Stime conservative danno il fatturato mondiale prodotto dal cybercrime attorno al valore di 1,5 migliaia di miliardi di dollari di poco inferiore al Prodotto Interno Lordo della Russia dello scorso anno e sarebbe il tredicesimo PIL al mondo.
Con i confini tra attività legittime e illegittime che si fanno sempre meno nitidi, non ci troviamo più di fronte ad hacker dotati di felpa con cappuccio, secondo l’iconografia più classica.
L’economia del cybercrime genera il suo business su più livelli, dalle grandi operazioni multinazionali, che possono registrare profitti vicini al miliardo di dollari, fino ad attività più simili alle classiche Pmi, dove gli utili tipicamente viaggiano su 30-50mila dollari.
Come siamo arrivati fino a questo punto? Ce lo spiega l’esperto, Ryan Kalember, Executive Vice President, Cybersecurity Strategy di Proofpoint.
La scala e l’estensione di questo problema è qualcosa che si è sviluppato in modo costante sin dalla nascita di Internet. Certo, i criminali saranno sempre criminali, osserva Ryan Kalember, ma un ruolo importante è stato giocato dall’utopismo tecnologico di chi ha pensato di connettere ogni persona e ogni computer e dalle conseguenze imprevedibili di ciò.
La stessa Internet è stata progettata partendo dalla considerazione che non ne sarebbe stato fatto un utilizzo ostile, quindi con tutti gli utenti connessi chiamati a condividere lo stesso protocollo di rete: il risultato, spiega Kalember, è che ogni cybercriminale è di fatto un nostro vicino di casa, in un modo che non si era mai visto finora.
La sicurezza fisica di un’azienda viene messa a rischio in modo relativamente infrequente dai criminali e, anche quando accade, spetta alle guardie o addirittura alla polizia proteggere da malintenzionati esterni. Nel mondo cyber, invece, le difese sono soggette ad attacchi continui, e l’unico individuo che si trova in mezzo è un dipendente qualunque.
Il problema di oggi è che anche il cybercrime è fatto da persone di business, anche se la maggior parte delle organizzazioni non considera ancora in questo modo le minacce. Per potersi difendere da questi attacchi, dobbiamo comprendere la portata di quello che ci troviamo ad affrontare.
Le minacce si sono sì sviluppate nel corso degli anni, ma nell’ultimo periodo abbiamo visto le imprese del cybercrime crescere e diventare globali a ritmi superiori rispetto a quanto un’azienda regolare potrebbe anche solo immaginare, e questo merita un approfondimento attento.
Cybercrime, economia capitalista
Il cybercrime segue il denaro, e nella gran parte dei casi, ha saputo crescere e organizzarsi seguendo gli stessi modelli economici del business regolare.
Il sottobosco criminale, spiega Kalember, si è evoluto seguendo gli stessi passaggi dell’economia capitalista descritta da Adam Smith. Il cybercrime si impegna per innovare l’offerta e restare al passo con i tempi: può trovare la nicchia di mercato, sfruttare le tendenze del momento e approfondire le modalità di funzionamento di un potenziale bersaglio per poi sfruttarne le debolezze a loro beneficio, soprattutto economico.
In termini di struttura economica, all’interno di un’organizzazione o in relazione a un mercato più ampio, tutto si gioca sulla specializzazione.
Nel mercato più esteso, proprio come abbiamo visto una rinascita di piccoli retailer, fornitori di servizi e player tecnologici specializzati, molte organizzazioni di cybercrime tendono a specializzarsi su un determinato aspetto, per poi creare un mercato di servizi sotterranei attorno a questa offerta.
Può essere un Gruppo ucraino diventato noto per un malware particolarmente efficace, o capace di offrire una botnet in affitto al miglior offerente, ad esempio. Il prezzo del malware sul dark web è calato drasticamente nel tempo, scendendo quasi a livello di commodity, e i cybercriminali devono trovare il modo di differenziarsi per mantenere il loro successo.
