«La verità è semplice: quando hai subito un attacco e sei stato danneggiato, prima lo accetti e prima riparti». Lorenzo Bernini (Managing Director Middle East per HWG) è quanto mai chiaro nell’andare al cuore dell’Incident Response, attività che comporta non solo l’adozione di misure tecniche per ripristinare la situazione compromessa da un attacco informatico, ma anche – se non soprattutto – riflessioni che si intersecano con il Crisis Management e con risvolti psicologici tutt’altro che trascurabili. In questa conversazione, Bernini si intrattiene soprattutto su questi due aspetti.
Incident Response: di cosa si tratta?
Il punto di partenza imprescindibile per un’analisi completa è chiedersi cosa si intenda esattamente con il termine Incident Response. «Intendiamo l’attività che viene realizzata in seguito alla violazione di sistemi informativi azienda», risponde Bernini. E fin qui, la chiarezza è massima. E tale resta anche quando si scende più in profondità: «Questa attività mette insieme diversi aspetti: il focus su come contenere la violazione, capire come sia avvenuta, identificare i sistemi compromessi, abilitare l’azienda a proseguire il business nel modo più sano possibile, sanificare l’ambiente compromesso. Ultima, ma non meno importante del resto, è l’attività cosiddetta di lesson learn, fondamentale per apportare i necessari miglioramenti sulla strategia di cybersecurity».
Il dettaglio tecnico varia di caso in caso, a seconda della tipologia di attacco (ransomware, business mail compromise, eccetera), ed è di competenza degli esperti. Che tuttavia non possono essere solo quelli cui chiedere di risolvere il problema una volta che si verifica. L’Incident Response, infatti, parte nel momento in cui un’azienda si affida al SOC HWG: già dal cosiddetto onboarding viene definito un processo di risposta all’attacco, nel quale il cliente gioca un ruolo decisivo.
«Deve esserci, deve partecipare alle decisioni – prosegue Bernini –. Non può limitarsi a dire “Ho il SOC, ci pensa lui”. Ecco perché l’Incident Response è un tema di consapevolezza, di readyness. Se l’azienda non ha processo pronto a riguardo, la aiutiamo a redigerlo partendo dall’identificazione dei key stakeholder da portare al tavolo in caso di incidente. Costoro devono essere sempre reperibili, 24 ore al giorno e 7 giorni su 7, e se interpellati devono dare riscontri decisionali. Se c’è un ransomware, bisogna subito isolare il segmento di rete impattato, e non va escluso di staccarsi totalmente da internet, per evitare che l’attaccante tenga attivo canale di controllo».
L’aspetto psicologico
I riscontri decisionali devono essere immediati. Tuttavia, spesso capita che l’IT manager, il CIO o il CISO debba confrontarsi con il CEO e i livelli superiori prima di poter procedere. Il passaggio è delicato e può creare problemi non trascurabili, come racconta Bernini sulla base della propria esperienza aziendale: «Ci è capitato un cliente che dopo l’attacco, con il 70% dei sistemi compromessi, non ha accettato di scollegarsi dalla rete, con la conseguenza di subire un’ulteriore violazione dei sistemi. Il punto è che se un CEO continua a dire che gli serve la mail per lavorare, tu devi fargli capire che non può pretendere di avere la stessa situazione che precedeva l’attacco. Devi persuaderlo a fidarsi, ma non è facile».
Qui subentra l’aspetto psicologico. Accettare che le business operations dell’azienda siano state distrutte o fortemente impattate non è per nulla facile. Spiega Bernini: «Quel che fa la differenza in questa fase è la gestione della parte emotiva. Come consulente, devi capire chi hai di fronte, devi tenere conto che ti confronti con persone il cui lavoro è stato completamente distrutto, con dipendenti che non possono più lavorare, che rischiano di perdere il posto. Da questa empatia deve partire la creazione di un piano personalizzato: l’azienda comunica le priorità per ripartire con i propri processi di business, e noi la supportiamo a sanificare l’ambiente e riattivare il sistema informatico in completa sicurezza».
Awareness è di nuovo la parola chiave della vicenda, a partire da ciò che si sente orma da più parti: “non è tanto se si verrà attaccati, ma quando”. «Per questo – conclude Bernini – stiamo lavorando per offrire momenti di simulazione di una crisi e della relativa risposta, non tanto per fare training agli specialisti su processi e procedure, quanto per radicare la consapevolezza della business continuity, della cyber resilience e di tutto ciò che serve per attenuare gli effetti attacco e permettere all’azienda di rimettersi in moto».
