L’agenzia per la protezione ambientale della Scozia, la Scottish Environment Protection Agency (SEPA, in breve), ha annunciato di essere stata vittima di un attacco ransomware il giorno della vigilia di Natale, come se i criminali avessero voluto fare un brutto scherzo. Ma di scherzo non si tratta: i danni sono stati ingenti e consistono nella indisponibilità dei servizi erogati dall’agenzia per diversi giorni e nella perdita di circa 1,2 GB di dati. A riguardo di questi ultimi l’agenzia ha, però, annunciato che non intende pagare il riscatto chiesto dai criminali, così fornendo un esempio su come comportarsi in questi casi.
Il riscatto non si paga. La lezione della Scottish Environment Protection Agency sui ransomware
L’attacco ransomware che ha colpito la SEPA appare assolutamente comune: i sistemi sono stati colpiti dal ransomware, che li ha resi non operativi cifrando tutti i dati e permettendo ai criminali di sottrarne alcuni. Tra questi sono presenti 1,2 GB di dati che, a quanto sembra, non erano sottoposti a backup e che pertanto sono da considerare perduti, secondo quanto afferma la stessa agenzia. Questi dati conterrebbero circa 4.000 file, tra i quali figurano atti pubblici, notifiche di vario genere e informazioni sugli appalti e sul personale. In larga parte si tratta di dati non critici al funzionamento della SEPA.
L’aspetto interessante della vicenda non è, però, tanto nell’attacco in sé, nonostante abbia trovato impreparato un importante ente pubblico: è la risposta di quest’ultimo ai criminali a fungere da esempio. La SEPA ha infatti annunciato che non pagherà il riscatto, usando l’unica vera arma che hanno le organizzazioni per contrastare i criminali (assieme a un’infrastruttura di backup funzionante).
Il vero motivo per cui i ransomware sono in continua crescita è infatti la facilità con cui le vittime tendono a pagare i riscatti, comportamento che funge da incentivo per nuovi attacchi e perché emergano sempre più gruppi criminali dediti a quest’attività redditizia. Secondo alcune ricerche, il 58% delle vittime ha pagato il riscatto nel 2020, andando così a finanziare le attività criminali e a dare un facile motivo per continuarle.
La risposta della SEPA è dunque l’unica possibile per contrastare questo fenomeno: non pagando il riscatto si toglie l’unico incentivo che i criminali hanno, quello monetario. Nel caso della SEPA, poi, si ha anche l’aspetto dell’uso di fondi pubblici: il direttore dell’ente, Terry A’Hearn, ha dichiarato in un’intervista con BBC Scotland che “non useremo fondi pubblici per pagare il riscatto. Siamo già stati in grado nelle prime tre settimane di ristabilire la nostra capacità di fornire i nostri servizi critici, e nel corso delle prossime settimane e dei prossimi mesi continueremo in questo processo così da poter proteggere l’ambiente.”
Si può infatti sollevare una questione etica quando sono coinvolti gli enti pubblici: è corretto che i fondi che arrivano dai contribuenti vengano spesi per finanziare attività criminali? Anche quando il costo del ripristino sia maggiore, la questione è spinosa ed è riconducibile, in fondo, a una variante del problema del tram per la quale non esiste soluzione assoluta.
L’aspetto ulteriore da considerare nella scelta sul pagamento del riscatto è la probabilità di riavere effettivamente indietro i propri dati, che spesso è bassa. Fidarsi della buona volontà e del rispetto della parola data dei criminali è, per definizione, un comportamento poco saggio: non si vede perché non debba essere così anche nel caso dei cybercriminali, che infatti non sempre restituiscono i dati presi in ostaggio o sottratti.
Il ransomware è un problema molto complesso e con molteplici sfaccettature, che non è possibile inquadrare in maniera semplice e sbrigativa. La maggior parte degli esperti concorda, però, con quanto abbiamo esposto in questa notizia: pagare è una cattiva idea e questa posizione è tanto forte che negli Stati Uniti si parla addirittura di rendere illegale il pagamento dei riscatti. Seguendo le migliori pratiche del settore sulla sicurezza si può arginare il problema, anche se (ancora una volta) la formazione è un ostacolo in questo ambito, visto che porta all’incapacità di affrontare i ransomware. Di nuovo: il problema è complesso, ma continuare a pagare non lo renderà affatto più semplice, anzi.