Sopravvivere ad un attacco cyber non è questione di fortuna

Digitree - Disruptive technologies for secure smart workers / GDPR  / Sopravvivere ad un attacco cyber non è questione di fortuna
four-leaf-blog

Sopravvivere ad un attacco cyber non è questione di fortuna

Come pianificare la propria sopravvivenza dopo un attacco informatico

Il rischio cyber dovrebbe essere sempre considerato come un rischio di business, non soltanto come un problema tecnico. Un attacco informatico può causare gravi danni alle aziende grandi e piccole e portarle al fallimento. Le PMI possono essere particolarmente a rischio e si sente  spesso dire che il 60% delle piccole aziende che subiscono un attacco informatico non riescono a sopravvivere e sono costratte a porre fine alla propria attività entro 6 mesi, ma anche le grandi imprese sono a rischio.

La cyber-insurance può essere un’opzione ma una piccola azienda potrebbe non essere in grado di sopportare ingenti uscite di cassa aspettando di venire risarcita dall’assicurazione. Sopravvivere ad un attacco informatico sofisticato o travolgente non è una questione di fortuna, ma di prendere le adeguate misure di sicurezza ed avere un piano efficace e completo quando il peggio accade.

Che cosa esattamente sia ‘il peggio’ dipende dal tipo di business, ma alcuni esempi potrebbero essere:

  • Un ransomware che ti impedisce di accedere ai dati necessari per la tua attività
  • Un attacco DDoS (distributed denial of service) ai tuoi servizi online che impedisce ai tuoi clienti di utilizzarli
  • Un data breach che danneggia pesantemente la tua reputazione o che sfocia in una disputa legale, nella compromissione di dati personali e/o in una multa rovinosa
  • La perdita di proprietà intellettuale essenziale per il tuo business che permette ai tuoi concorrenti di vendere gli stessi tuoi prodotti ad un prezzo più basso o che risulta nel crollo della fiducia nei confronti della tua compagnia

Se un’azienda vuole sopravvivere ad uno di questi eventi, la sua preparazione deve comprendere anche le possibili spese legali e le relazioni con i clienti, così come gli aspetti tecnici. Le scelte da fare dipendono dal tipo di attività e dalle risorse disponibili ma, fondamentalmente, devono essere messe in atto le buone pratiche del settore per difendersi contro un attacco e deve essere predisposto un piano di risposta per consentire un rapido ripristino.

Le ‘Buone Pratiche’: non solo Tecnologia

L’utilizzo di buone pratiche non solo ci aiuta a difenderci dagli attacchi, ma dimostra anche che la compagnia ha fatto tutto quello che era ragionevole e richiesto per evitarli e quindi non è stata negligente. Tuttavia, le buone pratiche non sono qualcosa di statico: è necessario aggiornarle con l’evolversi sia delle minacce che della tecnologia.

Queste buone pratiche dovrebbero includere non soltanto misure tecniche ma anche la formazione degli utenti su come proteggere i dati per minimizzare i breach e la formazione sulla security awareness, come ad esempio la simulazione del phishing che, oltre a ridurre gli incidenti, dimostra la dovuta diligenza.

Omogeneità dei Sistemi e Backup

Quando si tratta di rimediare, nel caso di un ransomware o di un attacco sofisticato, può risultare impossibile trovare o rimuovere il malware senza dover riconfigurare tutti gli host e i server della rete e forse persino altri dispositivi infrastrutturali, come i router.

Metodi di cifratura distruttivi, come quelli visti in NotPetya, obbligano le PMI a ripristinare i dati da archivi che possono non esistere affatto o i cui processi di backup e recovery non sono mai stati testati in larga scala per far fronte ad una situazione critica. Questo dovrebbe essere pianificato e reso il più semplice possibile.

Se ciascuna macchina è diversa e gli utenti memorizzano file critici localmente piuttosto che sui server, allora re-imaging e ripristino saranno molto onerosi in termini sia di tempo che di denaro, sempre che siano possibili. Se l’attacco è stato di tipo persistente anziché un semplice ransomware, allora è necessario assicurarsi che i backup non contengano il malware che verrebbe quindi anch’esso ripristinato.

Idealmente, sarebbe bene avere sistemi omogenei in modo che il re-magining sia facile ed impedire agli utenti il salvataggio dei documenti in locale.

Service Provider e SLA

Un’alternativa, adottata da molte PMI e da un numero crescente di organizzazioni più grandi, è di passare al cloud. In questo caso, il fornitore del servizio dovrebbere prendersi cura dei tuoi backup ed tutti client dovrebbero essere di veloce riconfigurazione in quanto tutti uguali.

Anche in questo caso le buone pratiche devono essere seguite e gli utenti formati, ma devono anche essere stabiliti adeguati SLA con il fornitore di servizi per assicurare una risposta tempestiva e individuare esattamente le responsabilità.

Un Response Plan Completo

Quanto accade il peggio, è necessario attivare il piano di risposta che deve essere completo e testato, e che non dovrebbe essere limitato ad una risposta di tipo tecnico. La prima cosa da prendere in considerazione è chi è a capo della risposta, quali sono i ruoli necessari e chi sono i decision-maker.

Il GDPR (General Data Protection Regulation) può richiedere, in caso di data breach che implichi la compromissione di dati personali, che l’attacco venga notificato e reso pubblico, e quindi avrai bisogno di un piano di comunicazione così come di nominare qualcuno che gestisca la comunicazione esterna. Qualcuno che possa approvare decisioni di business fondamentali, come la disconnessione dei sistemi da internet, che sia sempre disponibile, anche se si tratta del CEO.

Pertanto il piano deve stabilire i ruoli, a chi sono assegnati e chi sono le ‘riserve’, nel caso in cui i primi assegnatari non siano disponibili, e i loro orari di reperibilità. Il piano dovrebbe anche individuare i principali fornitori di servizi assieme al modo con cui poterli contattare.

Il dettaglio del response plan dipende dai sistemi e dal tipo di attività svolta. E’ tuttavia essenziale che esso provato e perfezionato su base regolare dal momento che, la prima volta che sarà necessario metterlo in pratica per davvero, quasi certamente ci sarà caos.

Conclusione

In conclusione, sopravvivere all’estinzione dopo un attacco informatico è una sfida del business che può essere alleviata da adeguate decisioni tecniche nella progettazione dei sistemi e dallo sviluppo proattivo di processi per consentire un rapido ritorno alla normalità, far fronte alle conseguenze legali dell’organizzazione e gestire la relazione con i clienti.

No Comments
Post a Comment