Hacker's Dictioanry, rubrica Il Manifesto,

Come evitare la cattiva stampa di un incidente informatico

Il ministro per la trasformazione digitale, Vittorio Colao, in audizione al Senato, ha detto che bisogna rafforzare la cybersecurity nazionale. Bene, bravo bis. È quello che con accenti diversi hanno detto anche il presidente del consiglio Mario Draghi e il sottosegretario Franco Gabrielli. In attesa dell’agenzia per la Cybersicurezza bloccata da Renzi prima della crisi di governo. Speriamo di non dover aspettare fino al 2026 come per la banda larga.

Intanto continuano a rinnovarsi sul nostro territorio incidenti informatici disastrosi, dal furto di identità allo spionaggio. Quello che non cambia però è il tentativo delle aziende di minimizzare il problema fintanto che si può depistare la stampa, parlare di cattiva informazione, di “attacchi sofisticati”, o dare la colpa a un impiegato infedele. 

Ma c’è un’altra strada, quella di assumersene la responsabilità. Come si fa? Le regole di base sono: dire cosa è successo, cosa si intende fare per risolvere il problema, e cosa si farà per gli utenti coinvolti. Da un punto di vista comunicativo bisogna essere aperti e sinceri.

Ormai viviamo una fase in cui anche il grande pubblico comincia ad essere consapevole che il rischio zero non esiste. Perciò quello che conta è il modo in cui l’azienda risponde all’incidente. Ammettendo le responsabilità, fornendo dettagli, spiegandone la dinamica, descrivendo le soluzioni per gli utenti interessati, dicendo come si eviteranno casi simili nel futuro. Di fronte agli attacchi ransomware dell’anno scorso Campari Group si è comportata così, Luxottica no.

La parte più importante è invitare al dialogo tutti gli stakeholder: clienti, esperti, analisti e giornalisti, per un’ampia discussione del tema. Tutto questo serve a minimizzare gli impatti negativi dell’incidente ma anche a dare l’idea di essere affidabili, trasparenti e capaci di gestire la situazione.

Poi, siccome è successo sotto gli occhi del reparto security, affidarsi a un punto di vista esterno a quello aziendale, perché l’incidente può essere causato da un’azione di hacking, ma potrebbe essere risultato della negligenza di un impiegato magari proprio di quel reparto, come è successo a Leonardo.

Risaliti all’origine del problema, bisogna fare squadra. Stabilito il processo, diventa importante notificare l’accaduto a impiegati, clienti, media, autorità. In concreto? Bisogna avere delle risposte pronte e tempestive. Pronti a rispondere al telefono, alle email, con un comunicato stampa. In questo caso si chiede scusa, si offre assistenza e si ipotizza un ristoro come ha fatto Ho. Mobile di fronte al databreach delle anagrafiche di 2 milioni di clienti.

Poi si crea un messaggio, unico, chiaro, e due o tre dichiarazioni a supporto del messaggio, ma la cosa più importante è la tempestività. Reagire entro 45 minuti è quello che suggeriscono gli esperti. E tutto questo evitando di dare ulteriori informazioni agli attaccanti che potrebbero sfruttare le vulnerabilità emerse nelle dichiarazioni. Anche per questo bisogna coinvolgere legali e autorità, Privacy e Antitrust.

Alla fine bisogna essere pronti a rispondere a domande e accuse inattese, anticipandole con risposte concise e persuasive. Mai dare l’idea dell’inerzia. In maniera diversa è quello che non hanno fatto Facebook, 533 milioni di record trafugati a spasso nel Darkweb da mesi, ClubHouse per i dati di 1.3 milioni di utenti, e SolarWinds hackerata con la password ‘solarwinds123’.

Per gestire un incidente informatico dal punto di vista della comunicazione non esiste la pallottola d’argento, ma essere rispettosi verso i soggetti coinvolti vince sempre.