Vai al contenuto

Sei regole per la gestione di un data breach

Data breach
Condividi questo articolo

Mi è recentemente capitato di assistere una società italiana coinvolta in un caso di data breach a seguito di un attacco alla rete IT aziendale, realizzato tramite il ransomware BitLocker 3.0

Gli effetti dell’attacco sono stati, per la mia cliente, spiazzanti: in un tempo brevissimo, tutte le informazioni aziendali sono state criptate; i sistemi IT sono stati gravemente compromessi (compresi posta elettronica, firewall, VPN, backup, etc.); l’azienda è rimasta paralizzata per circa una settimana e ha dovuto investire ingenti risorse per svolgere accurate indagini forensi e per farsi assistere da consulenti esperti che le consentissero di ritornare operativa al più presto.

Inoltre, dopo pochi giorni, la società è stata informata che i dati aziendali erano stati copiati, esfiltrati e, qualora non avesse pagato un riscatto di valore elevato, potenzialmente resi disponibili a chiunque sul web.

È noto che, nel corso degli ultimi anni, lo scenario sopra descritto ha coinvolto un numero crescente di società, soprattutto PMI: gli attacchi compromettono i dati personali di tutti gli stakeholders aziendali; spesso implicano l’esfiltrazione dei dati e la minaccia della loro pubblicazione sul dark web, se non viene pagato un riscatto, con seri rischi di compromissione della riservatezza delle informazioni aziendali che, se rese pubbliche, possono avere gravi ripercussioni sulla reputation stessa dell’impresa.

Le statistiche sugli attacchi ransomware alle aziende italiane negli ultimi anni mostrano una crescita allarmante del fenomeno: guardando agli ultimi tre anni, il 58% delle aziende italiane è stato colpito da un attacco ransomware (con una percentuale di successo pari a circa il 44%), con il 57% di queste aziende che ha visto almeno un’altra impresa all’interno della propria supply chain cadere vittima dei cybercriminali.

Anche il Rapporto Clusit 2023, curato dall’Associazione Italiana per la Sicurezza Informatica, conferma una costante crescita degli attacchi ransomwere a danno delle aziende di tutto il mondo e di quelle italiane, in particolare.

Queste statistiche devono indurre, quindi, ogni impresa a non sopravvalutare la propria capacità di resistenza e resilienza, posto che la domanda da porsi non è “cosa fare se…” ma “cosa fare quando…”, dato che, in uno scenario simile, dobbiamo dare per scontato che nessuno possa dirsi realmente al sicuro da violazioni.

Diventa, quindi, fondamentale per le imprese – soprattutto per le PMI, che sono le più vulnerabili – dotarsi di misure di sicurezza efficaci e di seri piani di risposta agli incidenti di sicurezza.

Al fine di predisporre un’adeguata procedura di gestione di un eventuale data breach, le aziende devono, perlomeno, considerare i seguenti aspetti:

  1. valutazione immediata dell’attacco: al primo sospetto di un data breach, è cruciale che l’azienda identifichi chi deve essere immediatamente coinvolto per effettuare un’analisi tempestiva dei propri sistemi IT, determinare l’entità della violazione e verificare i dati coinvolti dalla violazione;
  2. piano di comunicazione e di trasparenza: è fondamentale informare tempestivamente le Autorità competenti (Garante per la Protezione dei Dat Personali, Polizia Postale, etc.) e tutti gli interessati coinvolti nell’incidente, come prescritto, oltretutto, dagli articoli 33 e seguenti del GDPR. È, inoltre, importante coinvolgere, laddove opportuno, la propria filiera, per conservare la fiducia sul mercato e non incorrere in sanzioni;
  3. adozione di misure di contenimento: è indispensabile adottare tempestivamente misure tecniche ed organizzative di contenimento del danno (isolamento dei sistemi infetti, sospensione temporanea di alcune operazioni on-line, istruzioni agli incaricati, etc.), per prevenire ulteriori perdite;
  4. procedure di recupero dei dati e dei sistemi: occorre aver chiaro, fin da subito, chi deve fare che cosa, dove sono le informazioni rilevanti, come ripristinare i backup, etc.. In merito a questi ultimi, è importante ricordare che i backup non devono essere collegati alla rete aziendale perché i ransomware sono capaci di comprometterli, se non isolati dalla rete. L’utilizzo di backup recenti e affidabili è fondamentale per ripristinare i sistemi rapidamente, riducendo, di conseguenza, l’impatto operativo per l’azienda;
  5. revisione e rafforzamento delle misure di sicurezza: dopo un attacco, oltre ad aggiornare il proprio Registro dei trattamenti registrando l’incidente, è vitale rivedere e potenziare le misure di sicurezza IT, prevedendo aggiornamenti regolari, la formazione del personale e valutazioni periodiche della sicurezza;
  6. piani di risposta agli incidenti: predisporre ed aggiornare periodicamente un piano di risposta agli incidenti ben definito e testato, consente all’impresa di reagire in modo efficace ed organizzato, evitando che la notizia della violazione ingeneri panico e disorientamento all’interno dell’organizzazione aziendale.

I passaggi sopra descritti devono, naturalmente, essere attentamente valutati da ciascuna azienda in base alle proprie caratteristiche, con l’aiuto di consulenti affidabili e preparati, sia sotto il profilo tecnico sia sotto il profilo legale.

Affidarsi, infatti, a consulenti esperti è il miglior investimento che un’azienda possa fare per prevenire futuri attacchi, rafforzare le proprie difese e, nella malaugurata ipotesi di incidente, minimizzare i danni, evitando sanzioni e conservando la propria reputation sul mercato.