Come si gestisce un attacco informatico?

Mai come in questo caso vale il principio: in caso di cyberattacco, affidati a dei professionisti

Cerchiamo di capire cosa bisogna fare e cosa non bisogna fare quando di subisce un attacco informatico e come gestire la richiesta di un riscatto.

Ci sono delle organizzazioni che, essendo certificate Trusted Introducer – una certificazione a livello europeo -, danno una garanzia di una elevata qualità nella gestione di determinate frodi informatiche come, per esempio, quella della double extortion. Double extortion indica un attacco ransomware a doppia estorsione, cioè un attacco informatico in cui gli hacker estraggono i dati e li crittografano in cambio di un riscatto.

Avendo dei canali privilegiati con la polizia, le organizzazioni Trusted Introducer hanno la possibilità di chiedere a questi organi se possono autorizzare, in determinati casi, alcune tipologie di pagamenti. Dipende da caso a caso. Personalmente non ho ancora visto dire di sì. C’è la possibilità di fare richiesta e di chiedere se esistono strade alternative al pagamento del riscatto, strade che ovviamente spettano agli organi di polizia, di vigilanza e giudiziari, non certamente a organizzazioni private.

Il team sicurezza interno all’organizzazione è il migliore, ma è consigliabile rivolgersi anche a degli esterni

Marco Ramilli: I grandi gruppi bancari e gli enti pubblici, per esempio, hanno al loro interno i loro specialisti, che però vedono sempre e solo le problematiche di quell’organizzazione. Invece, avere la possibilità di coinvolgere organizzazioni esterne, che fanno questo di mestiere, dà la possibilità di sfruttare dell’expertise e delle competenze che sono più ortogonali, dato che intervengono su tante organizzazioni.

Siccome gli attaccanti tendono a riutilizzare il codice degli attacchi – perché devono massimizzare il loro profitto – avere la possibilità di vedere questi attacchi in altre organizzazioni permette di intervenire prima, nel momento del bisogno.

L’utilizzo di team esterni quindi è molto consigliato. Non perché il team esterno sia migliore di quello interno – anzi, tipicamente è il contrario: il team interno all’organizzazione è il miglior team di quell’organizzazione, perché la conosce meglio – ma perché offre una visione più ampia. E visto che gli attacchi vengono tipicamente riciclati, anche da un settore a un altro, allora vi è la possibilità di arrivare nel minor tempo possibile alla soluzione. Questo soprattutto durante l’attacco.

Le cose da NON fare se subisci un attacco informatico

Andrea Chiozzi: Partiamo dalla coda. Attacco avvenuto. È successo un disastro. Ci porti qualche esempio di aziende non gigantesche o di PA non enormi per dare indicazioni su come deve essere approcciata quella tematica lì, da quando ti chiama il cliente in preda al panico?

1 – MAI spegnere tutto e MAI ripristinare subito i sistemi

Marco Ramilli: Ci sono alcuni errori tipici che vengono fatti puntualmente. Il primo è “spegnere tutto”. C’è un ransomware e si spegne tutto. Questo è uno dei primi errori tecnici che non bisogna fare. Perché spegnere un sistema o spegnere una rete significa togliere l’opportunità di recuperare i dati. Staccare i sistemi dalla rete o isolarli ha una sua logica, ma mai spegnere le macchine, perché, in memoria, questi malware e ransomware lasciano delle tracce, che possono aiutare in alcuni casi a recuperare i file originali.

La seconda cosa che non bisogna fare è farsi prendere dalla foga di ripristinare i sistemi, senza pensare al processo di ripristino e cosa sia backuppato: può succedere che vengano ripristinati anche i malware stessi e che nel backup siano racchiusi gli artefatti, pronti per essere detonati.

2 – Non affidarsi a chi non è specializzato, perché il malware potrebbe essere ancora nei sistemi…

Marco Ramilli: Questo è un tema molto legato a un altro: non appoggiarsi a strutture non specializzate, a dei non specialisti. Bisogna avere dell’esperienza, aver visto tanti casi e averli studiati, per poter riuscire, nel minor tempo possibile, a risolvere quel problema.
Entriamo nell’ottica dell’attaccante, che deve massimizzare il suo guadagno e quindi deve restare il più possibile all’interno dell’azienda, anche dopo il ripristino. Perché, se resta dentro, può attaccarla una seconda volta, forse non nello stesso anno o nello stesso periodo temporale, ma magari dopo qualche mese.
L’attaccante può posizionare dei sample, cioè dei file malevoli, all’interno di alcuni folder, che poi vengono backuppati, in modo che, all’intrusione successiva, questi siano già presenti. Oppure può mettere qualcosa in esecuzione automatica, ma che poi si manifesta solo dopo qualche mese dal suo lancio. Anche il recovery dei file in maniera schizofrenica non va fatto.
Bisogna riflettere e cercare anche di capire in che modo ripristinare nel tempo le varie macchine. 

3 – Sottovalutare la comunicazione

Marco Ramilli: Poi non bisogna assolutamente sottovalutare i temi della comunicazione. Quando si subisce un attacco, non si pensa alla comunicazione. O si comunica troppo in fretta quello che è successo, o si comunica in maniera approssimativa, o non si comunica affatto. Bisogna pensarci. È un tema che va affrontato a livello di board o di proprietà, e bisogna raccontare come e cosa è successo, nel migliore dei modi, cercando di avere un occhio di riguardo a quella che è la compliance e a ciò che dice il GDPR.
Perché, se in alcuni attacchi vi sono infiltrazioni di dati sensibili, interessanti o che toccano l’ambiente GDPR, ci sono delle normative specifiche e dei tempi entro cui comunicare l’accaduto. Quindi è un tema che riguarda il GDPR e anche la compliance perché, se si subisce un attacco informatico, significa che probabilmente c’è stato qualche processo che non ha girato in maniera performante, oppure che semplicemente mancano dei processi.

Le cose da fare in caso di attacco

Marco Ramilli: Vediamo adesso le cose da fare. Da un punto di vista tecnico ce ne sarebbero tantissime, ma la prima cosa da fare è cercare di capire perché è successo e imparare da questo (lesson learning).

1 – Lesson learning: imparare da un attacco

Marco Ramilli: Imparare dal perché è avvenuto quell’attacco, cos’è andato storno, come possiamo migliorare? Abbiamo capito che dobbiamo migliorare? Testiamolo, rifacciamolo attraverso delle organizzazioni esterne. Implementare una logica di lesson learning è molto importante e va formalizzato subito. Partire da:
  • Come faccio a imparare dagli errori fatti?
  • Qual è il processo che mi serve per imparare dagli errori fatti?
Senza questo, possiamo avere tutta la tecnologia che vogliamo e tutti gli esperti che vogliamo, saremo sicuramente in grado di ripristinare la nostra società nel minor tempo possibile, ma poi possiamo essere soggetti nuovamente ad attacchi. 

2 – Non cercare un colpevole. Non serve. Anzi…

Marco Ramilli: Bisogna anche evitare di cercare un colpevole – chi ha cliccato, chi ha sbagliato… – perché quando c’è un incidente non dobbiamo entrare in quella logica. Così non si arriva da nessuna parte. Si entra in una logica velenosa, che non ci porta alla risoluzione del problema.

 

Fonte ufficiale: PrivacyLab

adeguamento europeo privacy gdpr informazione internet privacy privacy gdpr tecnologia web