Hackerato - e allora?
Un brusco risveglio: la mattina presto, in qualità di amministratore delegato, ricevete un'e-mail con scritto "infrastruttura violata" e una lettera di estorsione. Come si fa ad avvisare il team di crisi in un giorno del genere e a coinvolgere altre parti?
Un'insolita giornata da amministratore delegato: mentre vi recate in azienda, volete controllare le e-mail aziendali e ricevete un messaggio di errore. Alle 8.15, arrivati in ufficio, sullo schermo appare la lettera di ricatto dell'hacker. Vuole dieci Bitcoin entro le prossime 24 ore e vi promette che riavrete la vostra infrastruttura aziendale dopo aver ricevuto i Bitcoin.
Nessun problema: siete preparati. Trasferire bitcoin all'hacker è fuori questione per voi. Per prima cosa, si estrae dal portafoglio una sorta di biglietto da visita. Qui sono elencati tutti i dettagli di contatto dell'équipe di crisi. Esistono anche due modi per convocare una riunione. Poiché la posta elettronica aziendale è interrotta, non si utilizza il gruppo di posta, ma il gruppo di discussione del team di crisi. Alle 8.20 tutti i membri del team di crisi ricevono il messaggio: "Infrastruttura violata - riunione alle 8.30 in sala riunioni o tramite il numero di conferenza 058xxxxxx con codice 529xxx". A questo punto si estrae il documento di crisi dal cassetto e si va nella sala riunioni dell'équipe di crisi per stabilire il collegamento con la conferenza.
Finché tutti non si sono sintonizzati, date un'occhiata al vostro documento di crisi. Per prima cosa viene visualizzato l'elenco degli I. responsabili dell'équipe di crisi con i dettagli della responsabilità, l'indirizzo postale e il numero di telefono e i sostituti. Per la selezione dei membri del team di crisi, avete effettuato una valutazione dei rischi e definito le reti critiche per l'azienda. Nel vostro caso, un dipendente di una società informatica esterna è definito come responsabile della sicurezza informatica. Nel suo ruolo, si occupa principalmente di evitare che gli hacker riescano a penetrare. Se un hacker è riuscito a penetrare comunque, si occupa di ripulire le reti e ripristinare l'infrastruttura aziendale.
Nel vostro caso, il Consiglio di amministrazione voleva solo essere informato e non voleva partecipare al team di crisi. Per questo motivo lei è indicato come decisore. Ogni volta che i dati vengono attaccati, la sicurezza dei dati ne risente e il responsabile della sicurezza dei dati viene indicato di conseguenza. Si occuperà di tutti gli obblighi di segnalazione e dei procedimenti penali previsti dalla legge sulla protezione dei dati. Date le dimensioni della vostra azienda, indossate anche il cappello di responsabile della comunicazione.
Sul vostro Crisis Doc II. Riunione è l'informazione su come si desidera convocare una riunione. Trasferire queste informazioni nel formato di un biglietto da visita e tenerle nel portafoglio di tutti i membri del team di crisi si è rivelato oggi un successo. La convocazione avrebbe potuto essere lanciata da un altro membro della squadra di crisi. Sono le 8.28 e manca solo un membro all'inizio della riunione.
Nel documento di crisi III, Stakeholder, avete elencato i contatti che non volete vengano a sapere dal giornale che la vostra azienda è stata violata. Avete elencato tutti i dati di contatto dei vostri dipendenti, del consiglio di amministrazione, dei clienti e dei partner commerciali. Poiché siete membri di un'associazione e siete soggetti a supervisione, avete indicato anche i dati di contatto. Avete chiarito la posizione dei vostri server per contattare la polizia competente e ora avete anche i dettagli di contatto completi nella vostra documentazione di crisi. Con la Confederazione, si fa un rapporto all'Ufficio rapporti Melani/NCSC. Poiché la vostra azienda potrebbe sopravvivere solo sette giorni lavorativi senza accesso all'infrastruttura, un mese fa avete stipulato un'assicurazione informatica. I dettagli di contatto e il numero di polizza sono elencati. 8.30: I membri dell'équipe di crisi sono completi e la riunione può iniziare in orario. La conversazione si apre con chi ha convocato il team di crisi. Dopo che ogni membro ha preso la parola ed è stato informato degli aggiornamenti, vengono prese le decisioni. Il responsabile IT si occupa delle notifiche a Melani/NCSC, mentre le autorità responsabili della protezione dei dati vengono informate dal responsabile della protezione dei dati. Voi vi occupate della comunicazione con le parti interessate. Il team di crisi si riunisce ora ogni due ore per fornire informazioni sugli eventi attuali.
Il breve IV. La comunicazione del vostro documento di crisi vi supporta nell'informare i vostri stakeholder alle 9.00 con questa lettera:
"Siamo spiacenti di informarvi che la nostra azienda ha rilevato un accesso non autorizzato all'infrastruttura alle 8.15 di oggi. L'hacker è riuscito a inserire un messaggio di ricatto. L'équipe di crisi designata per questo caso si è riunita per la prima volta alle 8.30 del mattino. Finora tutti i nostri sistemi sono stati scollegati da Internet. Oltre a ricercare le modalità di accesso alla nostra infrastruttura, stiamo lavorando per analizzare cronologicamente i nostri backup offline alla ricerca di infezioni. Un backup pulito verrà caricato su un'infrastruttura di backup. Riceverete ulteriori dettagli alle 17.00 di oggi".
Alle 9.15 si fa un respiro profondo. Tutti i vostri interlocutori vi hanno informato e potete dedicarvi completamente alla situazione. Siete grati di aver praticato questi scenari con la stessa regolarità delle esercitazioni antincendio. Durante gli esercizi, avete identificato e corretto i punti deboli. Con il team di cui disponete ora, siete certi che la vostra infrastruttura sarà di nuovo operativa entro le 16.00. Probabilmente avete perso alcuni dati delle ultime ore. Mi chiedo se alle 17.00 sarete in grado di annunciare che siete riusciti a respingere l'attacco con successo. A quanto ammonterà la multa per la violazione dei dati?