Il
14 gennaio 2020:
potenzialmente è l’ultimo aggiornamento per Windows 7
I dispositivi con software “non patchati” o “non supportati” come Windows 7 sono più vulnerabili agli attacchi informatici, ai virus e ai malware. Ecco perché gli esperti di sicurezza informatica consigliano ai milioni di utenti di Windows 7 di aggiornare il proprio sistema operativo - si ritiene che circa 200 milioni di computer utilizzino ancora Windows 7.
Le falle di sicurezza continuano a essere presenti in Windows 7, anche se ormai ha più di un decennio di vita. A gennaio 2020, la National Security Agency statunitense ha
messo in guardia da nuove gravi vulnerabilità nei sistemi operativi Windows, tra cui Windows 7 e l'ultima versione di Windows 10. Microsoft ha incluso una correzione a quello che potenzialmente è l’ultimo aggiornamento per Windows 7 del 14 gennaio 2020.
Il
14 gennaio 2020:
potenzialmente è l’ultimo aggiornamento per Windows 7
I dispositivi con software “non patchati” o “non supportati” come Windows 7 sono più vulnerabili agli attacchi informatici, ai virus e ai malware. Ecco perché gli esperti di sicurezza informatica consigliano ai milioni di utenti di Windows 7 di aggiornare il proprio sistema operativo - si ritiene che circa 200 milioni di computer utilizzino ancora Windows 7.
Le falle di sicurezza continuano a essere presenti in Windows 7, anche se ormai ha più di un decennio di vita. A gennaio 2020, la National Security Agency statunitense ha messo in guardia da nuove gravi vulnerabilità nei sistemi operativi Windows, tra cui Windows 7 e l'ultima versione di Windows 10. Microsoft ha incluso una correzione a quello che potenzialmente è l’ultimo aggiornamento per Windows 7 del 14 gennaio 2020.
La decisione di Microsoft di ritirare il supporto per Windows 7 offrirà ai criminali informatici un'enorme opportunità. I bug nel software possono essere sfruttati dai cyber criminali per scopi dannosi e spesso costituiscono un elemento importante degli strumenti e delle tecniche utilizzate dagli hacker per accedere alle reti,
per rubare dati o per l'estorsione informatica.
Gli hacker cercano le cosiddette vulnerabilità "zero-day" - difetti sconosciuti agli sviluppatori e agli utenti dei software - ma il più delle volte sono in grado di sfruttare anche le vulnerabilità note. Questo perché il software spesso
non è aggiornato tempestivamente. Una volta identificata una vulnerabilità, infatti, i fornitori di software emettono rapidamente un aggiornamento o una “patch” per risolvere il problema. Tuttavia, se lasciati senza patch, i sistemi sono esposti agli attacchi.
L'attacco globale del ransomware
WannaCry del 2017, ad esempio, ha utilizzato una nota vulnerabilità nel software Windows denominata "Eternal Blue". Anche se la correzione della vulnerabilità era stata pubblicata diversi mesi prima dell'epidemia di WannaCry, il malware ha colpito centinaia di migliaia di computer senza patch in tutto il mondo.
La decisione di Microsoft di ritirare il supporto per Windows 7 offrirà ai criminali informatici un'enorme opportunità. I bug nel software possono essere sfruttati dai cyber criminali per scopi dannosi e spesso costituiscono un elemento importante degli strumenti e delle tecniche utilizzate dagli hacker per accedere alle reti, per rubare dati o per l'estorsione informatica.
Gli hacker cercano le cosiddette vulnerabilità "zero-day" - difetti sconosciuti agli sviluppatori e agli utenti dei software - ma il più delle volte sono in grado di sfruttare anche le vulnerabilità note. Questo perché il software spesso non è aggiornato tempestivamente. Una volta identificata una vulnerabilità, infatti, i fornitori di software emettono rapidamente un aggiornamento o una “patch” per risolvere il problema. Tuttavia, se lasciati senza patch, i sistemi sono esposti agli attacchi.
L'attacco globale del ransomware
WannaCry del 2017, ad esempio, ha utilizzato una nota vulnerabilità nel software Windows denominata "Eternal Blue". Anche se la correzione della vulnerabilità era stata pubblicata diversi mesi prima dell'epidemia di WannaCry, il malware ha colpito centinaia di migliaia di computer senza patch in tutto il mondo.
Malgrado il ruolo di rilievo che l’assenza di patch ha giocato in attacchi informatici di alto profilo come quello di WannaCry, il problema persiste. Secondo Gartner i sistemi senza patch restano una delle principali cause di violazioni della sicurezza informatica, con una percentuale stimata del 99%.
Ogni volta che viene rivelata una falla o un’alta vulnerabilità nella sicurezza o viene rilasciato un aggiornamento del sistema o una patch, i criminali informatici vi vedono un'opportunità, spiega Verizon nel suo rapporto 2019 Data Breach Investigations.
Gli hacker sono alla continua ricerca di modi per monetizzare le vulnerabilità, sia attraverso sofisticati attacchi mirati contro le reti e i siti web delle aziende, sia attraverso attacchi non mirati, come il phishing o il ransomware.