Questo, osserva Kalember, ci porta a una struttura verticale un poco differente ma altrettanto interessante, presso alcune delle organizzazioni di cybercrime più estese e di maggiore successo.
Queste ricordano abbastanza da vicino le grandi multinazionali del mondo aziendale legittimo, con tanto di struttura per unità di business, con dipartimenti specializzati su differenti aspetti, come ad esempio la ricerca di individui da prendere di mira sui social media, la produzione di email di phishing, un call center telefonico per il social engineering, uno studio grafico e un dipartimento dedicato al recruitment.
Si sono visto esempi in Nigeria, spiega Kalember, di realtà che hanno avuto successo nell’accesso agli account email e al raggiungimento di guadagni finanziari notevoli sulla base di frodi finanziarie basate sul social engineering, anni luce lontane delle rozze mail-truffa firmate a sedicenti principi nigeriani, che sono rimaste simbolo di quest’area.
Questo è un classico esempio di come la specializzazione delle attività e la separazione tra lavoro e capitale abbia permesso a queste organizzazioni di crescere. Combinando tutto ciò con il tasso elevato di connessione e l’accesso esteso alla tecnologia del mondo attuale, è facile capire come il cybercrime abbia sviluppato tanto rapidamente una sua economia globale.
Come funziona l’economia globale del cybercrime
La prima cosa che fanno i criminali, spiega Kalember, è capire come funziona il nostro business. Il cybercrime è interessato ai processi di business delle organizzazioni legittime, per capire come far crescere la loro attività ma anche per trovare i punti deboli da sfruttare a loro vantaggio.
Le minacce cyber più efficaci e sofisticate che incontriamo oggi non sono solamente gli exploit chiamati scenograficamente zero-day ed elaborati da qualche mente acuta in una stanza da qualche parte del mondo – se bastassero questi a bloccare un’azienda o una nazione non ci troveremmo nel punto in cui siamo.
Anche l’organizzazione del cybercrime meno avanzata tecnologicamente può essere efficace nell’estorcere denaro da organizzazioni che invece dispongono di una difesa sufficientemente tecnica.
Ciò accade perché sanno prendere di mira le persone, che sia attraverso tattiche di ingegneria sociale o messaggi di phishing mandati al momento giusto, visto che è questo il lato che offre meno resistenza. La sempre maggiore professionalità del cybercrime abbinata a una forte attenzione sull’individuo ha creato una marcata asimmetria tra il modo in cui gli hacker pensano gli attacchi e il modo in cui le organizzazioni legittime preparano le loro difese.
Spostare il focus dal tecnico al fattore umano
Alla cybersecurity si pensa ancora come una disciplina fondamentalmente tecnica, con un focus sulla protezione del perimetro esterno di un’organizzazione, oppure sulla tecnologia su cui si basa la rete dell’impresa stessa, invece che sulle persone, che vengono in realtà prese di mira e colpite dai cybercriminali.
Quello che davvero preoccupa, secondo Kalember, è il ritardo con cui le organizzazioni legittime si pongono in questo equilibrio asimmetrico di comprensione, e i dati particolarmente significativi dell’FBI, secondo cui oltre 12 miliardi di dollari sono stati rubati dai cybercriminali attraverso truffe condotte via email ed incentrate su persone, nel solo 2018.
Per difendersi dalle minacce attuali, le organizzazioni devono essere in grado di vedere e comprendere chi all’interno della loro struttura viene preso di mira, e come. Solo così, è possibile definire e implementare azioni adeguate di sicurezza incentrate sulle persone, per proteggere loro e il loro business.
Comprendendo a fondo il nemico e le minacce, le aziende che implementano le giuste forme di difesa possono non solamente proteggere la loro reputazione, ma anche giocare un ruolo importante nell’ostacolare questa ondata globale di criminalità.
