Il worm Bugbear.B, variante polimorfica del precedente Bugbear.A (altrimenti conosciuto come Tanatos) e gia’ segnalato da Symbolic qualche giorno fa, si e’ diffuso ad una velocita’ impressionante in poco piu’ di 24 ore, anche se nelle ultime ore sembra aver rallentato il passo: le infezioni registrate in due giorni sono piu’ di 140 mila, i paesi coinvolti oltre 160. L’Italia e’, insieme a Gran Bretagna e USA, uno dei piu’ colpiti.
Bugbear.B e’ particolarmente insidioso in quanto, oltre a infettare i file su disco e ad aprire una backdoor che consente di prendere il controllo da remoto della macchina colpita, puo’ causare la perdita di dati sensibili; la sua propagazione via e-mail puo’ infatti avvenire effettuando un inoltro di un messaggio pre-esistente, ma ad un destinatario diverso. All’interno della struttura del virus sono presenti stringhe di testo contenenti un elenco di oltre 500 nomi di domini di banche di circa 30 nazioni, Italia compresa; le banche italiane sono 65. A dare l’allarme e’ stata la polizia postale in un comunicato che ha provveduto a informare i vertici dell’Abi, l’associazione bancaria italiana.
Sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonche’ eventuali usi illeciti, dalla divulgazione, modifica e distruzione. Naturalmente il pericolo rappresentato dall’attacco di un virus al sistema informatico di una banca o comunque di un’azienda essendo, oggi come oggi, molto alto deve essere adeguatamente previsto e principalmente prevenuto. Cio’ puo’ avvenire attraverso lo specifico contratto di Disaster Recovery che assolve alla funzione di fornire alle imprese di una certa dimensione servizi volti alla analisi dei rischi di inoperativita’ del sistema EDP e delle misure di riduzione degli stessi, nonche’ nella messa a punto del vero e proprio piano di emergenza informatica, che ricomprende in particolare procedure per l’impiego temporaneo di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.
L’accordo in esame puo’ costituire oggetto di una particolare clausola inserita nel contratto di outsourcing; tuttavia e’ frequente l’ipotesi in cui le parti decidono di stipulare un autonomo contratto, che prescinda da chi debba gestire il servizio, il medesimo fornitore del sistema EDP o un terzo.
La fattispecie negoziale in esame si inquadra nell’ambito dell’appalto di servizi o del contratto di opera a seconda della qualita’ del contraente: se si tratta di un’impresa che si impegna a realizzare il servizio con la propria organizzazione di mezzi e personale ovviamente si stipulera’ un appalto, mentre se si tratta del singolo professionista o di un gruppo di professionisti associati si concludera’ un contratto di opera, nel quale prevale il lavoro personale.
La differenza, sotto il profilo della disciplina, e’ significativa, in quanto il contratto di appalto genera obbligazioni di risultato ed il rischio e’ posto, quindi, a carico dell’appaltatore, che lo assume proprio perche’ conta su un’organizzazione predisposta e governata da lui. Nel contratto di opera, la dottrina distingue ancora tra contratto d’opera materiale, qualificato come mini-appalto con la medesima disciplina di quest’ultimo, e contratto di opera intellettuale che genera obbligazione di mezzi, nel senso che oggetto del contratto e’ il comportamento diligente ed esperto del prestatore mentre il rischio del mancato risultato grava sul committente il quale sceglie di stipulare tale contratto per ottenere che la prestazione sia eseguita con lavoro proprio, personale o prevalentemente personale del prestatore d’opera intellettuale.
In definitiva nella prassi ricorrono entrambe le ipotesi a seconda che l’utente prediliga contare su un’organizzazione altrui che assuma ogni rischio ovvero su un tecnico o gruppo di tecnici dotati di particolari qualita’ e nei cui confronti nutra un rapporto di particolare fiducia.
Quanto allo specifico contenuto dell’accordo, che prescinde dalla qualita’ del contraente, lo stesso riguarda lo strumento migliore, oltre il backup, per rendere sicuri i dati dell’azienda, ovvero il piano di disaster recovery che prevede esplicitamente i passi da seguire quando una catastrofe distrugge i sistemi e i dati.
In particolare al fine della predisposizione di un piano realmente efficace bisogna passare attraverso diverse fasi.
Innanzitutto e’ necessario fare un elenco dei potenziali disastri che potrebbero verificarsi sulla rete. Tra le cause principali si segnalano il malfunzionamento dei dischi, l’interruzione temporanea delle operazioni, i virus, gli attacchi di hackers, la distruzione fisica.
Il passo successivo nella creazione del piano consiste nel definire le priorita’ per applicazioni automatizzate, nel senso che devono essere determinate le funzioni del sistema che devono essere ripristinate immediatamente dopo un disastro e quelle che invece possono aspettare. Nella stesura di questa parte del processo di pianificazione i risultati migliori si ottengono quanto piu’ onestamente i dipendenti ammettano la importanza delle loro funzioni per l’azienda ovvero quanto piu’ agevolmente tale valutazione possa essere compiuta sulla base di criteri oggettivi. In ogni caso il lavoro da compiere risulta difficoltoso poiche’ e’ necessario predisporre una catalogazione di tutte le applicazioni, operazione non sempre agevole.
Normalmente si distingue tra funzioni essenziali per attivita’ a tempo pieno (si tratta di operazioni che devono proseguire in modo continuativo per il buon andamento dell’azienda), funzioni vitali a tempo parziale (si tratta di operazioni che devono continuare ma che hanno luogo periodicamente in specifici momenti), funzioni necessarie per obiettivi aziendali di secondaria importanza (sono operazioni considerate necessarie ma non rappresentano obiettivi primari), attivita’ operative di routine, attivita’ di crescita.
Il terzo passo nella creazione del piano di Disaster Recovery consiste nell’identificare e implementare misure preventive. Sebbene il piano serva prevalentemente per decidere come comportarsi in caso di disastro, questo certamente non preclude la possibilita’ di prendere in esame modalita’ per prevenire i problemi o alleggerirne le conseguenze. D’altra parte la conoscenza e l’implementazione delle misure di protezione dei dati sono fondamentali per l’eventuale ripristino dopo il disastro.
In particolare bisogna prendere in considerazione le seguenti precauzioni: il backup dei dati, la ridondanza dei dati, il software anti-virus, l’energia elettrica (gruppi di continuita’), i firewall (sistemi di sicurezza contro possibili intrusioni di hackers), un centro dati alternativo.
Il passo successivo nel processo di pianificazione consiste nello scrivere le istruzioni di ripristino, preparare, cioe’, un elenco dettagliato che spieghi esattamente che cosa fare quando un sistema qualsiasi deve essere ripristinato.
Nel piano e’ necessario indicare le seguenti informazioni: persone da contattare per ciascun reparto; modalita’ per recuperare i nastri di backup e copie di altri media; nomi e informazioni sui fornitori che possano fornire immediatamente nuovi computer adeguati alle esigenze dell’utente; nomi e informazioni sui fornitori che possono offrire consulenti in grado di eseguire le operazioni di ripristino istruzioni per recuperare i dati dai supporti di backup; notizie dettagliate su come configurare le workstation e i server da utilizzare in una LAN ripristinata.
Infine e’ necessario perfezionare il piano, accertando altresi’ che il medesimo funzioni attraverso tests di verifica e sottoponendolo a revisione periodica.
Scritto da
Commenta!