Kaseya VSA l’attacco visto da un Service Provider

Nelle scorse settimane, la piattaforma Kaseya è stata sfruttata come “cavallo di Troia” per attaccare con un ransomware migliaia di dispositivi gestiti.

Nell’articolo ripercorriamo le fasi salienti dell’attacco con il prezioso punto di vista del Direttore Tecnico di un importante Service Provider.

Chiara Ponti
Ufficio Compliance

INDICE:

Cos’è Kaseya?

Kaseya è una società della Florida che fornisce l’omonima piattaforma a moltissime aziende americane nonchè in tutto il mondo (tra cui anche importanti multinazionali ed enti governativi americani) pioniera e leader nel mercato dei software di gestione remota.

Per chi già non lo sapesse, Kaseya è un termine Cheyenne (popolazione di nativi americani) che significa “Servire e Proteggere”.

Cos’è accaduto in breve nell’attacco informatico a Kaseya?

A ridosso dello scorso 4 luglio (festa nazionale americana), un imponente attacco informatico è stato compiuto nei confronti di centinaia di aziende utilizzatrici della piattaforma di gestione remota Kaseya VSA.

Ecco i momenti salienti.

Era il 2 luglio scorso, quando verso le 22 circa ora italiana (02:00 PM EDT, ora locale), scattava l’allarme perché diversi server Kaseya VSA erano stati attaccati e utilizzati come veicolo di un ransomware per colpire l’intera catena di fornitura (supply chain).

Kaseya VSA oltre ad essere adoperato da molte organizzazioni per servizi interni, è infatti uno strumento molto diffuso tra i Service Provider per l’erogazione di servizi ai propri clienti.

Chi è il responsabile dell’attacco informatico?

Il responsabile dell’attacco è stato identificato nel famigerato “gruppo” russo REvil, noto per attacchi di grande portata.

A lanciare l’allarme è stata la Cybersecurity and Infrastructure Security Agency (CISA) la quale ha rilasciato un comunicato in cui annunciava di essersi attivata per risolvere l’attacco, consigliando a tutte le realtà coinvolte di spegnere immediatamente i server per evitare la violazione e di consultare il sito di Kaseya per restarne informati.

La stessa CIA è stata coinvolta sia nelle indagini, sia nella ricerca della soluzione, e lo stesso Presidente americano Joe Biden ha “minacciato” ritorsioni in caso di un comprovato coinvolgimento diretto della Russia (sospetto mandante).

L’approccio esemplare del CEO di Kaseya

Fred Voccola CEO di Kaseya non ha fatto mistero dell’attacco; anzi ha fornito con la massima trasparenza tutti i dettagli della questione e, attraverso il suo Staff, un valido supporto a tutti gli utilizzatori della piattaforma. Diverse sono state le interviste in TV e sui canali Social mettendoci, come si direbbe gergalmente, la faccia.

Come Sistemi HS ha gestito l’evento

A dar voce è Renato Castroreale in qualità di Direttore Tecnico di Sistemi HS che rappresenta un importante Gruppo della realtà piemontese, ritenuto – in ordine al numero dei dispositivi gestiti e per importanza di alcuni clienti – il più importante Service Provider italiano della piattaforma Kaseya nonché tra i primi in Europa avendo ricevuto, per ben cinque anni consecutivi, anche premi in qualità di “top performer”.

Il dibattito

CP: “Ne hanno già parlato in tanti. La sensazione però è che si sia affrontato l’argomento più in teoria che in pratica. Ci piacerebbe invece sapere cosa è successo in concreto e quali sono stati i passaggi nella gestione di questo preoccupante evento?” 

RC: “Sì, ne posso parlare in pratica in quanto io stesso, insieme al mio valido Staff tecnico, abbiamo vissuto in prima linea questo tentato (fortunatamente per noi e per i nostri clienti) attacco. Abbiamo ricevuto l’allarme da Kaseya che ci consigliava di spegnere immediatamente i Server dedicati alla loro piattaforma, cosa che abbiamo attuato nel giro di qualche minuto.”

