Nel 2014, quando la Russia ha lanciato una guerra per procura nell'Ucraina orientale e ha annesso la Crimea, e negli anni successivi, gli hacker russi hanno martellato l'Ucraina. Gli attacchi informatici sono arrivati ​​al punto di mettere fuori uso la rete elettrica in alcune parti del paese nel 2015. Gli hacker russi hanno intensificato i loro sforzi contro l'Ucraina in vista dell'invasione del 2022, ma con risultati notevolmente diversi. Queste differenze tengono lezioni per la difesa informatica nazionale degli Stati Uniti.

Sono un ricercatore di sicurezza informatica con un background come funzionario politico presso l'Ambasciata degli Stati Uniti a Kiev e lavoro come analista nei paesi dell'ex Unione Sovietica. Nell'ultimo anno, ho condotto un programma finanziato dall'USAID in cui gli istruttori della Florida International University e della Purdue University hanno formato più di 125 docenti di sicurezza informatica dell'università ucraina e più di 700 studenti di sicurezza informatica. Molti docenti guidano i consulenti del governo o si consultano con organizzazioni di infrastrutture critiche sulla sicurezza informatica. Il programma ha enfatizzato le abilità pratiche nell'utilizzo dei principali strumenti di sicurezza informatica per difendere le reti aziendali simulate da malware reale e altre minacce alla sicurezza informatica.

L'invasione è avvenuta poche settimane prima che si tenesse la competizione nazionale di sicurezza informatica per gli studenti delle 14 università partecipanti al programma. Credo che la formazione ricevuta da docenti e studenti sulla protezione delle infrastrutture critiche abbia contribuito a ridurre l'impatto degli attacchi informatici russi. Il segno più evidente di questa resilienza è il successo che l'Ucraina ha avuto nel mantenere la sua Internet nonostante le bombe russe, i sabotaggi e gli attacchi informatici.

Cosa significa per gli Stati Uniti

Il 21 marzo 2022, il presidente degli Stati Uniti Joe Biden ha avvertito il pubblico americano che la capacità della Russia di lanciare attacchi informatici è "abbastanza consequenziale e sta arrivando". Come ha spiegato il vice consigliere per la sicurezza nazionale Anne Neuberger, l'avvertimento di Biden era un appello a preparare le difese informatiche degli Stati Uniti.

La preoccupazione alla Casa Bianca per gli attacchi informatici è condivisa dai professionisti della sicurezza informatica. L'esperienza ucraina con gli attacchi informatici russi fornisce lezioni su come istituzioni che vanno dalle centrali elettriche alle scuole pubbliche possono contribuire a rafforzare le difese informatiche di una nazione.

La difesa informatica nazionale inizia con governi e organizzazioni che valutano i rischi e aumentano la loro capacità di far fronte alle ultime minacce alla sicurezza informatica. Dopo l'avvertimento del presidente Biden, Neuberger ha raccomandato alle organizzazioni di compiere cinque passaggi:adottare l'autenticazione della password a più fattori, mantenere aggiornate le patch software, eseguire il backup dei dati, eseguire esercitazioni e collaborare con le agenzie governative di sicurezza informatica.

Controllo accessi

La difesa informatica inizia con gli ingressi nelle reti informative di una nazione. In Ucraina negli ultimi anni, gli hacker sono entrati in reti poco protette con tecniche semplici come indovinare le password o intercettarne l'uso su computer non sicuri.

Gli attacchi informatici più sofisticati in Ucraina hanno utilizzato tecniche di ingegneria sociale, comprese le e-mail di phishing che hanno indotto gli utenti della rete a rivelare ID e password. Fare clic su un collegamento sconosciuto può anche aprire la porta al rilevamento di malware in grado di apprendere le informazioni sulla password.

La raccomandazione di Neuberger per l'adozione dell'autenticazione con password a più fattori riconosce che gli utenti non saranno mai perfetti. Anche gli esperti di sicurezza informatica hanno commesso errori nelle loro decisioni di fornire password o informazioni personali su siti insicuri o ingannevoli. Il semplice passaggio dell'autenticazione di un accesso su un dispositivo approvato limita l'accesso che un hacker può ottenere semplicemente ottenendo informazioni personali.

