Il rischio zero non esiste, lo abbiamo già detto, e quindi non è una questione di “se”, ma di “quando”. Gli ultimi casi eclatanti di attacchi, in ordine di tempo sono stati la SIAE e San Carlo, quelli delle patatine, ma per due casi importanti che finiscono sulle pagine dei giornali, ce ne sono a centinaia di più discreti, che non meritano gli onori della cronaca.
Non li meritano perché non di interesse mediatico, ma non ci sono dubbi che per l’imprenditore che si trova con l’azienda ferma, i sistemi bloccati e la produttività in panne, con conseguente impatto sulla fatturazione, siano importanti, eccome.
Siccome si tratta solo di una questione di tempo, quindi, e possiamo dare per scontato che un giorno un attacco avrà successo anche da noi, vediamo quali sono le best practise da adottare per minimizzare il rischio ed il danno.
Abbiamo già parlato di che cosa sono i ransomware, software malevoli che rendono inaccessibili i file dei computer infettati, con conseguenza richiesta estorsiva di un riscatto (in inglese ransom) per ripristinare la situazione precedente. Poiché essi rappresentano oltre un terzo degli attacchi informatici complessivi, tanto da stare diventando non solo un problema a livello aziendale, ma un tema geopolitico rilevante, con coinvolgimento dei governi mondiali e scenari particolarmente tesi tra diversi schieramenti, è ad essi che faremo riferimento in questo articolo.
A sviluppare e diffondere ransomware oggi sono vere e proprie gang, che operano a livello mondiale. Secondo Dark Tracer, organizzazione di intelligence contro il dark web cyber crime, sarebbero 52 le organizzazioni criminali che si occupano di ransomware, basate principalmente in Russia, Est Europa e Cina.
Con questi numeri è facile immaginare che nei prossimi anni, il “fatturato” del cybercrime mondiale passerà dal suo attuale terzo posto, dopo USA e Cina, passerà al primo posto senza troppo sforzo. Non è possibile combatterli, ma possiamo armarci per difenderci nel miglior modo possibile.
Per approfondimenti in tema di ransomware consigliamo l’articolo “Cybersecurity, guida ai ransomware: che cosa sono, come prevenirli e come reagire”
1.Prima: la prevenzione
La regina di tutte le misure di sicurezza è la prevenzione.
L’adagio “prevenire è meglio che curare” echeggia nelle nostre orecchie, e non è mai stato così valido come in tema di sicurezza informatica. Un protocollo di cybersecurity degno di questo nome dovrebbe prevedere quanto meno i seguenti punti:
- Assesment iniziale della situazione, con mappatura della rete e delle misure di sicurezza già esistenti;
- Analisi dei rischi misurati secondo lo stato dell’arte, ed elaborazione di un mitigation plan per la minimizzazione del rischio, con investimenti ed implementazione delle misure di sicurezza, laddove non adeguate;
- Compliance al GDPR. Su questo tema si potrebbe aprire un capitolo a parte, e molti imprenditori storcono il naso quando si parla di “legge sulla privacy”, considerandola come un inutile tributo da pagare alla burocrazia, ma non bisogna dimenticare che proteggere i dati e la loro integrità e riservatezza vuol dire proteggere un asset aziendale di cruciale importanza. Viceversa, adoperarsi per l’adeguamento al GDPR senza prevedere una adeguata strategia di sicurezza informatica, vuol dire effettuare un adeguamento zoppo, dunque i due elementi devono andare di pare passo, necessariamente;
- Formazione del personale e sensibilizzazione della proprietà e della dirigenza: il fattore umano rappresenta il primo fattore di rischio e di ingresso di minacce all’interno del perimetro informatico, dunque investire in formazione resta una pratica virtuosa da cui non si può prescindere;
- Redazione delle procedure: proceduralizzare le misure di prevenzione adottate in azienda vuol dire non solo renderle fruibili a tutti e di facile consultazione, ma dà anche l’idea della consapevolezza della proprietà in merito all’importanza del tema. Permette inoltre di monitorare più facilmente la situazione e di agire più tempestivamente in caso di necessità;
- Assessment continui e test: le procedure vanno testate e i sistemi di sicurezza continuamente aggiornati. Effettuare periodicamente audit, assessment e vulnerability test è un ottimo modo per verificare che le misure adottate siano funzionali e correggere il tiro in caso di risposta negativa.
Per maggiori approfondimenti consigliamo il CORSO online
Cybersecurity: le nuove prospettive di lavoro per l’avvocato
A cura di Luisa Di Giacomo e Enrico Amistadi
29 novembre, 10 e 14 dicembre 2021
2.Durante: la reazione
In caso di attacco di successo, l’ultima cosa di cui abbiamo bisogno è il panico e la confusione che ne deriva.
Se abbiamo lavorato bene in prevenzione ed abbiamo adottato le procedure necessarie, è il momento di tirare fuori dal cassetto la procedura da seguire per la gestione del data breach, ed applicarla. Ci sono alcune decisioni che vanno prese in fretta e si sa che la fretta non ha mai consigliato bene nessuno. Dunque, sapere già chi fa cosa e come lo fa è il solo modo per reagire in maniera proattiva ad un evento che avremmo sperato di non dover gestire mai.
La procedura di data breach, che comprenderà anche il registro delle violazioni, dirà quali soggetti dobbiamo coinvolgere nell’incidente, se necessario comunicare la violazione al Garante ed agli interessati e fornirà le linee guida da seguire durante l’attacco.
Inoltre, la procedura per il disaster recovery, che preveda il data set minimo da ripristinare, il tempo massimo entro cui il danno potrebbe diventare irreversibile, e le metodologie per il recupero dei dati, ci guiderà, nell’imminenza dell’attacco, in modo da assicurare la minor interruzione aziendale possibile e ripristinare lo status quo senza (troppi) danni.
3.Dopo: il miglioramento e la (nuova) prevenzione
Se un attacco ha avuto successo non vuol dire che siamo stati poco efficienti, ma sicuramente qualcosa non ha funzionato nella nostra strategia preventiva.
Einstein diceva che è follia fare sempre le stesse cose ed aspettarsi un risultato diverso, dunque sarebbe se non folle, quanto meno poco accorto non andare a rivedere il punto 1 e vedere dove abbiamo fatto acqua.
Se si è trattato di un errore umano, dovremo rivedere la parte della formazione e sensibilizzazione del personale, se l’attacco è arrivato nella nostra azienda tramite una compromissione di credenziali di accesso dovremo rivedere la nostra password policy (e naturalmente cambiare tutte le password, ma questo in ogni caso), se si è trattato di una vulnerabilità nel sistema, investire in sicurezza.
La nuova valutazione dei rischi e le nuove misure di sicurezza andranno nuovamente testate, le procedure aggiornate, il personale nuovamente edotto.
E così avanti, all’infinito, in una guerra continua tra buoni e cattivi, tra Skywalker e Darth Vader, tra Bond e la Spectre, nella speranza che alla lunga, come nei film, la battaglia finale la vinceremo noi e i cattivi verranno ricacciati nelle profondità del dark web, dove si troveranno, di sicuro, in ottima compagnia tra loro.
Per maggiori approfondimenti consigliamo il CORSO online
Cybersecurity: le nuove prospettive di lavoro per l’avvocato
A cura di Luisa Di Giacomo e Enrico Amistadi
29 novembre, 10 e 14 dicembre 2021
Scrivi un commento
Accedi per poter inserire un commento