certificato aziendale legittimo, sono derivati innumerevoli data breaches a quasi tutte le infrastrutture IT dei loro clienti, tra i quali moltissime agenzie americane, cybersecurity firms (!), aziende di ogni classe e genere, compreso Microsoft.
La compromissione è durata mesi prima che venisse scoperta, anche a causa di sofisticatissime tecnologie di detection-evasion implementate dagli attaccanti.
Come è stato possibile che sia accaduto questo gravissimo evento?
Come sempre, ci sono concomitanze; si sono scoperte varie insicurezze perimetrali e strutturali di Solarwinds, cosi come procedure assolutamente insicure.
Ma la più importante responsabilità deriva, come quasi sempre, dalla errata percezione del proprio livello di sicurezza, oltre che dal valore apportato dalla seria implementazione di un sistema di gestione della sicurezza delle informazioni. A quanto pare, la società non aveva neanche nominato un CISO.
Fintanto che nulla accade, gestire la sicurezza e verificare la propria infrastruttura ha un costo certo ed effetti non valutabili in concreto. Quando accade un evento del genere, al quale quasi nessuno aveva pensato, si inizia a contare sommariamente i danni, come sempre senza poter realmente idea delle ripercussioni future (si consideri che anche infrastrutture IT di AstraZeneca sono state oggetto di attacco).
Ciliegina sulla torta: sembra che alcuni investitori istituzionali abbiano venduto un controvalore di 280 milioni di dollari di azioni Solarwinds giorni prima che il security-gate divenisse pubblico.
Auspichiamo che la giustizia USA faccia chiarezza su questo gravissimo evento, che passerà alla storia come uno dei maggiori eventi di cyber-insicurezza. Magari vedremo presto anche un film.
UPDATE: Microsoft ha concluso le investigazioni interne sul caso, riportando altri dettagli e la lezione che occorre imparare e ricordare bene, appresa da quanto accaduto.