Chi ci conosce sa che non ci piace parlare degli incidenti di sicurezza informatica che sono stati subiti: questo perché molte volte non porta ad alcun vantaggio alla discussione se non ad un aumento del danno d’immagine per una società. Dunque, perché stiamo per trattare di un Case Study come quello di LastPass e le relative violazioni di sicurezza? Perché, a nostro avviso, ci consente di imparare qualcosa.
Il 30 Novembre 2022 LastPass in questo comunicato ufficiale ha dichiarato d’aver subito un incidente di sicurezza informatica che, stando alla dichiarazione ufficiale, è dovuto alle informazioni trafugate nel corso nell’attacco subito ad agosto 2022. Guardiamo brevemente alla timeline degli attacchi così come dichiarata da LastPass stessa:
Cosa ci insegna questa timeline?
- LastPass ha un team di sicurezza piuttosto efficace: nel 2018, il tempo medio di permanenza in un network aziendale prima che venisse scoperto l’accesso abusivo era pari a 101 giorni (Cfr. Il Sole 24 Ore e FederPrivacy, entrambi citano il report di FireEye che potete trovare qui). Nel 2021, secondo Sophos, il tempo medio di permanenza era passato da 11 giorni a 15 giorni (con un aumento del 36%);
- Un incidente di sicurezza non è mai a sé stante: questa è una di quelle questioni che molto spesso vengono sottovalutate e che emergono con irruenza durante le presentazioni dei report di un penetration test. Le informazioni vengono riutilizzate per effettuare nuovi attacchi.
Emerge dunque come sia necessario intendere la sicurezza informatica come un processo aziendale che deve andare di pari passo con la normativa vigente in materia di protezione dei dati personali. In particolare, alcuni aspetti meritano d’essere sottolineati ed espressi con maggior vigore:
- è necessario conoscere e mappare i dati: sapere quali dati vanno protetti e come vanno archiviati per la sicurezza informatica e per la riservatezza dei dati nella loro globalità. Se ciò non viene effettuato, in caso di violazione si assisterebbe ad una compromissione che potrebbe portare ad ulteriori problematiche. Questo può essere mitigato sapendo quali sono le tessere del dominio che potrebbero “cadere” a seguito di un determinato incidente;
- Bisogna considerare il punto più debole come il vero livello di sicurezza: purtroppo, questo spesso si declina nella consapevolezza e formazione degli utenti ai quali viene demandato l’utilizzo dei sistemi di sicurezza.
Per concludere questa breve riflessione, vi illustriamo alcune lezioni utili imparate da questo case study:
- Effettuare phishing simulations è divenuto un punto nevralgico della sicurezza aziendale;
- Analizzare possibili implementazioni di sicurezza a seguito dello svolgimento di attività di Vulnerability Assessment e Penetration Test è necessario ma non sufficiente: la cooperazione tra le persone e reparti è l’unica vera soluzione.