L’impressione che si ha seguendo i dibattiti in tanti convegni e congressi che trattano il crimine digitale, è che le soluzioni ci siano, ma servano a poco; infatti, le organizzazioni colpite sono sempre di più, e crescono anche i danni.
Sappiamo che sono messe in atto difese attraverso strati di antivirus ed anti malware; si mettono in piedi sempre più sofisticati e professionali CERT; ma l’hacker riesce comunque ad entrare e provocare seri danni, che qui – per brevità – non stiamo a ricordare.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Onde cercare di capire le ragioni, facciamo una breve ipotesi.
Immaginiamo che una azienda sia colpita. A questo punto molto probabilmente il vertice aziendale, dopo aver ricevuto informazioni circa le conseguenze, si pone interrogativi relativamente all’avvenuto rispetto di semplici regole relative all’analisi dei rischi ed alla dovuta informazione del lavoratore (ma l’”untore” potrebbe essere stato il datore di lavoro…).
E’ naturale, ma il problema è un altro. Il dipendente coinvolto in un processo critico è stato addestrato a sospettare di tutto e di tutti? La crescente sofisticazione degli attacchi fa sì che il mittente può risultare un collega, o un fornitore, o un cliente, o comunque uno stakeholder, e l’oggetto ed il modo in cui era stata scritta la email non poteva non indurre il dipendente ad aprire l’allegato.
Anche se l’azienda si è coperta le spalle con adeguate istruzioni, ed ammesso e non concesso che conduca una sensibilizzazione continua ed efficace dei dipendenti e del personale anche esterno che opera nella organizzazione, il danno oramai è stato compiuto. Più tardi l’azienda se ne accorge e peggio è.
Ma ammettiamo per un attimo che al dipendente, nell’esempio dell’allegato alla email, sorga il sospetto che si tratti di una trappola: l’allegato conteneva un malware oppure no? In caso affermativo ha fatto un guaio. Avverte la Sicurezza? Il suo capo? Molto probabilmente prenderà paura. Si ricorderà dei fogli firmati e delle minacce implicite.
Non è da escludere che fra sé e sé rifletterà e, nel dubbio, penserà di essersi sbagliato e che non è successo nulla.
Ed il tempo passa…E i danni crescono…
Le aziende, che hanno adottato l’approccio suggerito dalla metodologia di business continuity, affrontano i possibili rischi a “tutto tondo”; ciò significa che hanno studiato come proteggere i dati ed i processi operativi critici ed ha adottato, oltre a misure preventive commisurate ai possibili danni, anche misure su come contenerli e su come ripristinare la situazione al meglio.
Il dipendente non deve sentirsi in colpa se ha avvisato immediatamente, con tempestività chi di dovere di un suo dubbio. La sofisticazione delle tecniche usate sono tali da rendere difficile capire se si è in presenza o meno di un attacco.
Quindi, i progetti di sensibilizzazione del personale sono tempo perso se non sono:
- Commisurati alle possibili conseguenze di un evento malevolo;
- Mirati ad ogni particolare gruppo di persone (vecchio detto: “parla con loro come mangiano”);
- Semplici, sintetici;
- Ripetuti (come la nota goccia che scava…);
- Inseriti in un piano di continuità studiato e realizzato con l’obiettivo della salvaguardia dei dati e processi critici e vitali dell’organizzazione, e, non ultimo,
- L’approccio alla business continuity avvenga a livello totale e non, come in alcuni casi accade, trascurando il rischio informatico in quanto supposta area di esclusività dell’ICT.
Se dovessimo chiedere il parere, su quanto sin qui detto, ad una piccola azienda, ho paura che risponderebbe così (mi piacerebbe essere smentito):
- Ho fatto quanto previsto dalla legislazione (analisi dei rischi, sensibilizzazione dei dipendenti, assegnazione di ruoli e responsabilità, ecc.);
- Non possiamo interrompere la produzione per stare appresso ad eventi improbabili;
- Non siamo nel mirino di sofisticati attaccanti;
- Dovesse accadere qualcosa, ripartiremo, aggiusteremo, come abbiamo sempre fatto;
- La business continuity: solo chiacchiere, un modo per far fare soldi alle società di certificazione e di consulenza; tra l’altro, non è nemmeno trattata come materia nelle migliori Università, a dimostrazione della scarsa importanza.
Mi si consenta di concludere in questo modo:
- Chi è stato colpito ha avuto anche danni elevatissimi, ma non lo ha fatto sapere in giro (ma nella stretta cerchia della supply chain, lo si è saputo…),
- Un adeguato progetto di business continuity, inclusa la awareness, ha un costo limitato e comunque proporzionato alla dimensione aziendale e all’impatto di possibili sinistri;
- Se le Istituzioni desiderano che le aziende si proteggano adeguatamente, ci vuole una imposizione dall’ “alto”, coerenti sanzioni, e vanno eseguiti i dovuti controlli; non dimentichiamo che la forza del Paese sono le micro e piccole aziende che rischiano di vedere vanificati i propri investimenti produttivi a causa di attacchi cyber, e, non ultimo, qualora appartengano alla filiera produttiva di infrastrutture critiche per la continuità del Paese, costituiscono un pericolo sistemico;
- C’è quindi da interrogarsi se è stata un’azione coerente con i rischi l’abrogazione del documento programmatico sulla sicurezza (DPS), che tuttavia mantiene la necessità delle misure minime di sicurezza, la cui efficace realizzazione era sottesa alla redazione del DPS. wright@anssaif.it