SICUREZZA INFORMATICA

Ransomware, come creare un Incident Response Team efficace

Home
Indirizzo copiato

L’ IRT è un gruppo di lavoro preparato per rispondere agli incidenti di sicurezza (in generale) in modo tempestivo ed efficace. Dovrà essere tarato sul contrastare incidenti che impattano su riservatezza, integrità e disponibilità delle informazioni (non solo di tipo personale). Quali sono le professionalità da includere?

Pubblicato il 8 ago 2023
Sergio Aracu

Founding Partner di Area Legale S.r.l.

Matteo Sironi

Data Protection Officer, Edenred Italia S.r.l.

A,Businessman,Computing,Probability,Of,Risks,In,Cyber,Security,Protection

Per chiunque tratti dati a livello professionale, trovarsi a dover fronteggiare un attacco di tipo ransomware è ormai una questione di “quando” e non di “se”.

E le vittime, da tempo, non sono più solo le grandi aziende o i grandi enti pubblici.

Lo ribadisce anche un recente studio del National Cyber Security Center inglese rispetto alle minacce cyber nel settore degli Studi Legali, registrando un aumento esponenziale dei casi di attacco informatico dal 2018 ad oggi, con una particolare predominanza di minacce di tipo ransomware.

La cybersecurity “giusta” per difendere aziende e PA: ecco su cosa puntare

Ma in questo articolo vogliamo soffermarci su un differente aspetto del problema, ovvero, chi coinvolgere ove le difese attivate (o non attivate) falliscano.

In sostanza, da chi dovrebbe essere composto un Incident Response Team per poter essere efficace?

Cosa è un Incident Response Team (IRT)

L’ IRT è un gruppo di lavoro preparato per rispondere agli incidenti di sicurezza (in generale) in modo tempestivo ed efficace.

In particolare, in ambito Cybersec e Data Protection, il nostro IRT dovrà essere tarato sul contrastare incidenti che impattano su riservatezza, integrità e disponibilità delle informazioni (non solo di tipo personale).

Spesso questo team è composto solo da esperti di Information Technology e Sicurezza Informatica, ma siamo sicuri che tali expertise siano sufficienti per uscire dal guado di un attacco di tipo ransomware?

A nostro modo di vedere, no.

Ransomware, nessuno è immune

In realtà, gli studi professionali (in particolare Commercialisti, Avvocati, Consulenti del Lavoro) sono di fatto i più vulnerabili, tra le categorie di titolari del trattamento di dati.

Questo, per vari ordini di ragione:

  1. la scarsa cultura e propensione alla sicurezza informatica e, in generale, alla data protection;
  2. l’elevato numero di dati personali trattati, spesso anche catalogabili in categorie particolari o comunque particolarmente “sensibili” per gli interessati.

Inoltre, spesso, molti professionisti si associano affidando ad un unico “contenitore” tutte le informazioni (CRM, gestionali pratiche, etc.);

  • l’elevata sensibilità alla perdita di immagine e di fiducia da parte dei propri clienti.

Ma, pur di fronte a tanta vulnerabilità, non vi è una categoria merceologica o imprenditoriale che, attualmente, risulta immune da attacchi di tipo informatico.

Persino le industrie metalmeccanica e petrolifera subiscono attacchi in grado di fermare le linee di produzione.

Le professionalità essenziali per creare un efficace Incident Response Team

Andiamo quindi ad elencare le professionalità che riteniamo essenziali per creare un vero dream team che ci dia ragionevoli certezze di riuscire a limitare al minimo i danni a breve, medio e lungo termine a seguito di un attacco ransomware.

Esperti di sicurezza informatica (non a caso, indicati al plurale).

Qualora l’attacco abbia avuto successo, il tempo è la risorsa più preziosa (e scarsa): ci sono moltissime attività da svolgere, in maniera tempestiva e coordinata.

È quindi necessario nominare un soggetto “responsabile”, dotato di sufficienti poteri, che possa coordinare i tecnici nelle varie attività quali:

  • isolamento dei sistemi o dei dispositivi infetti per evitare un’ulteriore propagazione del ransomware
  • analisi dei dati colpiti per determinare l’impatto sull’azienda
  • disattivazione di account o chiusura di porte di rete
  • successivo ripristino dei dati.

In aggiunta a queste figure, solitamente tecnici informatici interni all’azienda, è consigliabile coinvolgere esperti esterni in ambiti OSINT e Forensic Analysis, al fine di ottenere quante più informazioni possibili sugli attaccanti e raccogliere le necessarie prove digitali (che potrebbero tornare utili non solo di fronte all’autorità giudiziaria, ma anche nel caso in cui sia stata stipulata un’assicurazione).