Negli ultimi anni alcune delle più grandi violazioni di dati sono state relative a vulnerabilità non coperte da patch. Ad esempio, i sistemi obsoleti hanno contribuito alla massiccia violazione di Equifax del 2017. Più di recente, un attacco ransomware presso Travelex a Capodanno 2019 - che ha portato l'azienda a mettere offline i propri siti Web per oltre due settimane - sarebbe stato associato a una nota vulnerabilità nel software VPN.
Malgrado il ruolo di rilievo che l’assenza di patch ha giocato in attacchi informatici di alto profilo come quello di WannaCry, il problema persiste. Secondo Gartner i sistemi senza patch restano una delle principali cause di violazioni della sicurezza informatica, con una percentuale stimata del 99%.
Ogni volta che viene rivelata una falla o un’alta vulnerabilità nella sicurezza o viene rilasciato un aggiornamento del sistema o una patch, i criminali informatici vi vedono un'opportunità, spiega Verizon nel suo rapporto 2019 Data Breach Investigations.
Gli hacker sono alla continua ricerca di modi per monetizzare le vulnerabilità, sia attraverso sofisticati attacchi mirati contro le reti e i siti web delle aziende, sia attraverso attacchi non mirati, come il phishing o il ransomware.
Negli ultimi anni alcune delle più grandi violazioni di dati sono state relative a vulnerabilità non coperte da patch. Ad esempio, i sistemi obsoleti hanno contribuito alla massiccia violazione di Equifax del 2017. Più di recente, un attacco ransomware presso Travelex a Capodanno 2019 - che ha portato l'azienda a mettere offline i propri siti Web per oltre due settimane - sarebbe stato associato a una nota vulnerabilità nel software VPN.
Ecco le raccomandazioni che gli esperti di sicurezza informatica fanno alle aziende:
• adottare una strategia di patching che dia priorità agli aggiornamenti
• mirare le correzioni verso i maggiori rischi dell'organizzazione
• dare priorità alle vulnerabilità importanti, una volta identificate
• avere un piano per le restanti vulnerabilità
• eseguire tempestivamente di aggiornamenti dei software supportati su tutti i sistemi, ove possibile
Ci sono ragioni legittime per cui alcune macchine e dispositivi possono continuare a utilizzare software vecchi o non aggiornati. La decisione di continuare ad utilizzare software non più supportati dovrebbe andare di pari passo con un aumento delle misure appropriate per mantenere la sicurezza informatica, come ad esempio l'isolamento dei sistemi non supportati da altre reti.
Ecco le raccomandazioni che gli esperti di sicurezza informatica fanno alle aziende:
• adottare una strategia di patching che dia priorità agli aggiornamenti
• mirare le correzioni verso i maggiori rischi dell'organizzazione
• dare priorità alle vulnerabilità importanti, una volta identificate
• avere un piano per le restanti vulnerabilità
• eseguire tempestivamente di aggiornamenti dei software supportati su tutti i sistemi, ove possibile
Ci sono ragioni legittime per cui alcune macchine e dispositivi possono continuare a utilizzare software vecchi o non aggiornati. La decisione di continuare ad utilizzare software non più supportati dovrebbe andare di pari passo con un aumento delle misure appropriate per mantenere la sicurezza informatica, come ad esempio l'isolamento dei sistemi non supportati da altre reti.
Gli assicurati dovrebbero dal canto loro controllare le loro polizze cyber, poiché alcuni assicuratori applicano esclusioni per i danni derivanti da sistemi non supportati, non aggiornati o obsoleti.
Le autorità di regolamentazione stanno inoltre prestando sempre maggiore attenzione alla sicurezza informatica e le conseguenze per la mancata applicazione di patch ai sistemi sono sempre più gravi, in termini di multe, interruzioni dell'attività e danni alla reputazione.
Equifax ha ricevuto una multa di 700 milioni di dollari dalle autorità di regolamentazione statunitensi per la violazione dei dati del 2017, mentre il gruppo alberghiero statunitense Marriott deve affrontare una multa di 99 milioni di sterline nel Regno Unito per una violazione dei dati ai sensi del Regolamento Generale sulla Protezione dei Dati dell'UE (GDPR), causata da un software non protetto da patch. Il GDPR dà ai regolatori il potere di emettere sanzioni fino a 20 milioni di €, ovvero il 4% del fatturato globale di un'azienda.
Gli assicurati dovrebbero dal canto loro controllare le loro polizze cyber, poiché alcuni assicuratori applicano esclusioni per i danni derivanti da sistemi non supportati, non aggiornati o obsoleti.
Le autorità di regolamentazione stanno inoltre prestando sempre maggiore attenzione alla sicurezza informatica e le conseguenze per la mancata applicazione di patch ai sistemi sono sempre più gravi, in termini di multe, interruzioni dell'attività e danni alla reputazione.
Equifax ha ricevuto una multa di 700 milioni di dollari dalle autorità di regolamentazione statunitensi per la violazione dei dati del 2017, mentre il gruppo alberghiero statunitense Marriott deve affrontare una multa di 99 milioni di sterline nel Regno Unito per una violazione dei dati ai sensi del Regolamento Generale sulla Protezione dei Dati dell'UE (GDPR), causata da un software non protetto da patch. Il GDPR dà ai regolatori il potere di emettere sanzioni fino a 20 milioni di €, ovvero il 4% del fatturato globale di un'azienda.
Iscriviti per essere informato sui futuri articoli della serie Resilience e sugli altri documenti, report o approfondimenti da QBE.