La compagnia reagisce con celerità di fronte all’allarme per un attacco massiccio
MADRID, 24 maggio 2017. – Venerdì 12 maggio scattava l’allarme in tutto il pianeta per un cyber attacco massiccio. Si trattava del virus WannaCry, un malware che infetta il computer e blocca i dati. Li codifica in modo tale che impedisce l’accesso e per liberare i dispositivi esige un riscatto in bitcoins, una crypto valuta virtuale non controllata da alcuna istituzione e con cui le operazioni sono anonime. Tutto ciò approfittandosi di un buco nella sicurezza rilevato nel sistema Windows, riconosciuto da Microsoft lo scorso marzo.
L’allarme per questo virus è scattato in Spagna, però si è poi esteso velocemente alla Russia, gli Stati Uniti, Canada ed anche in Italia, fino a infettare oltre 300.000 computer di circa 150 Paesi.
Il modo di contagio è semplice. Basta che un impiegato apra un messaggio di posta infettato, faccia click sul link contaminato, o navighi su pagine di cattiva reputazione pronte ad iniettare il virus sul computer.
Il mondo inizia a recuperarsi dalle prime ondate di attacchi, di cui ancora non sono stati trovati gli autori, però tutto ciò fa prevedere che potrebbero arrivare più aggressioni, per cui bisogna incrementare al massimo le misure di sicurezza negli ambiti di lavoro.
Nonostante i modi di questi cyber attacchi possano variare ed i virus possano mutare, questo tipo di situazioni saranno certamente comuni d’ora in poi. È ormai cosa del passato lo hacker giovane che faceva attacchi solo per dimostrare la sua capacità. Adesso, alle origini di queste aggressioni si trovano delle organizzazioni criminali, con un obiettivo strategico e/o economico chiaro.
“Per quanto riguarda la sicurezza parliamo di due tipi di aziende; quelle che sono state attaccate e quelle che saranno attaccate, nel caso in cui la domanda è quando?”, ci spiega José Luis González, direttore di Sicurezza di Codere. Secondo lui, “le norme stanno cambiando ed i vantaggi sono dalla parte dell’attacante, che è anonimo, riservato e sceglie il momento, facendo uno sforzo molto inferiore a quanto richiede la protezione”.
Perciò, ci spiega, non bisogna avere un atteggiamento reattivo, anzi, è necessario un modello proattivo nell’analisi della situazione. “Le politiche di prevenzione devono fare la loro parte come protagoniste e perciò l’utente è la migliore difesa. Nel caso di Codere, la gestione della crisi è stata molto appropriata, ma non c’è alcun rischio che non sia costante”, riconosce.
Codere, un protocolo complessivo di fronte ad una minaccia globale
Nella nostra azienda, appena scattato l’allarme, lo staff di Sicurezza e Operazioni ha lavorato insieme nella riduzione al minimo del rischio di contagio.
“Eravamo in una riunione con PwC, parlando per l’appunto su temi di cyber sicurezza, quando loro, che hanno Telefonica come cliente –la prima azienda interessata dal virus Wanna Cry in Spagna-, ci informano sull’attacco. Le prime misure di prevenzione sono state prese a quel punto, durante la riunione. La prima cosa fatta è stata bloccare il dominio di Telefonica e di alcune aziende che eravano sotto attacco, in modo da non ricevere più messaggi infettati da loro. Poi abbiamo costituito un’unità di crisi attraverso Whatsapp, per essere in comunicazione costante e diretta. Ne facevamo parte il direttore di Sicurezza di Codere, José Luis González, il responsabile di Infrastrutture e Sistemi, Miguel Ángel de la Calle, Óscar Priego come responsabile di Comunicazioni, Juan José Fortes, responsabile del Servizio di Supporto, ed io”, ci spiega José Antonio Pérez Quintero, direttore di Operazioni IT.
Questa task force, insieme al direttore di Sistemi dell’Informazione del Corporate, Felipe Ludeña, teneva degli incontri con i responsabili di IT di ogni Business Unit ogni dodici ore, attraverso le conference call. Così da venerdì a lunedì si son tenute due call al giorno –alle 17 e mezzanotte ore italiane- per continuare con lo stesso protocolo nel Gruppo, assumendosi un ruolo centralizzatore del problema. Bisogna sottolineare il lavoro dello staff di IT dei Paesi del Gruppo, che hanno implementato con grande agilità e impegno le rigorose misure di sicurezza fissate dal Corporate.
