Lo scorso 2 luglio Kaseya comunica che “a partire da metà giornata di venerdi 2 luglio il Kaseya’s Incident Response team ha appreso di un potenziale incidente di sicurezza che coinvolge il nostro VSA software.” Un modo molto sobrio e diplomatico per dire “ci hanno sfondato e adesso siamo credibili e sicuri quanto il Titanic mentre colava a picco!”.

L’attacco di pirati informatici al gruppo e le sue ricadute saranno percepite dai clienti di Kaseya durante i prossimi mesi.

Persino alla Casa Bianca si sono mossi e han diramato un comunicato ufficiale, a riconferma che l’attacco, e il riscatto richiesto (70 milioni di dollari), è un evento di interesse mondiale (i clienti di kaseya,1500, sono sparsi per tutto il mondo occidentale).

Gli attacchi informatici non sono una novità ma negli ultimi anni sono divenuti più sofisticati, numerosi e, sempre più spesso, hanno alla loro base una qualche forma di riscatto (di qui il termine ransomware). Temo (non solo io) che il peggio deve ancora venire. Tuttavia ritengo vi siano anche un’opportunità di investimento.

I governi dicono… i governi fanno…

Al netto delle recriminazioni Biden-Putin sulla nazionalità dei pirati, la maggioranza dei governi mondiali non ha una posizione comune ne ha la capacità di mettere in comune risorse e intelligence in modo efficace con gli altri governi. Si potrebbe anche, insinuare malignamente, che alcuni atti di violazione digitale non siano perpetrati da comuni pirati informatici ma da corsari (la distinzione è sottile ma rilevante).

Intanto il Gao spiega che lo scenario è nero ed il rischio di riscatti sempre più alti potrebbe far saltare il banco degli assicuratori. Il rischio concreto è che gli assicuratori decidano di porre un massimale, a vantaggio dei premi riscossi e lo spread tra riscatto richiesto e massimale non venga colmato dall’assicuratore ma resti a carico della vittima.  

L’industria del valore della pirateria

Quando pensiamo all’epoca dei pirati pensiamo a 4 scappati di casa sanguinari, con giganteschi velieri (costruiti da chi non ci pensiamo mai) che saccheggiavano navi. I pirati di allora e di oggi sono uguali: altamente strutturati. Cerchiamo di comprendere sinteticamente i principali segmenti (e relativa valorizzazione) di questa industria. 

• Monetizzazione nell’ottenimento dell’accesso al pc (tramite email, per esempio) oppure oggetti, connessi via wifi, “rimasti aperto (password di fabbrica mai cambiata.)”.
• Monetizzazione nella vendita di questo accesso iniziale (broker di accessi).
• Monetizzazione del marketplace: siti, di solito nel dark web, dove si possono acquistare accessi a reti globali, che di solito danno accesso a molteplici organizzazioni.
• Monetizzazione nel vendere strumenti di offesa: strumenti di costruzione per creare software pericolosi che possono essere inseriti in documenti word, criptatori per tentare di evadere i controlli dei software antivirus etc..
• Monetizzazione della vendita e rivendita di trojan e botnet per accessi remoti: locky, Trickbot.
• Monetizzazione dalla vendita di software ransomware e accessi a piattaforme di Ransomware-as-a-service (software usati da remoto, al pari dei normali Saas).
• Monetizzazione dall’assunzione di sviluppatori e personale per gli ecommerce locali, per sviluppare strumenti di offesa generici, trojan per accesso remoto, botnets, contenuti (payloads) per i ransomware etc..
• Monetizzazione per l’assunzione di “valutatori di penetrazione (pen tester) per “ricognizioni pre attacco ( il termine si riferisce anche agli hacker etici, ma il concetto è identico per atti etici e criminali)”. 

Variabile Covid 

Il lockdown con il lavoro in remoto hanno ulteriormente aggravato lo scenario. La classica mail dall’IT manager dell’azienda (falsificata), per aggiornare la sicurezza, è divenuto uno dei sistemi più efficaci per infiltrare qualunque tipo di azienda. Un fenomeno che con la riduzione del lavoro remoto, specie nelle grandi aziende, dovrebbe ridursi, di un poco.

Dove investire? 

Assunto che i crimini cibernetici sono appena cominciati la domanda non è quando finiranno ma come coprirsi e, eventualmente, investire per trarne profitto. Dobbiamo essere coscienti che entriamo nel paradosso della lancia e dello scudo. Di conseguenza lo scenario d’investimenti in questi settori seguirà la stessa logica evolutiva. Di qui la necessità di mappare i settori industriali che, per contrastare (ma non vincere) il fenomeno crimini digitali, saranno spinti a crescere ed espandersi (espansione che richiederà capitali).

• Sono coloro che coprono il rischio degli assicuratori. Il mercato dei reinsurer già da un paio di anni si domanda se gli attacchi digitali possano diventare un motore per la crescita dei “riassicuratori”. Swiss Re ne ha discusso già nel 2019, e continua ad approfondire le dinamiche costi/premi.
• Software d’intercettazione e analisi. Nell’ultimo attacco al Colonial pipeline una buona parte del riscatto è stato recuperato dal Fbi. Pur se considerato “irrecuperabile”, in quanto pagato in criptovalute. I software utilizzati saranno sempre più richiesti dalle organizzazioni private (unità di sicurezza delle grandi aziende) e pubbliche (Fbi, Cia, polizia postale etc..) per recuperare il maltolto. Per corollario le aziende che si specializzeranno nella creazione di questi software avranno plausibili crescite.
• ETF. In ambito di finanza speculativa esistono già da alcuni anni Etf specificamente focalizzati sul tema. Da notare che, se consideriamo un Etf quotato su Milano, il suo valore è andato aumentando di anno in anno (in parallelo, potremmo riflettere, con gli aumentati attacchi digitali).
• Business continuity. Stante che spesso l’attacco è finalizzato a sequestrare digitalmente l’accesso dell’azienda ai suoi big data, l’avere più soluzioni di back up (business continuity) si rivela un approccio cauto. In tal senso l’industria del cloud e l’approccio di avere differenti fornitori di immagazzinamento di dati può ridurre l’impatto di un attacco volto a sequestrare i dati. Diversificare i fornitori di backup diventerà sempre più spesso uno standard di sicurezza. Le aziende che forniscono soluzioni di backup cloud e fisico sono capital intensive.
• Hacker etici e pen tester. Ve ne sono tante, e sono in crescita in termini di fatturato.
• Non tagliare R&D nelle partecipate. Kaseya è parte del portfolio di Insight Partner, Solar Wind era posseduto da fondi, Pulse Connect Secure lo stesso. Queste realtà (che ad oggi rappresentano gli incidenti più rilevanti in termini di danno alle filiere) hanno in comune due fattori interessanti. Acquistate/partecipate da fondi hanno visto importanti raccolte per la crescita ma, in parallelo, tagli consistenti a R&D e sicurezza. Un investimento rilevante, da parte di fondi che già oggi possiedono aziende di software (facilmente scalabili e capital intesive), sta nell’investire sulla loro sicurezza e R&D. I potenziali danni a ricaduta (aziende e governi che citano in causa anche i fondi) rischiano di essere molto superiori ai margini ottenuti tagliando gli investimenti nelle software company. 

Tra investimenti finalizzati al ricavo e investimenti su asset già presenti in portafoglio (azione di potenziale prevenzione) non mancano le opportunità, per i fondi, di trarre beneficio da una crisi. 

@enricoverga

Vuoi parlarne con me?

Mi trovi su Linkedin e la mia newsletter è qui (gratis)