Non è più un evento raro, oggi il ransomware colpisce ogni settore e ogni Paese, non si tratta più di “se” ma di “quando” un’organizzazione sarà colpita. Cosa è quindi possibile fare per proteggere il proprio business e le proprie operations dal rischio di perdere dati e di subire un downtime e i conseguenti danni alla reputazione dovuti al ransomware?
Questa domanda è particolarmente critica, dato che solo nell’8% dei casi si riesce a ottenere indietro tutti i propri dati dopo aver pagato un riscatto. Per proteggersi con successo dagli attacchi ransomware è necessario avere dei piani estesi, una risposta simile al disaster recovery (DR), trattando questo tipo di attacchi come un evento disastroso.
Le 5 W del ransomware per creare il recovery plan
1. Chi eseguirà il recovery?
Dopo un attacco ransomware è necessario poter contare sul massimo aiuto possibile ma spesso i dipendenti sono impegnati nelle valutazioni dell’impatto, nel controllo dei danni, nelle comunicazioni e in altre attività relative alle ricadute e nessuno può occuparsi del recovery plan. Meglio quindi pianificare prima questa fase assicurandosi di poter disporre di persone che se ne possano fare carico.
2. Cosa può essere recuperato?
Tutti i dati sono importanti, ma non tutti nella stessa maniera, ci sono set di dati prioritari che dovrebbero già essere salvati in un runbook DR, meglio usarlo. È fondamentale per realizzare un recovery plan decidere quali sono i dati più importanti e urgenti da recuperare in modo da poter permettere ad ogni organizzazione di operare, poi il recovery va eseguito seguendo le priorità stabilite.
3. Quando si recuperano i dati?
È necessario agire il più presto possibile. Nella pianificazione DR, questo “quando” si riferisce spesso al RPO, o recovery point objective. Dato che il ransomware colpisce e congela i dati in un particolare momento, è fondamentale recuperare i dati da prima dell’attacco ransomware. Se i dati vengono ripristinati prima che il ransomware venga iniettato, si è salvi, in caso contrario è necessario ri-mobilitare e ripetere l’intera esercitazione. In questo caso si hanno due opzioni: andare ancora più indietro nel tempo oppure continuare a cercare la copia più recente dei set di dati.
4. Dove sono i dati compromessi?
La maggior parte degli attacchi ransomware avviene nell’ambiente di produzione, è quindi importante che sia separato e sicuro, per recuperare i set di dati puliti. Potrebbe essere ad esempio, un ambiente ospitato nel data center di un partner DR-as-a-service, o un provider di cloud hyperscale come AWS o Azure. La capacità di mobilitarsi rapidamente in questo ambiente potrebbe fare la differenza nel mantenere in vita la vostra organizzazione.
Il ransomware può causare danni in tutti gli stacks tecnologici: infrastruttura, comunicazione, dati, persone e processi. Tutti questi scenari richiedono un emergency plan e farlo dopo un attacco è troppo tardi perché nella maggior parte dei casi le organizzazioni sono responsabili degli standard di compliance alla sicurezza e, dopo un attacco, sono tenute a fornire prove, eseguire analisi forensi, gestire valutazioni di sicurezza e rispondere alle domande dei regolatori. Anche se si riescono a recuperare le operations secondo il piano di DR, l’ambiente di produzione potrebbe restare non disponibile per qualche tempo, meglio accertarsi quindi che l’ambiente DR sia in grado di gestire il traffico di produzione per un periodo indeterminato.
5. Perché si effettua il recovery?
La creazione di un recovery plan richiede deve essere comunicata in tutta l’organizzazione e prevede accordi sul livello di servizio tra i team tecnologici e gli stakeholder. È importante identificare quali disastri sono più probabili e che impatto avrebbero sulle operations aziendali: una volta che si sa per cosa pianificare, si può stendere una strategia per il proprio piano di business continuity.
Strategia per il recovery journey
Ogni investimento nella strategia di resilienza è un investimento nel futuro dell’azienda e in quello dei suoi dipendenti. Il piano di resilienza è un imperativo aziendale per ottenere un maggiore investimento da parte della leadership e le dialogando all’interno dell’organizzazione sarà più facile identificare al suo interno le risorse più preziose.