Cyberattacco: ridurre i tempi di reazione

Disastri come tempeste, valanghe di neve, atti di sabotaggio o cyberattacchi hanno una cosa in comune. Si verificano con pochissimo preavviso o addirittura in modo del tutto inaspettato. Si richiede quindi un'azione decisa e cooperativa per evitare che l'emergenza degeneri, con feriti, eventualmente morti e danni elevati. Una comunicazione efficiente tra i team è la chiave del successo nella difficile attività di gestione delle crisi. I gestori delle emergenze che creano squadre di emergenza e flussi di lavoro per le crisi solo dopo che l'emergenza si è già verificata perdono troppo tempo. Ore o addirittura giorni che potrebbero essere utilizzati meglio. Perché la regola generale è: più tempo passa prima che vengano messe in atto le giuste misure di emergenza, maggiore sarà il danno finale.

Il furto di dati e gli attacchi ransomware causano ogni anno perdite elevate per le aziende svizzere. Dall'inizio del 2019 i trojan di crittografia attaccano sempre più spesso PMI e grandi aziende in Svizzera e all'estero, riferisce il Centro di Reporting e Analisi per la Sicurezza Informatica Melani. In alcuni casi, questi attacchi criptano anche i backup e li rendono illeggibili. Ciò rende impossibile il ripristino delle attività commerciali delle aziende colpite. Melani generalmente sconsiglia di pagare un riscatto perché non c'è alcuna garanzia di ottenere le chiavi per la decriptazione.

Non solo le aziende industriali, ma anche le istituzioni pubbliche e gli ospedali non sono risparmiati dagli attacchi informatici e dagli errori del software. Un esempio: In numerosi ospedali, case di riposo e case di cura svizzere, la chiamata di emergenza ai letti ha smesso di funzionare dopo l'inizio dell'anno 2018/19 a causa di un malfunzionamento del software. L'Ospedale Universitario di Zurigo (USZ) ha confermato alla NZZ che i monitor del sistema di chiamata dei pazienti si sono guastati a mezzanotte. Tuttavia, l'assistenza ai pazienti è stata garantita in ogni momento e non si sono verificati incidenti, afferma l'USZ.

Non esiste una sicurezza al cento per cento. Un detto comune tra gli esperti di sicurezza è che esistono due tipi di aziende. Alcuni sanno di essere stati violati, altri non lo sanno e si cullano ancora in un falso senso di sicurezza. Di conseguenza, il primo passo è riconoscere e classificare un attacco. I classici firewall e sistemi di rilevamento delle intrusioni, ad esempio, aiutano in questo senso. Nella seconda fase, è importante mettere insieme il prima possibile una squadra di emergenza con il know-how adeguato, in grado di contrastare efficacemente l'attacco e di evitare danni all'azienda. La comunicazione e la cooperazione giocano un ruolo fondamentale. Solo se le aziende comunicano in modo efficiente in caso di emergenza possono disinnescare rapidamente un attacco informatico, limitarne la portata, mantenere al meglio l'operatività aziendale ed evitare una perdita di reputazione. 

Il sistema automatico previene i danni

I professionisti dell'IT stimano che l'uso di un sistema CEM (Critical Event Management) possa ridurre i tempi di risposta a un cyberattacco di almeno il 20%. Un CEM consente la composizione automatica di una squadra di emergenza e il contatto automatico dei membri della squadra in base a flussi di lavoro predefiniti tramite SMS, telefono, posta o app di messaggistica. La comunicazione è bidirezionale. Se un membro del team non è disponibile, il CEM utilizza tutti i canali di comunicazione disponibili e cerca alternative per il personale in caso di guasto.

Per una gestione efficace delle crisi è fondamentale integrare nel sistema di comunicazione CEM non solo i responsabili IT e le squadre di emergenza, ma tutti i dipendenti. Solo allora l'intero staff potrà essere informato della situazione e dei passi successivi. Nel caso dell'ospedale di Fürstenfeldbruck, ciò significava anche informare i servizi di emergenza che la capacità di ricovero è attualmente fortemente limitata a causa di un guasto informatico completo.

