Un anno fa, nel maggio 2021, l’oleodotto statunitense Colonial Pipeline è stato attaccato da un gruppo di hacker malintenzionati che, bloccando i sistemi digitali di gestione degli impianti, hanno di fatto lasciato senza carburante gran parte della costa est del Paese per tre giorni, durante i quali il prezzo della benzina è schizzato alle stelle (l’oleodotto garantisce il 45% della fornitura all’intera costa orientale USA).
Pochi mesi dopo, ad agosto, il sistema di prenotazione dei vaccini contro il Covid-19 nel Lazio è andato in tilt per un attacco informatico, lanciato attraverso la violazione di un account privato legato a un dipendente di una società pubblica laziale.
Entrambi gli attacchi erano ransomware: chiedevano un riscatto in denaro per ripristinare la situazione. Due episodi eclatanti, che hanno a loro modo fatto scuola, e che ci tornano utili per capire l’importanza di due pilastri della cybersecurity: la Business Continuity e il Disaster Recovery.
Due ambiti decisivi
Per quanto i loro nomi già aiutino a capire di cosa parliamo, precisare è sempre opportuno. Con Business Continuity identifichiamo la capacità di un’azienda o di un ente nel garantire la continuità operativa a fronte di un evento che la minacci; nel suo ambito sono comprese strategie organizzative e tecniche orientate a non alterare l’ordinaria produttività.
Con Disaster Recovery, invece, si indica il piano tecnico e organizzativo che stabilisce le modalità di ripartenza su un sito secondario secondo RTO e RPO precedentemente definiti dall’organizzazione. Il piano deve prevedere tutte le misure da attuare per tornare ad avere il pieno controllo dei dati e, appunti, dei sistemi, con lo scopo di limitare allo stretto necessario il tempo di ripristino e di contenere la quantità di dati sottratti o distrutti.
Anche nel caso della Business Continuity possiamo parlare di piano, cioè di un documento che stabilisce la strategia operativa da adottare, e che trova applicazione anche in caso di eventi interruttivi minori (peraltro anche non attinenti alla sicurezza IT: per esempio un sovraccarico di corrente o un’azione legale contro l’azienda). Possiamo quindi definirlo come il “macropiano” articolato su tre livelli:
- strategico: definisce la procedura da seguire per garantire la corretta e tempestiva gestione possibili eventi critici capaci di minacciare la sopravvivenza aziendale;
- tattico: coordina le attività e i referenti chiamati ad attuare quella procedura;
- operativo: precisa i passaggi che i team di emergenza devono seguire.
Il Disaster Recovery è quindi parte del piano di Business Continuity, poiché consiste del documento che l’azienda utilizza per affrontare un evento in grado di compromettere la funzionalità tecnologica di sistemi critici e l’integrità dei dati aziendali.
Perché si tratta di documenti preziosi
Ogni attacco produce un danno, che varia a seconda della portata e del tipo di azienda o ente colpito. I casi di cronaca con i quali abbiamo aperto questo post spiegano bene quanto drammatiche possano essere le relative conseguenze. Questo ci aiuta a comprendere quale sia l’importanza dell’adozione di un dettagliato piano di ripristino dell’attività, inserito in uno più ampio sulla continuità operativa.
Nei casi di disastro o emergenza, come quelli appena visti, il semplice backup dei dati è di fatto inutile qualora non siano stati disegnati processi che permettano il ripristino dei file, dei software di sistema e di tutte le funzionalità finalizzate alla ripresa delle attività produttive. Questi processi passano dalla definizione puntuale di passaggi operativi, frutto di un attento lavoro preliminare, preventivo e proattivo. Qualche esempio di questi passaggi può chiarire il tipo di strategia da adottare. E quindi:
- elaborare una corretta gestione di Business Continuity o Incident Response;
- gestire adeguatamente il perimetro di rete e i privilegi di accesso;
- proteggere i dati anche ricorrendo a tecnologie di cifratura;
- porre in essere una costante attività di Risk Management che si rapporti in modo efficace con chi è investito della governance dell’ente o dell’azienda;
- sondare frequentemente l’ambiente IT, anche grazie a strumenti di Intelligenza Artificiale, per intercettare software malevolo;
- definire un calendario di momenti critici durante i quali alzare il livello di guardia (per esempio, le ferie estive);
- sensibilizzare e formare tutto il personale sul corretto utilizzo degli strumenti informatici e degli accessi esterni, sapendo che quasi sempre un tentativo di attacco va in porto grazie all’errore umano.