Lo scorso 31 marzo si è celebrata la Giornata Mondiale del backup, e per l’occasione il Clusit ha ribadito l’urgenza di adottare politiche efficaci di protezione dei dati nelle aziende, dotandosi di sistemi di backup efficaci e adeguati. I dati dell’ultimo rapporto Clusit 2025 sullo stato della sicurezza informatica in Italia evidenziano come nel nostro Paese nel 2024 si sia concentrato ben il 10% del totale di tutti gli attacchi cyber avvenuti nel mondo, con una crescita del 15% e una quota pari al 53% di incidenti classificati come gravi, di poco superiore alla media mondiale.
Come ha quindi sottolineato Alessio Pennasilico, membro del Comitato scientifico del Clusit, il backup oggi per le aziende rappresenta una garanzia di sopravvivenza, e non più un’opzione. Pennasilico rimarca in particolare un aumento delle soluzioni di cybersicurezza che prevedono copie immutabili dei dai che resistono ad attacchi ransomware e corruzioni negli ambienti on premise. Diversa la situazione che l’Associazione italiana per la sicurezza informatica rileva per gli ambienti cloud, dove persiste un assai pericoloso ‘feticismo tecnologico’: ovvero, la diffusa convinzione che la sicurezza informatica nel cloud venga gestita in maniera automatica. Di fatto non è così e la realtà è ben diversa, in quanto anche negli ambienti cloud il backup dei dati va progettato e testato con la medesima diligenza che viene dedicata on-premise. Pertanto, le aziende devono valutare opportunamente scenari e rischi, configurando in maniera corretta i propri servizi cloud e, laddove necessario, sottoscrivendo tutti i servizi necessari, oltre quelli base, che non è detto includano di default tutti i presidi necessari.
Pennasilico elenca quindi tre verità scomode relative al backup e agli ambienti cloud. La prima è che il cloud non è magico: i servizi cloud richiedono backup progettati e testati con la stessa accuratezza e attenzione degli ambienti tradizionali. La perdita di dati può derivare da errori umani, configurazioni errate o attacchi mirati, anche nelle infrastrutture cloud. Un altro rischio da valutare è la disponibilità dei propri dati alla cessazione dell’account o del servizio, da parte dell’utilizzatore o del provider. In secondo luogo, la caratteristica della immutabilità è un requisito chiave del backup: le soluzioni immutabili, ormai diffuse negli ambienti on premise, sono ancora poco adottate nel cloud, dove la crittografia e l’isolamento delle copie restano fondamentali. Infine, le aziende non devono vedere il backup come un costo: così come non si ritiene inutile investire nell’assicurazione dell’auto, pur sperando di non averne mai bisogno, allo stesso modo dotarsi degli strumenti più adatti al proprio business per proteggere i propri dati è una pratica necessaria.
Soffermiamoci quindi sulla immutabilità, che è una caratteristica saliente di un sistema di backup che viene implementato in azienda. Requisito fondamentale per garantire l’immutabilità di un sistema di backup dei dati è in particolare la rispondenza alla cosiddetta regola del 3-2-1 -1-0, che stabilisce che occorre avere almeno 3 backup su almeno 2 supporti diversi e in almeno 1 sito differente da quello in cui viene creato, 1 copia immutabile o con Air-gape, e infine 0 errori di backup.
Altra condizione fondamentale è quindi che, agendo sullo strumento che viene utilizzato per creare i backup, non sia possibile cancellare un set di backup prendendo il controllo della macchina dedicata. A tal fine è necessario che la macchina impiegata per creare i backup sia basata su object storage immutabile ed esterno all’azienda. E’ pertanto essenziale che il cloud provider fornisca un repository non aggredibile, tipo di tecnologia che nella fattispecie è presente ad esempio nell’offerta Soliddata, che può così facilitare moltissimo il compito a chi è deputato alla protezione dei dati in azienda.
Quando infatti è in corso un attacco informatico, i pirati vanno innanzitutto a ricercare se all’interno dell’infrastruttura aziendale è presente una macchina per i backup, come Veeam. Gli attaccanti prendono allora il controllo della macchina Veeam sfruttando vulnerabilità del sistema o zero day. Per inciso, un breach zero day è una vulnerabilità che ancora non ha una storicizzazione, esce il ‘giorno zero’ per cui i dispositivi di controllo convenzionali non sono pronti a riconoscerla e fronteggiarla. Indisturbato, l’hacker può quindi aggirarsi all’interno dell’infrastruttura dell’azienda.
Preso quindi il controllo della macchina dei backup mediante credenziali acquisite in modo fraudolento, l’attaccante per prima cosa apre la console, ad esempio di Veeam, verifica quali siano i set di backup presenti e preme ‘delete’. Se il sistema è basato su object storage esterno con caratteristiche di immutabilità, quando il pirata informatico tenta di eseguire l’operazione riceve quindi un rifiuto a procedere da parte del sistema, neutralizzando l’attività malevola e assicurando la necessaria protezione dei dati in azienda.