Vulnerabilità del software

I programmatori che sviluppano app e reti vengono premiati migliorando prestazioni e funzionalità. Il problema è che anche i migliori sviluppatori spesso trascurano le vulnerabilità quando aggiungono nuovo codice. Per questo motivo, gli utenti dovrebbero consentire gli aggiornamenti software perché è così che gli sviluppatori correggono i punti deboli scoperti una volta identificati.

Prima dell'invasione dell'Ucraina, gli hacker russi hanno individuato una vulnerabilità nel principale software di gestione dei dati di Microsoft. Questo era simile a una debolezza nel software di rete che ha consentito agli hacker russi di scatenare il malware NotPetya sulle reti ucraine nel 2017. L'attacco ha causato danni stimati in 10 miliardi di dollari in tutto il mondo.

Pochi giorni prima che i carri armati russi iniziassero ad attraversare l'Ucraina nel febbraio 2022, gli hacker russi hanno utilizzato una vulnerabilità nel software di gestione dei dati leader di mercato SQL per posizionare sui server ucraini malware "wiper" che cancella i dati archiviati. Tuttavia, negli ultimi cinque anni le istituzioni ucraine hanno notevolmente rafforzato la propria sicurezza informatica. In particolare, le organizzazioni ucraine si sono allontanate dal software aziendale piratato e hanno integrato i loro sistemi informativi nella comunità globale di sicurezza informatica delle aziende tecnologiche e delle agenzie di protezione dei dati.

Di conseguenza, il Microsoft Threat Intelligence Center ha identificato il nuovo malware non appena è apparso sulle reti ucraine. L'avviso anticipato ha consentito a Microsoft di distribuire una patch in tutto il mondo per impedire che i server venissero cancellati da questo malware.

Backup dei dati

Gli attacchi ransomware prendono già frequentemente di mira organizzazioni pubbliche e private negli Stati Uniti. Gli hacker bloccano gli utenti dalle reti di dati di un istituto e chiedono il pagamento per restituirvi l'accesso.

Il malware wiper utilizzato negli attacchi informatici russi all'Ucraina funziona in modo simile al ransomware. Tuttavia, gli attacchi pseudo ransomware distruggono permanentemente l'accesso di un'istituzione ai suoi dati.

Il backup dei dati critici è un passaggio importante per ridurre l'impatto degli attacchi wiper o ransomware. Alcune organizzazioni private hanno persino iniziato a archiviare i dati su due sistemi separati basati su cloud. Ciò riduce le possibilità che gli attacchi possano privare un'organizzazione dei dati necessari per continuare a operare.

Esercitazioni e cooperazione

L'ultima serie di raccomandazioni di Neuberger è di condurre continuamente esercitazioni sulla sicurezza informatica mantenendo relazioni di cooperazione con le agenzie federali di difesa informatica. Nei mesi precedenti l'invasione della Russia, le organizzazioni ucraine hanno beneficiato della stretta collaborazione con le agenzie statunitensi per rafforzare la sicurezza informatica delle infrastrutture critiche. Le agenzie hanno aiutato a scansionare le reti ucraine alla ricerca di malware e hanno supportato i test di penetrazione che utilizzano strumenti di hacker per cercare le vulnerabilità che possono consentire agli hacker di accedere ai loro sistemi.

Le piccole e grandi organizzazioni negli Stati Uniti preoccupate per gli attacchi informatici dovrebbero cercare un forte rapporto con un'ampia gamma di agenzie federali responsabili della sicurezza informatica. Le recenti normative richiedono alle aziende di divulgare le informazioni sugli attacchi informatici alle proprie reti. Ma le organizzazioni dovrebbero rivolgersi alle autorità di sicurezza informatica prima di subire un attacco informatico.

Le agenzie governative statunitensi offrono le migliori pratiche per la formazione del personale, incluso l'uso di esercitazioni da tavolo e di attacco simulato. Come hanno appreso gli ucraini, gli attacchi informatici di domani possono essere contrastati solo preparandosi oggi.