CP: “Ma volendo capire meglio, come siete riusciti a “neutralizzare” così velocemente l’attacco? Un attacco che se non fosse stato gestito in modo così repentino avrebbe potuto avere un impatto devastante anche in termini di Data Breach.” 

RC: “Sì, è vero. Il rapido intervento nell’isolare i Server grazie al supporto dedicato e attivo h24, ci ha permesso di poter raccontare, oggi, questa disavventura con serenità. Peraltro, tengo ad aggiungere che l’infrastruttura dei Server Kaseya VSA è costantemente monitorata, aggiornata e protetta, e questo ci ha dato il tempo di resistere, di essere resilienti all’attacco. Per la gestione di questi eventi abbiamo seguito le migliori best practice di sicurezza essendo tra l’altro i nostri Sistemi certificati ISO 9001, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018.

CP: “Come avete potuto ottenere la certezza che i vostri sistemi e quelli dei vostri clienti non fossero stati compromessi?”

RC: “Beh, innanzitutto abbiamo seguito le indicazioni del Produttore (e della CIA) che ci hanno in qualche modo “costretto” a mantenere la piattaforma inattiva per circa 10gg. A questo proposito, tengo a precisare che i servizi da noi forniti non sono mai stati comunque interrotti. Poi, subito dopo aver disattivato i Server, abbiamo provveduto ad una immediata verifica della situazione per capire se ci fossero state compromissioni, escludendo questa evenienza. Tale verifica è stata ripetuta più volte anche con strumenti successivamente messi a disposizione dal Produttore, con lo stesso esito favorevole.”

CP: “Si può dire che accadimenti di questa dimensione/portata richiedano non solo tempestività, ma anche una metodologia ferrea, quasi militaresca, step by step, prima di ritornare alla normalità?”

RC: “Sì è vero, le procedure specifiche seguono rigide prassi per la loro attuazione. È stato un lavoro di squadra, che ha richiesto efficienza e rapidità seguendo le procedure passo passo. Solo dopo aver ulteriormente irrobustito il perimetro di protezione e dopo aver installato tutti gli aggiornamenti che Kaseya ci ha fornito, abbiamo provveduto ad una graduale riattivazione dei sistemi, mantenendoli costantemente monitorati.”

CP: “Ecco, un’ulteriore domanda. In questa seconda fase di “riaccensione” che timori avevate?”

RC: “Nonostante le rassicurazioni del Produttore e l’evidenza dei test compiuti con successo, non abbiamo dato nulla per scontato. Sapevamo che eventuali problemi si sarebbero potuti presentare e per questo abbiamo scelto un cauto approccio per la riaccensione prima dei servizi interni e poi di quelli dei clienti che abbiamo coinvolto e tenuti aggiornati. I sistemi sono tornati a règime automaticamente essendo programmati per questo.”

CP: “Ancora una domanda. So che siete Gold Partner di Sophos rivendendo dei servizi specifici. Come vi ha potuto aiutare?”

RC: “Dunque, noi come Sistemi HS forniamo tra i tanti servizi anche quello di protezione end-point (sui singoli dispositivi) e perimetrale (router/firewall) grazie ai prodotti Sophos. Il Produttore ci ha garantito che se l’attacco avesse avuto effetto, il malware sarebbe comunque stato bloccato dai loro strumenti. Gli stessi Server che abbiamo spento per precauzione hanno le stesse protezioni, permettendoci una certa resilienza.”

Cosa dobbiamo imparare dall’attacco a Kaseya

Da sempre Sistemi HS crede nell’importanza dei servizi e in particolare in quelli di gestione remota.

Alla domanda:  “Dovremmo rinunciare a questa tecnologia?”

La risposta, anche per voce del Direttore Tecnico appena intervistato, è chiara: “No!”