Comunicazione attraverso tutti i canali

La chiave per informare rapidamente le persone interessate a difendersi da un attacco informatico è la messaggistica multimodale. Più canali di comunicazione sono aperti, più è probabile che le persone interessate possano essere raggiunte, indipendentemente dall'ora del giorno o dal luogo in cui si trovano. Pertanto, devono essere sempre in grado di essere contattati attraverso molteplici canali e dispositivi: tramite SMS, messaggi push, e-mail o messaggi vocali sui loro telefoni fissi e mobili privati e professionali. Per ogni persona si deve anche indicare quale canale di comunicazione preferisce o se si trova all'estero e non può occuparsi tempestivamente dell'emergenza.

I flussi di lavoro definiti in anticipo nei piani di emergenza aiutano a combattere le crisi in modo efficiente e a minimizzare i danni degli attacchi informatici. Per comunicare nel modo più efficiente e privo di errori possibile in caso di emergenza, le aziende dovrebbero anche preparare dei modelli per i flussi di lavoro e le notifiche. È fondamentale progettare i messaggi in modo specifico per i diversi gruppi di destinatari e per i loro diversi compiti in caso di crisi. Il team di risposta IT ha bisogno di informazioni completamente diverse rispetto alla direzione o al reparto risorse umane.

Non dimenticate partner e clienti

Oltre alla comunicazione interna, non bisogna trascurare quella esterna. Ciò include l'informazione tempestiva di partner o clienti, ad esempio, se c'è il rischio che vengano colpiti da un attacco informatico. È inoltre necessario predisporre procedure e modelli appropriati. In questo modo si crea trasparenza, si crea fiducia e si evita che si diffondano informazioni errate o voci di corridoio. È inoltre molto importante tenere d'occhio tutte le normative e i requisiti di conformità. Ad esempio, può esistere un obbligo legale di segnalazione alle autorità se un'azienda è classificata come operatore di un'infrastruttura critica.

Flussi di lavoro e modelli di messaggi preparati consentono di esercitarsi, testare e, se necessario, ottimizzare i processi di configurazione senza la pressione di un'emergenza. I test di prova aiutano a misurare i tassi di risposta e di reazione, scoprendo così eventuali punti deboli ed eliminandoli in modo mirato.

Quando si verifica un incidente di sicurezza informatica, la comunicazione interna ed esterna è altrettanto importante. Con un sistema automatizzato e guidato da modelli, le aziende si assicurano di raggiungere le persone giuste al momento giusto. L'IT può quindi risolvere il problema più rapidamente e gli stakeholder interni ed esterni hanno la possibilità di prendere decisioni basate su informazioni accurate e aggiornate. 

I rischi sono sottovalutati

Ogni azienda ha un interesse vitale a migliorare continuamente la propria gestione delle emergenze con l'aiuto di un CEM. Ma non tutte le aziende lo fanno, e quindi corrono un rischio elevato. La società di analisi Forrester ha condotto un'indagine su 214 aziende nel 2018: Ognuno di loro ha avuto almeno un'emergenza critica negli ultimi 24 mesi. Il 24% è stato attaccato da criminali informatici, il 25% ha subito un guasto a un sistema aziendale critico e il 28% ha subito il furto di documenti importanti. Le aziende colpite sono ben consapevoli che la loro reputazione di partner commerciali e fornitori potrebbe risentirne e che rischiano di perdere le vendite. Solo poco meno di un terzo misura il tempo di recupero necessario per rimettere in funzione i sistemi guasti o gravemente rallentati.

Sondaggio Forrester: il CEM integrato porta benefici

Le aziende intervistate che utilizzano un sistema CEM sono state in grado di gestire gli incidenti critici in modo migliore, più rapido ed economico. Per il 49% (senza CEM: 29%), i costi per la pianificazione e l'attuazione delle misure di emergenza sono stati ridotti; senza l'uso di un CEM, la percentuale era solo del 29%. Il 50% è stato in grado di localizzare e contattare più facilmente i propri dipendenti con un CEM, rispetto al 36% senza CEM. Per il 39% (senza CEM: 21%) è più facile aderire alle norme e ai regolamenti di conformità. Un risultato rivelatore dell'indagine Forrester: le aziende che non utilizzano un sistema CEM integrato (unificato), ma preferiscono soluzioni isolate, non sono nemmeno consapevoli degli svantaggi della loro decisione.

*Andreas Junck è direttore delle vendite DACH di Everbridge a Monaco.