Il panorama della sicurezza informatica è stato scosso dall’incidente che ha colpito la società di dispositivi medici Stryker: il 11 marzo 2026 i sistemi legati alla gestione dei dispositivi sono stati compromessi e migliaia di terminali Microsoft sono stati cancellati da remoto. In seguito a questo episodio, la CISA ha emesso un richiamo pubblico invitando le organizzazioni a rinforzare le configurazioni dei propri strumenti di gestione endpoint, in particolare Microsoft Intune, per ridurre il rischio di abusi simili.
L’attacco, rivendicato dall’operazione hacktivista Handala, è stato descritto come prevalentemente distruttivo: non si è trattato di una tipica estorsione con ransomware, ma di una cancellazione massiva e di rivendicazioni di furto dati che hanno generato disservizi nelle catene di approvvigionamento e nelle attività operative.
La CISA, insieme all’FBI e ad altri partner, ha intensificato le analisi e le raccomandazioni operative per evitare che simili compromissioni si ripetano.
Cosa consiglia Cisa per Intune e altri strumenti
La raccomandazione centrale della CISA è di applicare le best practice recentemente pubblicate da Microsoft per mettere in sicurezza Intune. Tra le misure evidenziate: adottare un modello di least privilege tramite il controllo dei ruoli (RBAC), implementare una solida igiene degli accessi privilegiati e attivare misure di autenticazione robuste. In termini concreti, Cisa suggerisce di limitare i privilegi amministrativi, monitorare e rivedere regolarmente i permessi e usare strumenti di monitoraggio per rilevare azioni anomale nei pannelli di gestione.
Controlli di accesso e ruoli
Il principio del least privilege implica assegnare solo le autorizzazioni strettamente necessarie: gli account con accesso a console come Intune devono essere segmentati, con ruoli distinti per attività operative e amministrative.
La corretta configurazione del role-based access control riduce la superficie d’attacco e limita l’impatto di eventuali credenziali compromesse, rendendo più difficile per un aggressore eseguire azioni ad alto impatto come il wipe di massa.
Autenticazione e approvazioni multiple
La CISA raccomanda inoltre di forzare l’uso di MFA resistente al phishing e di sfruttare le funzionalità di Microsoft Entra per le policy condizionali e i segnali di rischio. Un controllo utile è richiedere l’approvazione di più amministratori per azioni sensibili: configurare workflow di approvazione riduce la probabilità che un singolo account compromesso causi danni estesi.
Perché l’attacco a Stryker è significativo
Diversi esperti hanno evidenziato che l’incidente non è un caso isolato ma parte di un’ondata di attività ostili legate a tensioni geopolitiche.
Keven Knight, CEO di Talion, ha sottolineato che l’attacco era diretto alla distruzione piuttosto che al guadagno economico: in assenza di backup adeguati la ricostruzione dei sistemi diventa particolarmente onerosa. Allo stesso tempo, analisti di settore hanno monitorato migliaia di minacce recenti e decine di gruppi attivi, indicando una fase di elevate operazioni di disturbo e intimidazione a livello globale.
Tipi di minacce osservate
Secondo fonti del settore, sono state rilevate campagne DDoS e tentativi di accesso che spesso vengono mitigati senza apparenti interruzioni pubbliche, ma che segnalano una crescente attività ostile. Gruppi hacktivisti come Handala, con presunti legami a servizi statali, hanno combinato rivendicazioni di furto dati e azioni di data wiping, amplificando l’incertezza operativa e la necessità di risposte coordinate tra settore pubblico e privato.
Azioni pratiche che le organizzazioni devono intraprendere
Oltre a rafforzare le configurazioni di Intune, le aziende devono investire in backup affidabili, piani di risposta agli incidenti ben collaudati e esercitazioni regolari. Avere copie dei dati indipendenti e procedure per il ripristino rapido riduce il tempo di inattività e limita l’impatto operativo. È altrettanto importante che i team IT instaurino canali di comunicazione con autorità come la CISA e con forze dell’ordine per condividere indicatori di compromissione e coordinare le contromisure.
Pianificazione del ripristino
Un piano di ripristino efficace deve definire responsabilità, criteri di priorità per i sistemi critici e check-list operative per la ricostruzione. Le esercitazioni simulate, che includono scenari di data destruction, aiutano a identificare lacune procedurali e a migliorare i tempi di reazione. Ripristinare la fiducia operativa richiede non solo tecnologie e processi, ma anche comunicazioni trasparenti verso clienti e partner.
In conclusione, l’attacco a Stryker ha messo in evidenza come la compromissione delle console di gestione dispositivi possa avere effetti rapidi e diffusi. L’appello della CISA a seguire le linee guida di Microsoft e ad adottare controlli di accesso, autenticazione forte e processi di approvazione multipla è una roadmap pratica per ridurre la probabilità di incidenti analoghi. In uno scenario di minacce in crescita, preparazione, backup e collaborazione istituzionale restano gli strumenti più efficaci per contenere il rischio.
