Cybersecurity: Come può esserci consapevolezza se non c’è comunicazione?
Quest’oggi, in una importante tavola rotonda sulle novità relative alla cybersecurity ed i recenti provvedimenti delle Istituzioni, organizzato da ISPI, la professoressa Paola Severino – Vice Presidente della Università Luiss Guido Carli - nel corso del suo breve e piuttosto interessante intervento, ha sollevato il problema della mancanza di condivisione delle informazioni relativamente agli attacchi cyber: “c’è un problema reputazionale” ha dichiarato.
In effetti, se ci pensiamo, se non c’è comunicazione riguardo all’avvenuto attacco (nel 2020 sono stati più di 500! Quanti ne riusciamo a memoria a contare?) ed alle modalità di esecuzione, agli elementi “facilitatori”, alle contromisure prese, ed altre informazioni non riservate, non si crea consapevolezza.
Ritengo che, qualora chiedessi a 100 responsabili ICT come ci si accorge di un attacco di un Ransomware, quali furono le reazioni di chi era stato attaccato, quali provvedimenti furono presi immediatamente e successivamente alla scoperta, eccetera, sono convinto che solo poche unità saprebbero rispondere.
È per questa ragione che, come associazione, abbiamo condotto, in un modo assolutamente riservato, una breve indagine per raccogliere alcune informazioni da aziende che sono state colpite.
Abbiamo chiesto poche informazioni e nessuna che potesse in qualche modo consentire a chi legge di poter capire di quale azienda si fosse trattato.
Le informazioni raccolte sono state tante, ma credo che possano essere di interesse solo alcune e soprattutto quelle che sono state più citate nel corso delle conversazioni avute.
Ecco alcune domande e la sintesi delle risposte.
Quando è avvenuto l’attacco?
Nella maggioranza dei casi è stato fra sabato e domenica mattina.
Chi si è accorto per primo dell’attacco?
In prevalenza sono stati i tecnici del settore informatico che hanno raccolto la segnalazione dai sistemi antivirus e/o i sistemi IPS.
Cosa ha fatto il personale ICT?
In prevalenza ha immediatamente informato il responsabile e le strutture di sicurezza (esempio: SOC). Hanno identificato le macchine compromesse ed hanno preso le opportune misure quali ad esempio: chiudere gli accessi Internet dei sistemi compromessi, isolare le macchine interessate, eccetera. Hanno successivamente accertato se si fosse verificato un imprevisto aumento di traffico di rete: ciò avrebbe potuto segnalare una esfiltrazione massiccia di dati contenuti nelle proprie reti. In qualche caso, questa ricerca ha visto interessati gli ultimi sette giorni in quanto si è saputo che in una realtà il prelievo di dati era avvenuto una settimana precedente la criptazione di tutte le macchine. In qualche caso la struttura aziendale non ha atteso eventuali segnalazioni contrarie ed ha ricaricato i dati dai backup; in un paio di enti i pc colpiti sono stati rottamati e sostituiti da nuovi computer con sistema operativo più recente.
Quale la reazione del top management?
Le reazioni sono state diversificate soprattutto a seconda della preparazione dell’azienda ad eventi di questo tipo. In ogni caso, fu avvertita la Polizia Postale ed il DPO; quest’ultimo ha poi avvertito il Garante della privacy a titolo cautelativo, anche se non appariva al momento rubato alcun dato personale. Qualora fosse emerso il furto di dati personali e/o si prevedesse una indisponibilità prolungata di uno o più processi critici, veniva emesso un comunicato stampa e, in generale, anche riportato sul sito istituzionale.
Si è poi saputo come può essere entrato il Ransomware nella LAN aziendale?
Le informazioni raccolte sono state estremamente scarse a causa di una giusta cautela delle aziende colpite, dato che era stata coinvolta la Polizia Postale e delle comunicazioni e la magistratura. Qualche notizia è trapelata, ed è stata pubblicata dalla stampa locale. Credo si possa affermare che in diversi casi si è trattato di sistemi vecchi, non più aggiornati e quindi esposti ad attacchi di “forza bruta”. Sembra che vi siano stati altri casi facilitati dalla apertura di Email di phishing (provenienti da indirizzi noti all’interessato) o per mancati aggiornamenti dei sistemi di protezione come gli antivirus.
