3 lezioni che le aziende possono imparare dopo le intrusioni nei server dei democratici USA
Si vis pacem para bellum dicevano gli antichi. Vale anche nel campo della cybersecurity
Arturo Di Corinto per Cybersecurity del 4 agosto 2016
Dopo le intrusioni informatiche ai danni del Comitato nazionale democratico, dello staff di Hillary Clinton e del comitato congressuale ad opera di due distinti gruppi di hacker russi noti come Cozy Bear e Fancy Bear, Paul Ferrillo, avvocato esperto di cybersecurity ha offerto la sua ricetta per essere preparati di fronte alla certezza che prima o poi accadrà anche a noi. La riportiamo quasi per intero.
1. Essere preparati in tempi di pace perchè i guai sono dietro l’angolo
Che vuol dire prepararsi in tempo di pace? Gli antichi lo spaevano già: Si vis pacem para bellum. Se vuoi la pace sii pronto per la guerra. Insomma Significa essere preparati e pianificare in anticipo gli effetti di una situazione di crisi. Significa essere proattivi e non reattivi. Se la tua organizzazione ha delle informazioni di valore prima o poi sarà oggetto di un attacco cibernetico. Fin qui è lapalissiano.
Perciò le domande da farti sono:
– Come ti stai preparando per questa evenienza?
– Come stai proteggendo i tuoi dati?
– Hai già preparato un piano di risposta agli incidenti?
– Hai un progetto che ti consente di continuare nel tuo business?
– Hai un piano di comunicazione per gestire la crisi?
Domande semplici ma importanti. Bisogna essere preparati perché i guai sono sempre dietro l’angolo.
2. Fare un‘analisi dei rischi associati alla sicurezza informatica
Di questo passaggio sono pieni i manuali di sicurezza informatica, ma è bene ripercorrerli.
Il processo di analisi di questa valutazione è semplice. Chiediti:
a) Quali sono le minacce che mi possono danneggiare? Quali sono le mie vulnerabilità? I miei impiegati? La forza vendita? degli attori statali? Vecchi computer e software non aggiornato? Sono gli hacker avversari o gli hacker da impiegare?
b) Cosa sto facendo per proteggermi da questa vulnerabilità? Ho spiegato ai miei impiegati che non si clicca su dei link sconosciuti? Sto aggiornando i miei software? Sto attento a distribuire i privilegi secondo la logica del livello più basso? Il mio hardware è recente e rispetta i requisiti basilari della sicurezza? Quanto è probabile che io possa essere attaccato? E quanto mi farebbe male un attacco?
A queste domande bisogna fare seguire una bella discussione dentro l’azienda o l’organizzazione nella quale si riveste una posizione decisionale. Poi si procede a definire un punteggio a ognuno dei rischi, delle vulnerabilità e del potenziale impatto di un attacco per poter focalizzare i propri sforzi nella aree più delicate. L’impostazione di sicurezza usata ci aiuterà a capire se siamo in grado di identificare con immediatezza questi rischi. La maggior parte delle aziende semplicemente non si occupa abbastanza di cybersecurity. Il tempo che gli si dedica però è il tempo che abbiamo prima che ci sia un attacco. Dopo è già tardi.
3. Valutare vulnerabilità e stimare il danno
Alla fine si chiamano i rinforzi, cioè i consulenti per la sicurezza che devono fare una valutazione delle vulnerabilità, cioè una valutazione dei rischi informatici attuali e potenziali, mentre un cyber ninja (sul tuo libro paga) mette a dura prova i sistemi aziendali e quando trova dei rischi ti avverte affinché tu possa dargli priorità immediata. Qualsiasi cosa puoi fare per minimizzare i rischi è positiva. Di certo, la formazione contro gli attacchi più frequenti e anche più semplici ma insidiosi possono ridurre drasticamente i rischi. Ascolta, impara, i guai sono dietro l’angolo. Importante è anche fare una valutazione del danno. Ti dirà quante sono le probabilità che i tuoi sistemi possano essere bucati e se non lo hanno fatto ancora, la velocità della tua reazione farà la differenza.
Poi ripetere, ripartendo dal primo punto, perché come dice Fiorillo “è bene esercitarsi sempre, magari prima che la polizia o un giornalista investigativo vengano a bussarti alla porta.”
