Formazione, consulenza e incident management, ecco come neutralizzare gli attacchi informatici

Intervista ad Emanuele Capra, Responsabile Cyber Security e Business Continuity di ASSITECA

“La media dei dipendenti che non supera il primo test di phishing si attesta tra il 12 e il 14%” ci racconta Emanuele Capra, Responsabile Cyber Security e Business Continuity di ASSITECA. Ovviamente si tratta di numeri da contestualizzare di volta in volta in base alla tipologia ed alla situazione specifica di ogni organizzazione, ma è pur sempre un valore assoluto allarmante, soprattutto se confrontato con quello che sarebbe un tasso fisiologico, che si attesta invece intorno al 3%.

Un singolo numero che riesce a darci, sin d’ora, un quadro d’insieme preoccupante in un periodo caratterizzato da una crescita molto marcata dei reati informatici. Incremento, questo, sospinto da un lato dal diffuso ricorso al lavoro da remoto, che porta con sé insidie e vulnerabilità nuove e, dall’altro, da una cultura media sul fronte informatico ancora abbastanza bassa. Nella realtà dei fatti, “i reati informatici che vengono denunciati e resi pubblici sono di certo molto meno rispetto a quelli che veramente le aziende subiscono ogni giorno, data una diffusa – e intuibilmente comprensibile – reticenza a comunicare questi episodi, per non subire anche il conseguente danno dal punto di vista reputazionale”, continua Emanuele Capra.  Che sottolinea anche come, in molti casi, “sono proprio i dipendenti ad aprire inconsapevolmente le porte della propria società ai reati informatici, comunicando determinate credenziali in risposta alle classiche mail di phishing”. Si innesca così una spirale di costi che l’azienda dovrà fronteggiare per bonificare in primo luogo i sistemi IT compromessi dall’attacco hacker, ripristinare i servizi interrotti e, infine, per ristabilire il pieno regime dell’attività nel più breve tempo possibile.

Eppure, ci spiega Emanuele Capra, pur essendo più consapevoli dei danni legati ai reati informatici e dei costi che un’azienda è chiamata a mettere in conto per limitarne le conseguenze, “oggi solo il 10% della nostra clientela corporate ha sottoscritto una polizza cyber, un numero ancora basso, anche se in netta crescita rispetto al passato, in considerazione del grande lavoro di sensibilizzazione che da anni stiamo facendo. L’errore di fondo, molto diffuso, è che le PMI italiane non si ritengono bersaglio dei cyber attacchi in considerazione delle loro dimensioni. Una convinzione in realtà poco fondata, perché gli hacker operano sempre più spesso dove è più probabile che l’attacco abbia successo in minor tempo e con pochi sforzi, e questo ovviamente accade dove le infrastrutture IT sono meno aggiornate e protette, situazione purtroppo abbastanza frequente nelle PMI”.

“Uno dei casi cui stiamo assistendo di recente è la più classica delle truffe che ricalca il modello del man in the middle: un intruso che si inserisce tra le comunicazioni aziendali online con l’obiettivo di rubare o alterare le informazioni, compromettendo i rapporti tra l’azienda e i suoi partner terzi”. Una tipologia di attacco il cui incremento verosimilmente è da collegare anche al ricorso massivo allo smart working “perché con il danneggiamento anche di un singolo computer aziendale si può mettere a rischio la sicurezza informatica di un’intera azienda”.