Non so se i nostri soci e lettori condividano questa iniziativa: mi farebbe piacere avere un parere. Grazie in anticipo per il vostro feedback.
ANSSAIF: ci siamo scoperti docenti
Lo scopo della nostra Associazione è quello di diffondere la cultura della sicurezza, è quindi naturale che l’attività di formazione sia da sempre uno dei pilastri portanti della nostra attività.
Abbiamo messo in atto tante iniziative, dai seminari nei “salotti della sicurezza” a quelli nelle scuole con gare finali a premi, dai corsi organizzati alla LUISS alla partecipazione all’appuntamento formativo presso il Palazzo di Giustizia di Viterbo sul diritto d’autore nell’era digitale.
Una volta siamo stati invitati anche a organizzare un incontro formativo per il personale di una casa circondariale che fu, a mio parere, uno dei meglio riusciti, grazie anche, anzi soprattutto, al coinvolgimento della direzione della struttura, direttore in prima fila, a conferma dell’importanza del commitment del management come ci insegnano gli standard.
Da quando nel 2018 i giovani sono stati ammessi nell’Associazione in qualità di soci studenti con l’intento di attivare un circolo virtuoso per la “rigenerazione” del tessuto sociale dell’Associazione stessa, abbiamo avuto anche il loro contributo soprattutto in termini di originalità e modo di presentare gli argomenti. Come dimenticare la nostra socia studentessa che al Congresso del 2019 parlò di data breach proiettando un’immagine di Romeo sotto il famoso balcone di Giulietta?
Dall’inizio della pandemia, nell’impossibilità di incontrarci periodicamente per i nostri seminari formativi con aperitivo finale, abbiamo iniziato ad incontrarci in modalità webinar, generalmente il mercoledì sera, quando i “soci artigiani”, come siamo stati definiti, ma anche alcuni soci studenti tengono le c.d. “conversazioni” su vari argomenti nei quali hanno maturato particolare esperienza nel corso della loro vita professionale o di studio (Risk Management, Business Continuity e Crisis Management, Information Security, IT Auditing, Etica e Sicurezza, Compliance, Smart Working, introduzione dei corsi di Digital Forensics nei percorsi accademici, ecc.). Abbiamo avuto anche incontri condotti da esperti ben noti nel mondo della Sicurezza e amici dell’Associazione su temi particolarmente scottanti e di attualità.
Quest’anno, in piena pandemia, abbiamo avuto il corso “Il Modello Sistema di Gestione e la sua necessaria integrazione con i processi aziendali”, in cui il modello organizzativo è stato presentato come metodo per raggiungere gli obiettivi dell’organizzazione. In proposito vorrei ricordare uno scambio di battute tra la docente, che aveva parlato “corso noioso”, e il sottoscritto che ha precisato che il corso stesso non era divertente, infatti non era uno spettacolo, ma non era affatto noioso considerando la partecipazione interattiva dei discenti, che evidentemente non si distraevano e quindi non si annoiavano.
Nel mese di aprile, in collaborazione con ELIS, è partita la terza edizione dell’iniziativa dei corsi gratuiti di avvicinamento alla cybersecurity, un percorso organizzato su tre corsi di difficoltà crescente, l’ultimo dei quali in lingua inglese, con test di autovalutazione finale, fruibili completamente online e riservato ai giovani non occupati, o con occupazione precaria, con meno di 36 anni di età.
L’ultima esperienza, temporalmente parlando, è quella partita a maggio in collaborazione con l’Associazione Articolo 99, riservata ai ragazzi delle classi terze e quarte dell’Istituto Tecnico Galileo Galilei di Roma, che ha l’obiettivo di educare gli studenti a un uso responsabile del web o, come abbiamo letto in una nostra precedente newsletter, di fare Educazione Civica, materia che una volta si insegnava nelle scuole, contestualizzandola nell’ambito informatico.
