Il costo della (non) cyber security: il caso ransomware di Garmin

Alberto Zarantonello

In questi giorni di agosto e di vacanze per molti, portiamo un articolo un po' diverso dal solito, una riflessione; tema: cryptolocker, riscatti e cyber security.

Se seguite le notizie dal mondo digitale, o se possedete uno smart werable di Garmin, saprete di certo dei problemi che Garmin, la famosa azienda americana di prodotti per l'outfit e il fitness, ha dovuto affrontare nei giorni scorsi relativamente ad un attacco ransomware di cui è stata vittima.

Per chi se lo fosse perso, esistono molte fonti online che raccontano nei dettagli (o almeno quelli noti al pubblico) l'accaduto; non è nostra intenzione riprendere questa news ma piuttosto quella di partire dai fatti noti per uno spunto di riflessione.

Un veloce riassunto della vicenda fino ad ora.
Il 22 luglio scorso, un ransomware (WastedLocker, nello specifico) ha cifrato e reso inaccessibili gran parte dei sistemi e dei dati del colosso americano Garmin, tanto che molti dei servizi online erogati sono rimasti offline per giorni, altri ancora non sono operativi al 100% oggi, dopo 10 giorni. La portata dei danni causati è quindi difficilmente calcolabile, così come i danni d'immagine e di fatturato.

Dalle indiscrezioni trapelate nelle ultime ore, sembra non esistessero nemmeno i backup dei dati persi o più probabilmente erano stati anch'essi resi indisponibili dal cryptolocker. Una situazione che per molte aziende potrebbe significare il fallimento. Forse è stato questo pensiero che ha spinto l'azienda a pagare uno dei cyber-riscatti più onerosi di cui vi sia traccia, e che le fonti indicherebbero essere attorno ai 10 milioni di dollari.

Per un'azienda il cui fatturato annuo supera i 3 miliardi di dollari, forse il riscatto non sarà così impattante sui conti del prossimo anno, ma la questione qui non è tanto finanziaria, quanto un'altra.
Lasciamo da parte il riscatto, il danno d'immagine per il brand, di credibilità dell'azienda e del suo management, i disagi degli utenti e i probabili rimborsi che arriveranno per i disservizi e chiediamoci invece: e se quei 10 milioni di euro fossero stati investiti in cyber security prima, anziché in riscatti quando invece è troppo tardi?

Chiaramente la mia vuole essere una provocazione dato che, fintanto che l'azienda non chiarirà la vicenda (se mai lo farà), non è possibile stabilire le responsabilità in fatto di scelte errate o mancati investimenti in cyber security che hanno portato a questo risultato. Certamente però, delle cose non hanno funzionato a livello di previsione e gestione del rischio cyber e impressiona che sia successo in un colosso del tech.

I cryptolocker non sono nemici imbattibili: esistono molteplici misure di sicurezza che, in base alle circostanze, possono ridurre drasticamente i danni subiti e recuperare i sistemi e i servizi coinvolti. A volte le aziende non hanno la sensibilità adeguata a livello di cyber security per poter affrontare e gestire minacce che, anno dopo anno, si dimostrano sempre più nefaste per aziende ed enti pubblici.

Dovremmo chiederci se, nella nostra casa o nella nostra azienda, preferiamo rischiare di perdere i propri dati e veder fermare la propria azienda, magari pagando anche riscatti esosi riscatti a cyber criminali, oppure dare il giusto valore alla cyber security e prevenire questi ed altri problemi oltre a tutte le ricadute negative che questi si portano dietro.
Lascio al lettore trarre le proprie conclusioni.