Guardando ai numeri più da vicino: “Il 70/80% degli attacchi viene oggi attuato in più fasi: il furto di dati di business o personali, l’utilizzo di ramsonware per criptare archivi e applicazioni e pregiudicare il funzionamento stesso dell’azienda, la richiesta di un vero e proprio riscatto per liberare i sistemi compromessi e/o la minaccia di rivendere o pubblicare i dati rubati, in caso l’azienda sia in grado di ripristinare le attività da sola” elenca Capra. Ma indipendentemente dalla tipologia di attacco, il ventaglio di danni che un’azienda subisce è ampio. “Si parte dai costi interni di gestione dell’incidente e di ripristino dei sistemi compromessi, cui si aggiunge il conto degli specialisti che devono essere coinvolti di volta in volta, come gli analisti forensi, i legali specializzati, fino agli esperti in negoziazione per la gestione delle richieste di riscatto” sintetizza Capra. Che chiosa: “Gli incidenti cyber sono così complessi che spesso le aziende colpite non riescono neanche a contabilizzare fino in fondo il danno subito”.

Proviamo a fare una sorta di simulazione. “Per avere una prima idea della tipologia di attacco subito ed arrivare ad un’iniziale stima dei tempi di ripristino, un’azienda media italiana impiega non meno di 48 ore” – ci spiega Capra – “mentre per riavviare l’attività di produzione, sempre in media, occorrono almeno 4/5 giorni lavorativi, ma abbiamo avuto interruzioni durate anche varie settimane”. Immediatamente dopo la ripresa delle attività, occorre mettere in conto un’ulteriore fase di lavoro che riguarda il ripristino di tutti i pc e le altre infrastrutture aziendali che hanno subito danni. Tempi tecnici? “Abbiamo registrato casi in Italia in cui ci sono voluti anche 6 mesi per neutralizzare completamente i danni subiti da un attacco informatico”. E i costi medi? “Se mettiamo in conto anche gli onorari per esperti terzi che coprono una serie di diversi settori, la forbice è molto ampia, orientativamente potremmo parlare di una cifra che va dai 20 fino ai 100 mila euro, solo per i costi di gestione dell’incidente. A questi occorre aggiungere la perdita di profitto per l’interruzione produttiva, che dipende ovviamente dalla tipologia di azienda attaccata, dal settore e dall’area in cui opera e da molti altri fattori endogeni ed esogeni” continua il Responsabile Cyber Security e Business Continuity di ASSITECA, che non dimentica di prendere in considerazione anche le spese relative alla “comunicazione dell’avvenuto attacco e del successivo ripristino dell’attività a tutti i clienti e più in generale al mercato”.

Quello che si fa nelle prime 24 ore a seguito di un attacco informatico è quindi fondamentale sia per ridurre i costi di ripristino, sia per riprendere l’attività al più presto. Per questo ASSITECA ha strutturato un nuovo servizio di assistenza per la Gestione Emergenze Informatiche che garantisce un supporto specialistico h24 e 7 giorni su 7. Un programma che si integra con le iniziative per il miglioramento della sicurezza informatica e con le tutele assicurative.

Perché una parte della soluzione potrebbe proprio passare attraverso la tutela assicurativa, ma oggi non è così semplice. Per valutare il rischio da assicurare e fornire le coperture, le Compagnie assicurative chiedono infatti informazioni sempre più dettagliate e complete sui sistemi di controllo e protezione adottati, per verificare la maturità difensiva dell’infrastruttura IT, la sicurezza degli accessi ai singoli device e ai sistemi critici di rete.

Un “profilo di rischio” appetibile per il mercato assicurativo si può ottenere solo coniugando strumenti tecnologici aggiornati ad un solido livello di efficienza nella gestione dei Sistemi e ad una buona sensibilità degli utenti. “Il punto di partenza è proprio la consulenza sul fronte organizzativo, prima ancora che tecnologico” afferma Capra. “Oltre a preparare una buona procedura di gestione degli incidenti e il piano di disaster recovery per le situazioni più gravi, facciamo tanta consulenza sui processi IT e tanta attività di formazione indirizzata a tutti i dipendenti di un’azienda, compresi gli IT manager, perché tutti devono sapere cosa fare in caso di attacco informatico. Siamo, infatti, assolutamente consapevoli del ruolo prioritario dei dipendenti di un’azienda laddove la reciproca collaborazione è il primo passo per una prevenzione efficace”.