D’altra parte, i computer e dispositivi mobili che comunemente utilizziamo sono strapieni di agenti software, sviluppati per erogare servizi di ogni natura e genere: dagli stessi antivirus a quelli di condivisione dei file, spesso basati su ambienti cloud, i quali possono esporre ad analoghi rischi come quello in questione.

A ciò si aggiunge poi che la quantità/aggressività degli attacchi cibernetici è in costante aumento, anche su sistemi che non utilizzano agenti di gestione.

Se ci pensiamo, quante e-mail riceviamo ogni giorno con link dannosi (che non vanno selezionati e andrebbero bloccati prima di giungere all’utente)?

Quante volte i nostri sistemi informatici (dispositivi, software, ecc.) sono attaccati senza che neppure ce ne accorgiamo?

Altro non resta che accrescere in consapevolezza, investendo soprattutto in seri strumenti di prevenzione, protezione e ripristino, in formazione, e per ciò scegliendo partner tecnologici in grado di affiancare i clienti al meglio, in questo percorso.

Non dimentichiamoci peraltro che la maggior parte degli attacchi informatici, specie quelli legati ai software malevoli, sono per gli hackers un business: in questa “cyberwar” vince chi investe di più.

Risvolti privacy: e il GDPR?

Come già detto ed ora lo ripetiamo, non ci sono stati effetti negativi né impatti che abbiano potuto mettere a rischio la protezione dei dati.

É importante ribadirlo specie per una realtà – dice ancora il Direttore Tecnico – come la nostra.

CP: “Ma allora, se l’attacco avesse avuto effetto, si sarebbe potuto trattare di un Data Breach? E se così fosse stato con quali risvolti ed effetti?”

RC: “Evidentemente se l’attacco fosse riuscito a penetrare con successo le difese, anziché rimanere solo un “tentativo”, ci sarebbero stati effetti impattanti sull’integrità e la disponibilità dei dati personali (anche particolari), trattandosi di un ransomware.”

CP: “Una violazione dei dati personali di quella fatta, avrebbe richiesto anche altri adempimenti?”

 RC: “Avremmo dovuto gestire un data breach e probabilmente anche una segnalazione ai soggetti interessati, con un notevole danno all’ immagine e di reputazione.”

CP: “Immagino. Ancora due domande. La prima, che ruolo ha avuto il DPO.”

RC: “Sistemi HS si è dotata già da tempo di un DPO che (il mio Staff ed io) abbiamo prontamente contattato per informarlo dei fatti. Sempre con lui abbiamo anche effettuato una valutazione dell’evento per escludere impatti di rilevanza privacy.

CP: “La seconda. Avete adoperato qualche strumento a supporto?”

RC: “Abitualmente utilizziamo GoPrivacy per la gestione delle valutazioni dei rischi relative sia alla privacy che ai Sistemi di Gestione da noi adottati. In questo caso, abbiamo utilizzato la parte dello strumento che consente la gestione dei Data Breach per effettuare una valutazione condivisa con il nostro DPO.”

CP: “Un’ultima domanda. Avete escluso il Data Breach, quali sono stati allora gli adempimenti per la gestione dell’incidente, sia interna sia verso i clienti coinvolti?”

RC: “Sempre con GoPrivacy, abbiamo dovuto aggiornare la nostra valutazione dei rischi per capire in che modo le misure di sicurezza aggiuntive adottate abbiano cambiato la nostra esposizione. Il risultato è stato quello di avere rassicurazioni sull’efficacia di tali misure. Abbiamo quindi provveduto a redigere un Incident Report inviandolo a tutti quei clienti che ne hanno fatto richiesta.”

Conclusioni e spunti convincenti

Bene, alla fine di questo vivace dibattito, possiamo dire che resistere ad attacchi informatici non è solo questione (come direbbero i fatalisti) di fortuna, ma di prontezza e resilienza, due “ingredienti” primari che denotano diligenza e buone prassi organizzative. Ma questo era solo un assaggio.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.