Tutti questi profili dovranno infine collaborare, terminato l’incident, alle attività di de-briefing e “lesson learned”.

Generalmente, non serve un “crittografo” per provare a decifrare i files: in alcuni casi di utilizzo di ransomware come CryptoLocker e GandCrab, le forze dell’ordine o i consulenti di sicurezza informatica sono stati in grado di acquisire le chiavi di decrittazione e di metterle a disposizione delle vittime.

Provare ad individuare errori nella crittografia o debolezze nel ransomware per sviluppare appositi strumenti di decrittazione è possibile, ma è bene ricordare il fattore tempo.

Data Protection Consultant/Specialist

Questa figura sarà essenziale per gestire le incombenze di cui al GDPR nei tempi, nelle forme e nei modi più adeguati ad evitare o mitigare gli effetti sugli interessati e le possibili sanzioni da parte dell’Autorità di Controllo.

Data Protection Officer

Il DPO (che deve essere necessariamente, a norma di GDPR) essere tempestivamente coinvolto in tutti i casi di violazione di dati personali, esplicherà la sua utile azione nel team di risposta tenendo i contatti sia con gli eventuali altri DPO (ad esempio di Committenti/Titolari del trattamento) che con l’Autorità Garante e con gli Interessati.

Esperto di comunicazione in stato di crisi

Assolutamente indispensabile per poter gestire verso l’esterno la situazione senza “scivoloni” che finirebbero necessariamente per aggravare il danno di immagine.

Esperto di negoziazione in ambito ransomware

Non ci si deve mai dimenticare che un attacco ransomware si sostanzia in un ricatto a scopo di estorsione.

Si sta quindi diffondendo una figura professionale specializzata nell’acquisire e gestire i contatti con i criminali informatici, col il task di evitare che reazioni scomposte da parte dei ricattati si traducano in reazioni scomposte da parte dei ricattatori (pubblicazione di dati personali/industriali, etc.).

Esperto di diritto penale e di cyber crime e di normativa AML (antiriciclaggio)

Qualora fosse inevitabile procedere col pagamento di quanto richiesto (e ricordiamo che farlo può comportare profili di tipo penale, a carico di chi paga), è bene operare nel miglior modo possibile dal punto da vari punti di vista.

Non ultimo, quello del rispetto della normativa in materia di antiriciclaggio (AML).

Esperto di Criptovalute

Che ci aiuti ad acquistare in modo lecito e sicuro e ad effettuare il pagamento, ove strettamente necessario e sempre tenendo presente che pagare un riscatto potrebbe condurci ad una imputazione per favoreggiamento (da qui l’utilità di avere affianco un esperto di diritto penale).

Quando coinvolgere l’IRT

Come per tutte le cose, la prevenzione aiuta anche in questa situazione.

Individuare tutte le professionalità sopra elencate (soprattutto in un momento in cui si vuole avere affianco figure “di fiducia”) non è sempre banale in emergenza.

Inoltre, un team che conosca le dinamiche della Struttura colpita e l’ambiente in cui opera sarà infinitamente più efficace di un team che entra per la prima volta in gioco ad incidente avvenuto.

Da quando e per quanto tempo deve restare attivo l’IRT dopo il ransomware

Rispetto al primo quesito (da quando) la risposta non può che essere, da prima possibile.

Potendo, anche da subito (si veda nel prosieguo una soluzione percorribile per massimizzare la velocità di intervento).

Riteniamo che per raggiungere tutti gli obiettivi molte delle figure del IRT debbano restare attive per almeno 7/10 giorni dalla scoperta dell’attacco (pensiamo agli esperti di data protection, di AML, di criptovalute, di diritto penale) mentre tra gli esperti di sicurezza informatica sicuramente taluni dovranno essere attivi per molto più tempo (pensiamo alla attività di analisi che spesso richiede settimane se non mesi e pensiamo all’attività di osint che, necessariamente, dovrà proseguire, in caso di esfiltrazione di dati, per periodi altrettanto lunghi).

IRT interno o esterno

Formare all’interno della propria struttura un IRT preparato ed efficiente, è sicuramente una soluzione ideale ma probabilmente non esattamente alla portata di tutti.

In alternativa, si può optare per dare l’incarico ad un Partner che offra un team già formato o, in fine, individuare le diverse professionalità da coinvolgere ed aggregarle al momento del bisogno.

