Prepararsi ad un attacco informatico può consentire di evitare o mitigare il rischio di doverlo fronteggiare davvero.
A cura di Vittorio Orefice
Tutti noi speriamo e ci auguriamo che non succeda mai all’azienda nella quale lavoriamo, ma, come dicevano i latini: “si vis pacem para bellum”, ossia “se vuoi la pace prepara la guerra”, che rapportato al nostro tema vuole ricordarci la necessità di dotarsi degli strumenti (informatici ed organizzativi) giusti per essere pronti a difendersi all’occorrenza.
Essere preparati, conoscere ed esercitarsi a adottare le procedure corrette per prevenire, gestire e superare un attacco informatico è oggi di fondamentale importanza per tutte le aziende
Si stima che, almeno in larga maggioranza, le aziende sottostimino questa tipologia di rischio e adottino, di conseguenza, contromisure preventive minimali o insufficienti.
Così abbiamo pensato di raccontare, creando un case study ironico, cosa può accadere per aiutare tutti a valutare meglio quali strumenti utilizzare, per evitare di inoltrarsi in comportamenti a rischio.
Proviamo allora a sviluppare, con l’aiuto di una narrazione astratta, ma vicinissima a molti casi reali accaduti, un caso di attacco informatico con sottrazione o compromissione dei dati ad una PMI italiana.
A questo punto forniamo un dato: di solito chi viene attaccato rimane ignaro dell’accaduto per lungo tempo: si stima che in media l’attacco si palesi dopo 3 o 6 mesi.
In particolare, i tempi più lunghi sono “riservati” a chi non viene direttamente danneggiato, ma solo sfruttato come trampolino per altri assalti. Questo attacco pare meno grave, da certi punti di vista, ma ha pesanti risvolti legali a causa dell’incuria che, colposamente, ha consentito che il criminale danneggiasse altri attraverso le infrastrutture del malcapitato.
L’altro tipo di parte lesa è l’effettivo destinatario di un attacco con sottrazioni e compromissioni di dati ed è la storia che stiamo per raccontare.
Prima di passare alla “storiella” un paio di domande di auto-valutazione.
- Sospetto per qualsiasi ragione una emergenza sui dati: so che allarme attivare?
- Sono l’incaricato di reagire ai pericoli: ho un elenco di supporti da contattare?
- Sono il CEO: so cosa aspettarmi e da chi, ma anche cosa dire e a chi?
- In azienda sono chiari i doveri delle varie figure in un caso del genere?
- Si è fatta mai una policy sulla reazione o una simulazione di emergenza?
- E, buon ultimo, ci sono backup recenti e verificati delle macchine coinvolte?
Se qualcuna di queste domande vi ha fatto pensare: “ma noi mica siamo la Nasa” o “ma perché dovrebbero attaccare noi”, la vostra azienda ha un problema e sta correndo dei seri rischi.
Scopo di questo scritto è convincere ogni azienda ad alzare le proprie difese al massimo che il budget permette. Non ci sono ricette buone per tutti.
Vi suggeriamo di leggerlo provando, dopo ogni passo, a prevedere il successivo momento vissuto dai protagonisti e le decisioni da prendere.
Nel racconto dei giorni di crisi che segue scriveremo, come se raccontassimo una storia realmente accaduta all’azienda del lettore, è un espediente narrativo per facilitare l’immedesimazione.
Giorno 0: Il rilevamento
La crisi ha inizio con il rilevamento dell’attacco. Il sistema di sicurezza, attraverso segnali anomali, avverte che qualcosa non va.
Si è subìto un data breach: letteralmente una breccia nella difesa perimetrale, anche se oggi il concetto di perimetro è vago, che permette di fare danni all’interno.
Dati aziendali e di persone interne e di clienti sono stati sottratti o criptati o...
Non è il momento del panico, ma dell’azione prevista e ben codificata.
Primo passo: isolare il sistema infetto, per limitare la diffusione del danno. Comunicare immediatamente alla squadra IT e attivare il piano di risposta alle emergenze, se disponibile.
Giorno 1: Richiesta di supporto
È fondamentale cercare aiuto da esperti in materia di cybersecurity per iniziare la remediation e la mitigation. Questi professionisti conducono un’analisi forense digitale per comprendere la natura e l’ampiezza dell’attacco, identificando il tipo di malware utilizzato e come è penetrato nel sistema.
