Come hanno risposto le banche dopo la segnalazione degli attacchi subiti
La risposta all'attacco di ieri è stata molto collaborativa. Ma è bene chiarire alcuni punti per evidenziare i vari step della catena di mitigazione dell'attacco
02/08/2023 di Gianmichele Laino
In una giornata ancora molto complessa sul fronte dell’infrastruttura digitale di alcuni istituti di credito, è importante capire come siano state superate le 24 ore di ieri, martedì 1 agosto, giorno in cui gli hacktivisti di NoName057 hanno lanciato un attacco DDoS a diversi istituti di credito italiani, colpendoli su 16 properties diverse. Gli attacchi si sono verificati a partire dalle primissime ore della mattina, intorno alle 8.30-8.45. Un comportamento che si era osservato già in passato e che, essendo piuttosto ripetitivo, è un indizio abbastanza interessante rispetto al modus operanti degli hacktivisti di NoName057. Sembrerebbe quasi che scagliare un attacco DDoS sia quasi una sorta di lavoro d’ufficio, tipico di un gruppo di impiegati. Sin da subito – e viste anche le avvisaglie delle giornate precedenti – l’Agenzia per la Cybersicurezza Nazionale ha fatto partire il flusso di informazioni necessarie per la mitigazione degli attacchi.
LEGGI ANCHE > Cosa significa che sono stati colpiti 16 obiettivi di alcune banche italiane
L’iter che sta dietro alla risposta delle banche agli attacchi DDoS di queste ore
L’Agenzia per la Cybersicurezza Nazionale ha provveduto immediatamente a informare il CERTfin diretto da Romano Stasi. Si tratta del CERT finanziario italiano, un asse pubblico-privato che permette, in un momento storico in cui la digitalizzazione dei servizi bancari e finanziari è sempre più diffusa e utilizzata dai clienti degli istituti di credito, di rafforzare la resilienza cybernetica del sistema degli operatori finanziari italiani, appunto. Da qui, a cascata, sono state trasmesse le indicazioni per fronteggiare l’attacco in corso alle banche e alle istituzioni italiane.
Un’azione che, per semplificare il concetto dando comunque una corretta idea di quello che è avvenuto, può essere paragonata a quella di una sorta di protezione civile informatica: si lancia un’allerta, si specifica quali sono le corrette pratiche per fronteggiare l’allerta, ma chiudersi in casa e barricare le finestre è compito del soggetto che viene investito da un’emergenza.
È questo il modo di affrontare l’iter di un attacco DDoS che, di per sé, non prevede azioni di ripristino diretta né da parte di ACN, né da parte della Polizia Postale (che, in queste circostanze, può fare investigazione e può istruire una eventuale denuncia), ma che deve essere fronteggiato dai soggetti coinvolti, seguendo una strada “emergenziale” ben nota e comunicata in diverse occasioni. Non ultimo, in prossimità dello svolgimento dell’attacco stesso.
Seguire quest’iter, nella giornata di ieri, ha permesso ai 16 target dei vari istituti di credito di tornare a funzionare regolarmente già in serata. Se è vero che un DDoS è un’azione dimostrativa, quando un attacco del genere colpisce portali che l’utenza (ad esempio di una banca) è abituata a utilizzare quotidianamente, ecco che si può configurare comunque un danno. Dalla portata limitata, certo. Ma stiamo parlando pur sempre di un danno.