Una soluzione a nostro parere ideale potrebbe essere quella mista: individuare e formare, al proprio interno, un primo nucleo formato a un esperto di cyber security (anche lo stesso C.I.S.O.) + un esperto di data protection (anche lo stesso D.P.O.) che seguano procedure concordate con un team più ampio di outsourcers (sia provenienti da un’unica struttura che da diversi contesti) e che dia il tempo a questi di intervenire pur agendo in modo efficace per contenere i danni nell’attesa dell’intervento dell’intero team.

Ecco, quindi, l’importanza di una progettazione accurata che comporti anche fasi di simulazione, previsione di procedure ad hoc, formazione.

Come prevenire un attacco: il decalogo

Su come prevenire un attacco si sono spesi fiumi di inchiostro.

Per riassumere in un “decalogo”:

  1. Formazione e “awareness” a tutti i dipendenti sulle basi della sicurezza informatica e sulle minacce più comuni come ransomware, phishing e social engineering.
  2. Aggiornamenti regolari di tutti i sistemi operativi, applicazioni e software di sicurezza con le ultime patch di sicurezza pubblicate.
  3. Utilizzo di software antivirus e antimalware, ricordandosi di effettuare o pianificare scansioni regolari, unitamente a filtri antispam e antiphishing correttamente configurati e a firewall e filtri di rete per monitorare il traffico di rete, impostando adeguati filtri per bloccare l’accesso a siti web e contenuti potenzialmente dannosi.
  4. Backup regolari dei dati, conservandoli in separati dalla rete aziendale, al fine di evitare che eventuali ransomware possano cifrarli unitamente a pentest periodici, per identificare le vulnerabilità presenti e pianificare le remediation, preparando al contempo piani di disaster recovery e business continuity.
  5. Politiche di password robuste, possibilmente con l’uso di autenticazioni a più fattori (MFA) per aumentare la sicurezza in fase di login.
  6. Controllo delle informazioni e degli accessi privilegiati sulla base dei principi need to know e least privilege.
  7. Monitoraggio e rilevamento delle minacce:

– implementa soluzioni di monitoraggio della sicurezza per identificare e rilevare attività sospette o anomale nella rete;

– utilizza strumenti di analisi dei log per monitorare gli accessi e le attività degli utenti.

  1. Sicurezza fisica di server e computer.
  2. Utilizzo di fornitori che presentano elevati standard di sicurezza informatica, in possesso delle certificazioni rilevanti per le attività che si vogliono appaltare.
  3. Aggiornamento delle policy e delle procedure aziendali di sicurezza.

Su come prevenire un attacco si sono spesi fiumi di inchiostro.

Per riassumere in un “decalogo”:

  1. Formazione e “awareness” a tutti i dipendenti sulle basi della sicurezza informatica e sulle minacce più comuni come ransomware, phishing e social engineering.
  2. Aggiornamenti regolari di tutti i sistemi operativi, applicazioni e software di sicurezza con le ultime patch di sicurezza pubblicate.
  3. Utilizzo di software antivirus e antimalware, ricordandosi di effettuare o pianificare scansioni regolari, unitamente a filtri antispam e antiphishing correttamente configurati e a firewall e filtri di rete per monitorare il traffico di rete, impostando adeguati filtri per bloccare l’accesso a siti web e contenuti potenzialmente dannosi.
  4. Backup regolari dei dati, conservandoli in separati dalla rete aziendale, al fine di evitare che eventuali ransomware possano cifrarli unitamente a pentest periodici, per identificare le vulnerabilità presenti e pianificare le remediation, preparando al contempo piani di disaster recovery e business continuity.
  5. Politiche di password robuste, possibilmente con l’uso di autenticazioni a più fattori (MFA) per aumentare la sicurezza in fase di login.
  6. Controllo delle informazioni e degli accessi privilegiati sulla base dei principi need to know e least privilege.
  7. Monitoraggio e rilevamento delle minacce:

– implementa soluzioni di monitoraggio della sicurezza per identificare e rilevare attività sospette o anomale nella rete;

– utilizza strumenti di analisi dei log per monitorare gli accessi e le attività degli utenti.

  1. Sicurezza fisica di server e computer.
  2. Utilizzo di fornitori che presentano elevati standard di sicurezza informatica, in possesso delle certificazioni rilevanti per le attività che si vogliono appaltare.
  3. Aggiornamento delle policy e delle procedure aziendali di sicurezza.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

  • approfondimento

    AI e camere di commercio, ecco i servizi e le sperimentazioni

    28 Mag 2024

    di Domenico Tarantino

    Condividi

Prossimo

Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

Articolo 1 di 3