“Abbiamo subito cominciato a bloccare i collegamenti con tutte le aziende esterne, produttori, fornitori e VPN, che sono collegamenti attraverso cui accedono i fornitori alla nostra rete. Ci siamo isolati completamente, chiudendo il perimetro di Codere.
Abbiamo inviato il primo Info S.A.U. prima delle 13.00 ore italiane. Vi si diceva che c’erano diverse aziende sotto attacco, che Codere non era infettata, e proponevamo un paio di consigli: non aprire alcun file e non premere alcun link sospettoso. È stato il primo comunicato dei vari che abbiamo inviati questi giorni per cercare la collaborazione dei dipendenti”, aggiunge José Antonio Pérez Quintero.
Isolato il perimetro di sicurezza, in modo tale da controllare quello che proveniva dall’esterno dell’azienda, abbiamo cominciato a installare il patch che aveva inviato Microsoft per evitare il problema, implementandolo in tutti i server e computer degli utenti.
“La decisione è stata quella di fare un riconoscimento in tutte le sedi centrali, installando in modo presenziale il patch, invece di attendere l’aggiornamento dell’utente nel momento di accendere il computer dopo il weekend, per assumersi così il minor rischio possibile. Abbiamo allestito i dispositivi in tutti gli uffici di Codere, che fisicamente accendevano il computer e applicavano il patch. Quando si confermava che il computer era pulito, ci si aggiungeva un puntino. Inoltre, sono stati fissati diversi cartelli negli uffici indicando che i dipendenti che si avessero portato il laptop a casa dovevano passare dalla postazione IT per controllarlo. In alcuni Paesi sono stati fatti i controlli all’ingresso per garantire che tutti portavano un computer all’entrata e vi si applicava il patch. Così, nessuno ha avuto accesso alla Rete fino a non essere verificato. D’altra parte, all’interno del processo di filtro, in alcuni casi abbiamo preso la decisione di isolare le Gaming Hall, non la parte di operazione o di gioco, bensì quella amministrativa, il che gli ha limitato un po’ il lavoro. Dobbiamo comunque ringraziare l’operazione per la pazienza che hanno dimostrato operando con alcune restrizioni, capendo sempre l’eccezionalità della situazione e collaborando con le aree di IT, fornendo personale alle sale per dare supporto nel processo di patching”, spiega José Antonio Pérez Quintero.
In questo senso, José Luis González sottolinea che “il livello di impegno, agilità ed entusiasmo dello staff nel momento di lanciare in modo coordinato in otto Paesi questo processo”. A suo avviso, “è qualcosa che deve rendere orgogliosa l’azienda, visto che dimostra lo spirito di collaborazione che vi è inerente. Tutti hanno risposto in modo brillante”.
Una minaccia costante di fronte a cui l’utente è la migliore difesa
Le minacce cybernetiche sono sempre più frequenti, per cui è fondamentale che ciascuno di noi limiti al massimo il rischio. La responsabilità della nostra sicurezza non è solo nelle mani di IT, ma nell’uso personale dei dipositivi di lavoro, che sono la prima transenna di fronte a eventuali attacchi.
Niente è inoquo. Né aprire un file che ci arrivi, né premere links di cattiva reputazione, né collegare qualunque dispositivo al nostro computer. “Qualunque tra queste azioni possono mettere a repentaglio la sicurezza dell’azienda e mettere in discussione la sua propria sostenibilità, visto che ci sono delle aziende veramente danneggiate. Tutte le misure di protezione sono poche”, spiega José Luis González.
Nel Gruppo, ci sono diversi livelli di restrizione nella navigazione su Internet. Alcuni profili hanno un accesso molto libero all’offerta della Rete, per cui bisogna raggiungere un livello di consapevolezza e impegno più elevato. “Tra poco daremo il via ad un processo di formazione e diffusione con Risorse Umane, in cui ogni categoria di lavoratore riceverà una serie di moduli volti al miglioramento della sicurezza nel Gruppo”, aggiunge José Luis González.
Da parte sua, José Antonio Pérez Quintero ricorda che “il computer è uno strumento di lavoro e non dobbiamo utilizzarlo in modo irresponsabile. È fondamentale non scaricare né premere alcun link di sospettosa provenienza, visto che possono porre un rischio. Qualunque cosa che ci faccia dubitare, può avere un impatto e rappresentare un problema molto serio per l’azienda”, conclude.