Giorno 2: Ricerca delle cause
Questo è un momento cruciale: bisogna identificare la causa del breach, che può risiedere in una vulnerabilità del software (spesso vetusto e/o non aggiornato), in un attacco di phishing riuscito, o in un’azione di un insider malevolo. Questo passaggio non è solo fondamentale per la mitigazione dell’attacco in corso, ma anche per prevenire futuri incidenti di sicurezza.
Giorno 3: il riscatto
In caso di ransomware, può arrivare una richiesta di riscatto per il recupero dei dati.
Si decide di non pagare.
Non c’è garanzia che, una volta pagato, i dati verranno restituiti. Inoltre, pagare incoraggia gli attaccanti a continuare con le loro azioni illecite.
Giorno 4: Comunicazioni obbligatorie
Occorre(va) notificare l’incidente alla competente Autorità di Protezione dei Dati nel più breve tempo possibile e, comunque, entro 72 ore. Questo è un obbligo imposto dal GDPR. Se l’incidente comporta un alto rischio per i diritti e le libertà dei soggetti coinvolti, bisogna informare anche loro senza ingiustificato ritardo.
Spesso però, accade al giorno 4 o anche più tardi, ma 72 ore sono 3x24 quindi aumenta il rischio di sanzioni!
Giorno 5: Gestione della comunicazione esterna
Bisogna comunicare l’evento ai clienti e partner. È fondamentale mantenere la trasparenza, fornendo informazioni chiare su cosa è successo, quali dati sono stati sottratti e quali misure si sono adottate. Serve equilibrio: non bisogna divulgare dettagli che potrebbero mettere ulteriormente a rischio la sicurezza del sistema, però i comportamenti reticenti o poco chiari sono fortemente controproducenti per la fiducia.
Giorno 6: Recupero e prevenzione
Dopo aver gestito l’attacco e le sue conseguenze immediate, è il momento di guardare avanti. Tutte le vulnerabilità, anche quelle incolpevoli, vanno affrontate e si deve controllare che le misure di sicurezza siano state migliorate per prevenire attacchi futuri.
Il primo giorno dopo la crisi, le riflessioni e le conseguenze.
La gestione di un attacco informatico è una sfida che richiede prontezza, competenza e trasparenza. Sebbene la prevenzione sia sempre la migliore strategia, sapere come reagire a un attacco può fare la differenza tra un incidente contenuto e una crisi devastante. L’importanza di un approccio sistematico e metodico non può essere sottovalutata.
E il momento di analizzare l’errore che ha scatenato/permesso/agevolato la crisi e le altre debolezze che ne permetterebbero di nuove.
Siamo ottimisti, l’azienda della nostra storiella è tra quelle fortunate che sopravvivono alla bufera e, anzi ne escono in certo qual modo rinforzate.
Dopo l’esperienza sanno bene cosa hanno passato e non ci vogliono ricadere.
In questa azienda il Budget per la sicurezza ICT e per la formazione degli utenti subisce aumenti non solo significativi ma potenti. Gli addetti comprendono bene che avrebbero potuto essere disoccupati e non voglio ritrovarsi nuovamente a rischio.
Insomma, sembrerebbe una storia a lieto fine ma come le favole ha un forte scopo formativo!
L’obiettivo di questo articolo è aiutare chi legge a fare propria sin d’ora la condizione virtuosa che subentra, di norma, “dopo l’attacco”, tra i fortunati che hanno superato la tempesta.
In sostanza suggeriamo di apprendere dall’esperienza altrui senza averne riportato i danni.
Desideriamo far comprendere al management che la sicurezza aziendale (ICT, ma non solo) e la prevenzione dei rischi in senso lato, costituiscono una best practice per mettersi al riparo da crisi simili, che spesso sono esiziali per i colpiti e, anche se finiscono bene, hanno costi davvero preoccupanti.
Vorremmo che, in qualche modo, questo articolo fosse sufficientemente coinvolgente e così ”scioccante” da fungere da monito e indurre a porsi, seriamente, una domanda: la mia azienda ha adottato delle policy aziendali adeguate a prevenire e/o mitigare il rischio di un attacco informatico?