Da questo breve excursus sulle nostre attività formative svolte negli ultimi anni emerge il nostro approccio olistico alla Sicurezza, il tutto non come somma delle parti, ma come unicum. L’olismo tende a opporsi a concetti quali lo strutturalismo e il meccanicismo, tesi ad analizzare le parti e le funzioni di un soggetto per ricomporre un tutt’uno proprio dalla sommatoria delle singole parti. Da notare come l’olismo ben si coniughi con l’umanesimo e con la successiva età dei lumi: l’uomo riflette su sé stesso vedendo la propria immagine come un intero indissolubile.
Evidentemente questa sfumatura del nostro approccio alla Sicurezza è stata osservata e colta dal Consorzio Innovo che ha invitato l’Associazione, con il Presidente, i soci “artigiani” e con la partecipazione anche dei soci studenti, ad erogare, per conto dell'AGID, alcuni interventi formativi al personale delle Pubbliche Amministrazioni; ai corsi erano invitati funzionari amministrativi, tecnici ICT e anche politici, costituendo così un’aula molto eterogenea.
L’obiettivo era di illustrare a grandi linee le metodologie per la protezione delle informazioni, la gestione dei rischi, la continuità operativa, la gestione delle emergenze dalle minacce di perdita di riservatezza, integrità e disponibilità dei dati con particolare attenzione alle strutture sanitarie e ospedaliere.
Tanto per fare qualche esempio, siamo passati dalla dimostrazione di un cyber attacco, ovviamente con le dovute “recinzioni”, oggi possibile disponendo di una media cultura informatica e un paio di dispositivi del costo complessivo di qualche decina di euro, agli errori più comuni che si possono commettere nella comunicazione in caso di incidenti, disastri e crisi.
In particolare, non parlare in tanti, diffondere le comunicazioni negative fin dal primo momento invece che nascondere fatti che prima o poi verranno a galla, non cedere alla tentazione di polemizzare con i media, non attribuire colpe a qualcuno, evitare i silenzi e i no comment in quanto il pubblico penserà che l’organizzazione stia nascondendo qualcosa, mettendo in risalto la professionalità dell’organizzazione e la sua attenzione primaria al personale. Tutto è stato accompagnato da case studies.
Il lavoro ha raccolto sia la conoscenza maturata sui libri, come provano le tante citazioni fatte, prime fra tutte quelle tratte dagli standard internazionali in materia, sia quella maturata sul campo come dimostrano i tanti esempi proposti.
Probabilmente abbiamo posto degli interrogativi sia ai manager (sarei tentato di risentire le registrazioni per contare quante volte e in quanti modi diversi abbiamo detto che l’attività di business continuity e crisis management dev’essere sempre voluta e sostenuta dal vertice dell’organizzazione) sia a tutto il personale (abbiamo fatto l’esempio del dipendente che sta per uscire dall’azienda al termine della sua giornata di lavoro e vede la porta di un’area sensibile aperta e fermata con un estintore, potrà ignorare il fatto e uscire tranquillo?).
Seguendo un’evoluzione quasi naturale, mi sembra che ANSSAIF stia portando avanti la sua attività formativa attraverso due fasi:
• una sorta di laboratorio interno negli incontri in modalità webinar del mercoledì sera, nei quali i vari temi vengono presentati e collaudati dai soci, artigiani e studenti,
• le iniziative esterne presso le scuole, le università, le Pubbliche Amministrazioni e altre organizzazioni per rispondere al nostro obiettivo di diffondere la cultura della sicurezza.
Per i soci artigiani che stanno facendo questa esperienza è un vantaggio e anche una soddisfazione.
Un vantaggio, perché abbiamo la possibilità di proporci come facilitatori e trasmettitori della nostra cultura ed esperienza.
Una soddisfazione, perché anche noi siamo stimolati a tenerci aggiornati per continuare a tenere lezioni in aula, quest’anno purtroppo a distanza, ma ci auguriamo di tornare presto in presenza, se no come spiegare che noi diversamente giovani ancora lavoriamo e ci cercano? E non per i danni provocati.
