Usare l’ethical hacking per contrastare l’hacking: può sembrare un controsenso, ma è da qui che passa la massima protezione dei sistemi aziendali. Per un motivo molto semplice: ragionare e agire come un criminale informatico consente di prevenire le sue mosse. Non che occorra tornare sull’annosa questione di hacker buoni e cattivi. Più semplicemente, i criminali informatici utilizzano tecniche e strumenti da black hat che sono le medesime utilizzate in tutto il mondo dell’hacking. Ed è proprio qui che viene in soccorso l’ethical hacking.
Il punto di divisione tra black hacking ed ethical hacking è solo nelle finalità dei due emisferi. Nel primo si persegue il profitto sulla strada della vera e propria criminalità, mentre nel secondo il profitto è regolato, appunto, da confini etici e legali ben delineati. Ed è proprio da questo assunto che si può capire perché l’ethical hacking è uno dei principali strumenti nella lotta al cybercrime. Ma in termini pratici, cosa rischia il business se non si sfrutta l’ethical hacking?
Stando al più recente rapporto CLUSIT l’86% dei cyberattacchi ha finalità criminose e il trend è in crescita da ormai diversi anni. Dati precisi non ce ne sono ma, giusto per fare un esempio, nel 2021 la Polizia Postale ha censito 126 attacchi a sistemi finanziari di imprese medio-grandi, per un ammontare complessivo di oltre 36 milioni di euro sottratti. E si parla solo di eventi denunciati e relativi a un unico settore. Frequenza, severità ed entità economica degli attacchi sono i parametri che evidenziano come sia ormai probabile, per un’azienda italiana, caderne vittima.
Diventare vittime di un attacco informatico non si riduce ai soli danni economici, per quanto importanti. Vi sono infatti da considerare altri parametri che, specialmente oggi, rivestono un’importanza strategica. In primis il danno d’immagine, particolarmente grave quando vengono compromessi degli asset aziendali o delle informazioni personali di clienti e partner. E poi, di conseguenza, anche i danni dovuti all’inottemperanza di compliance, come per esempio la GDPR. In questo caso, oltre al danno si aggiunge la beffa, poiché la vittima rischia di pagare delle conseguenze legali piuttosto pesanti.
Rinunciare all’ethical hacking significa esporsi a tutti questi rischi, perché si rinuncia alla possibilità di anticipare le mosse dei cybercriminali. L’ethical hacking, infatti, se svolto da personale qualificato e dotato di adeguato bagaglio di conoscenze e strumenti, consente di effettuare test capaci di verificare, come nessun altro, le possibilità di attacco da parte dei cybercriminali. Si parla, in questo caso, dei ben noti penetration test, cioè complesse procedure che non si limitano a rilevare i punti deboli del sistema, ma si occupano anche di provare a sfruttarli per comprendere fino a dove si può spingere l’attaccante.
L’ethical hacking entra in gioco proprio in questa fase. Un gruppo di specialisti, dopo accurato confronto con l’azienda, stabiliscono insieme a questa il perimetro e la modalità dei test. Poi, dopo aver pianificato ogni dettaglio dell’attività, avviano una serie di verifiche per rilevare tutti i punti ove è possibile sferrare un attacco. Quindi passano all’exploiting delle vulnerabilità. In base ai risultati viene infine stilato un rapporto dettagliato che consente all’azienda di capire dove è meglio intervenire per schermare i sistemi.
Tutto il processo, se eseguito da ethical hacker professionisti, è svolto utilizzando le medesime tecniche dei cybercriminali. I quali, dopo il necessario intervento sui punti deboli da parte dell’azienda, non troveranno più gli abituali punti di ingresso e saranno costretti a puntare verso altri obiettivi. Per tutte queste ragioni, l’ethical hacking è una scelta ormai imprescindibile per qualsiasi azienda che voglia mettersi al riparo, in modo sistematico e organico, dagli attacchi dei cybercriminali, anticipando le loro mosse e giocando sul loro stesso tavolo. Però dalla parte giusta.