Come gestire un attacco informatico?
Torniamo a parlare di attacchi hacker da parte delle grandi organizzazioni criminali.
Non tutti sono consapevoli del fatto che pagare il riscatto è illegale, sia per l’organizzazione che ha subito l’attacco, che per i consulenti di quell’organizzazione, compresi DPO e Consulenti Privacy.
Eppure le aziende che finiscono per cedere all’estorsione sono moltissime.
Viene allora da chiedersi: come gestire un attacco informatico e cosa bisogna sapere per ridurre il rischio di trovarsi a negoziare con dei cybercriminali?
È fondamentale affidarsi agli esperti
Oggi la cybersecurity è un po’ diversa. Invece di essere un’emanazione, o meglio, un’astrazione dell’IT è forse una specializzazione del mondo del software. Quindi è una specializzazione che viene da un mondo differente rispetto a quello dell’IT, in quanto si sta procedendo sempre più verso un’altissima specializzazione.
Abbiamo già parlato di attacchi da parte di grandi gruppi criminali, ma ci sono moltissime organizzazioni che subiscono attacchi da parte di APT (Advanced Persistent Threat).
Le aziende vengono quindi attaccate da gruppi che non sono più criminali, ma sono State-sponsored ovvero sponsorizzati da Stati o che sono addirittura parte di Stati stessi.
Ecco perché è necessario affidarsi a professionisti che lavorano su questo, dalla mattina alla sera.
Il team sicurezza interno all’organizzazione è il migliore, ma è consigliabile rivolgersi anche ad esterni.
I grandi gruppi bancari e gli enti pubblici, per esempio, hanno al loro interno i loro specialisti, che però vedono sempre e solo le problematiche di quell’organizzazione. Avere invece la possibilità di coinvolgere organizzazioni esterne, che fanno questo di mestiere, dà la possibilità di sfruttare dell’expertise e delle competenze che sono più ortogonali, dato che intervengono su tante organizzazioni.
Gli attaccanti tendono a riutilizzare il codice degli attacchi perché devono massimizzare il loro profitto e avere la possibilità di vedere questi attacchi in altre organizzazioni, permette di intervenire prima, nel momento del bisogno.
L’utilizzo di team esterni è quindi molto consigliato. Non perché il team esterno sia migliore di quello interno, anzi, tipicamente è il contrario: il team interno all’organizzazione è il miglior team di quell’organizzazione, perché la conosce meglio – ma perché offre una visione più ampia.
Tenendo conto del fatto che gli attacchi vengono tipicamente riciclati, anche da un settore a un altro, vi è la possibilità di arrivare nel minor tempo possibile alla soluzione, questo soprattutto durante l’attacco.
Le cose da NON fare se subisci un attacco informatico
Ci sono alcuni errori tipici che vengono fatti puntualmente. Il primo è “spegnere tutto”.
C’è un ransomware e si spegne tutto. Questo è uno dei primi errori tecnici che non bisogna fare. Spegnere un sistema o una rete significa togliere l’opportunità di recuperare i dati.
Staccare i sistemi dalla rete o isolarli ha una sua logica, ma mai spegnere le macchine perché, in memoria, questi malware e ransomware lasciano delle tracce che possono, in alcuni casi, aiutare a recuperare i file originali.
La seconda cosa che non bisogna fare è farsi prendere dalla fretta di ripristinare i sistemi, senza pensare al processo di ripristino e cosa sia backuppato: può succedere che vengano ripristinati anche i malware stessi e che nel backup siano racchiusi gli artefatti, pronti per essere detonati.
Non affidarsi a chi non è specializzato, perché il malware potrebbe essere ancora nei sistemi.
Questo è un tema molto legato a un altro: non appoggiarsi a strutture non specializzate, a figure non specializzate. Bisogna avere dell’esperienza, aver visto tanti casi e averli studiati, per poter riuscire, nel minor tempo possibile, a risolvere quel problema.
L’attaccante può posizionare dei sample, cioè dei file malevoli, all’interno di alcuni folder, che poi vengono backuppati, in modo che, all’intrusione successiva, questi siano già presenti.
Oppure può mettere qualcosa in esecuzione automatica, ma che poi si manifesta solo dopo qualche mese dal suo lancio. Anche il recovery dei file in maniera “schizofrenica” non va fatto.
Bisogna riflettere e cercare anche di capire in che modo ripristinare nel tempo, le varie macchine.
Un altro aspetto a cui prestare attenzione è che quando si subisce un attacco, non si pensa alla comunicazione. Generalmente si comunica troppo in fretta quello che è successo, o si comunica in maniera approssimativa, o non si comunica affatto.
Bisogna invece pensarci cercando di avere un occhio di riguardo a quella che è la compliance e a ciò che dice il GDPR.
Le cose da fare in caso di attacco
La cosa da fare è cercare di capire perché è successo e imparare da questo (lesson learning).
Imparare dal perché è avvenuto quell’attacco, cos’è andato storto e come possiamo migliorare.
Abbiamo capito che dobbiamo migliorare? Testiamolo, rifacciamolo attraverso organizzazioni esterne. Implementare una logica di lesson learning è molto importante e va formalizzata subito.
Alcune domande da porsi sono: Come faccio a imparare dagli errori fatti? Qual è il processo che mi serve per imparare dagli errori fatti?
Senza questo, possiamo avere tutta la tecnologia che vogliamo e tutti gli esperti che vogliamo e saremo sicuramente in grado di ripristinare la nostra società nel minor tempo possibile, ma saremo sicuramente ancora soggetti ed esposti nuovamente ad attacchi.
Fonte: Privacy Lab
