Le violazioni di dati sono all’ordine del giorno, in ogni tipo di azienda e indipendente dalla dimensione. Purtroppo, la loro gravità non solo impatta sui consumatori ma non accenna a calare.
Dato questo scenario, gli esperti consigliano di tenere bene a mente un piano d’azione da mettere in atto nel caso in cui si cada vittime di un attacco e di debba fronteggiare una perdita di dati. Jay Abate, managing director di Just Advanced Security Consulting, ha riferito che la maggior parte delle aziende non riesce a rilevare le violazioni a meno che non siano gli stessi cybercriminali a dare pubblicamente comunicazione dell’azione messa in atto.
“La parte più importante del piano d’azione che bisogna mettere in atto – spiega Abate – è rappresentato proprio dalla capacità di rilevare prontamente ogni eventuale violazione. Nella sicurezza IT solitamente si ragiona in termini difensivi, stratificando i controlli che ergono difese in diversi punti dell’infrastruttura; raramente invece si mette in atto una soluzione di monitoraggio che permetta di tenere sotto controllo la situazione e identificare prontamente eventuali anomalie o attività sospette”.
Strategia di risposta agli incidenti: 6 cose da sapere
Durante un recente discorso tenuto in occasione della conferenza Irisscon a Dublino, Paul Keane di IDT911 ha fornito una guida per punti da rispettare per reagire in caso di incidenti. Sei i passaggi raccomandati:
- valutare e gestire i rischi
- comunicare i rischi
- sviluppare un piano di risposta agli incidenti
- formare il personale
- testare la vulnerabilità della propria piattaforma
- eseguire simulazioni di risposta agli incidenti
Secondo Gavin Millard, CFO di Tenable Network Security in Europa, le operazioni consigliate dovrebbero invece includere: identificazione dell’incidente, contenimento dei danni (per impedire che la violazione abbia un impatto ulteriore), eradicazione della minaccia, recupero dei dati, assimilazione della lezione appresa a seguito dell’esperienza. Jay Abbott, amministratore delegato di Just Advanced Security Consulting, ritiene che, sebbene non esista una vera e propria formula fissa e i piani di reazione a una violazione dei dati siano da strutturare quasi sempre a misura delle singole aziende, si possa comunque fare riferimento a un set base di otto azioni da effettuare in ogni caso: stabilire che cosa sta accadendo, mettere insieme tutte le parti coinvolte, tenere sotto controllo l’intera situazione, mitigare gli effetti collaterali, gestire la comunicazione esterna, ritornare alle consuete attività di business, assimilare la lezione appresa a seguito dell’esperienza e migliorare.
Una combinazione di competenze tecniche e trasversali
Per far fronte a tali situazioni d’emergenza, secondo le indicazioni degli esperti, è necessaria una combinazione di competenze tecniche e meno tecniche. Javvad Malik, security advocate presso AlienVault, spiega che qualsiasi buon piano di risposta agli incidenti deve contenere le tre seguenti azioni chiave: 1) dare la priorità le risorse, 2) stabilire delle linee guida, 3) comprendere quali sono gli asset più importanti che potrebbero seriamente danneggiare l’azienda se cadessero nelle mani sbagliate. Ci sarebbe anche una quarta raccomandazione collaterale: fornire aggiornamenti regolari a tutti i membri coinvolti nelle azioni di risposta agli incidenti (in particolare quelli che si trovano al di fuori del reparto IT), poiché avranno bisogno di istruzioni e direttive chiare in merito ai loro ruoli e alle singole responsabilità.
Malik consiglia anche di comunicare con i dirigenti aziendali e condividere con loro le analisi effettuate in merito allo stato corrente della sicurezza aziendale, oltre a rivedere le tendenze del settore, le aree chiave di interesse e fornire ai vertici aziendali le dovute raccomandazioni volte a ottimizzare la sicurezza dell’infrastruttura.
Le 6 aree su cui lavorare
La priorità principale, concordano gli esperti, è quella di fermare l’emorragia di dati sensibili: occorre assicurare che tutte le risorse adeguate siano disponibili per fermare qualsiasi ulteriore perdita informazioni. Dopo di che, le migliori prassi per eseguire il recupero tecnico si inseriscono nell’ambito dei seguenti temi comuni:
#1 Identificazione: capire cosa è successo, come i cybercriminali siano entrati nel sistema o come i dati ne siano usciti, assicurarsi che nessuna informazioni stia ancora uscendo dal database. Capire la situazione in cui ci si trova è la prima cosa da fare per decidere come muoversi.
#2 Contenimento: gli aggressori sono usciti definitivamente? Il personale è stato in grado di bloccare l’istanza per capire cosa è andato storto e comprendere come evitare simili attacchi si verifichino di nuovo?
#3 Rimozione: in questo step occorre concentrarsi sulla rimozione e sul ripristino dei sistemi infettati. Il SANS Institute raccomanda di prendere tutte le dovute misure per eliminare i contenuti illeciti e dannosi dai sistemi interessati, facendo un reimage completo di un disco rigido del sistema e scansionando i sistemi e i file interessati con software anti-malware.
#4 Formazione dei dipendenti: la prima linea di difesa è rappresentata dai dipendenti: occorre informarli velocemente su quanto accaduto e istruirli sui punti chiave del processo. L’attacco è stato a causato da un malware? O dall’azione di dipendente? Si tratta di un’attività che la prossima volta potrebbe essere evitata? Non basta comunque concentrarsi sui dipendenti attivi sul campo: occorre coinvolgere anche il consiglio direttivo e assicurarsi che l’intera struttura organizzativa riceva la dovuta formazione in merito alla sicurezza IT.
#5 Comunicazione: dopo aver trasmesso la stessa cultura della sicurezza a tutti i reparti aziendali, occorre far sì che tutti siano allineati anche sul fronte delle comunicazioni esterne. Nel caso in cui ci si trovi in un momento delicato dal punto di vista della sicurezza IT, si dovrebbe sottolineare la necessità di silenzio e scoraggiare fortemente eventuali commenti (anche via social) che potrebbero causare ulteriori problemi.
#6 Imparare la lezione: dopo aver subito un attacco con conseguente perdita di dati sarebbe bene tornare al più presto alle consuete attività di business, dopo aver risolto del tutto il problema. Può essere utile seguire gli esempi di altre aziende di alto profilo che hanno superato la crisi in maniera eccellente per uscire rafforzati dalla situazione, avendo compreso cosa è andato storto e perché e rafforzando le proprie tattiche di monitoraggio, difesa e reazione per evitare una ricaduta.