10 cose da fare dopo una violazione di dati

A livello globale, la perdita di dati ha un costo stimato di $4.2m per violazione, ed il fenomeno sta avendo una crescita senza precedenti mentre le organizzazioni costruiscono la propria infrastruttura digitale ed espandono inconsapevolmente la superficie di attacco aziendale. Negli USA, per esempio, il numero di violazioni riportate nel primo trimestre 2021 eccedono il numero delle violazioni dell’intero 2020. Ci vuole troppo tempo perché l'organizzazione media trovi e contenga le violazioni dei dati: si stima che oggi siano 287 al giorno.

Tuttavia, una volta che gli allarmi scattano, cosa succede? La presenza di ransomwares,  un precursore sempre più comune delle moderne violazioni dei dati, complicherà ulteriormente le cose. Ecco cosa fare e cosa evitare di fare in seguito a una violazione.

Mantieni la calma

Una violazione di dati è una delle situazioni più stressanti a cui la tua organizzazione può essere sottoposta, specialmente se l’incidente è causato da ransomware che hanno criptato il sistema di chiavi e chiedono un riscatto. Tuttavia, le risposte istintive possono fare più male che bene. Ovviamente è importante far tornare operativo il business, ma lavorare in modo metodico è cruciale. 

Dovrai esaminare il piano di risposta agli incidenti e comprenderne la portata prima di intraprendere qualsiasi azione importante.

Segui il tuo piano

Dato che non si tratta di "quando" ma "se" la tua organizzazione viene violata oggi, un piano di risposta agli incidenti è una best practice essenziale per la sicurezza informatica. Ciò richiederà una pianificazione avanzata, magari seguendo le indicazioni di pubblicazioni del calibro del National Institute of Standards and Technology (NIST) degli Stati Uniti o del National Cyber Security Centre (NCSC) del Regno Unito. Quando viene rilevata una violazione grave, un team di risposta agli incidenti pre-assegnato con le parti interessate di tutta l'azienda dovrebbe lavorare attraverso i processi passo dopo passo. È una buona idea testare periodicamente tali piani in modo che tutti siano preparati e il documento stesso sia aggiornato.

Valuta lo scopo della violazione

Uno dei primi passi critici dopo qualsiasi grave incidente di sicurezza è capire quanto gravemente l'azienda sia stata colpita. Questa informazione permetterà di pianificare le azioni seguenti come notificare e rimediare. Idealmente, ai bisogno di sapere  quanto i cattivi ragazzi sono andati in profondità, e qual è il raggio di azione dell’attacco – quali sistemi hanno toccato, quali dati sono compromessi, e se sono ancora all'interno della rete. È qui che vengono spesso arruolati esperti forensi di terze parti.

Coinvolgi i legali

Dopo la violazione, hai bisogno di sapere com’è l’organizzazione. Quali debiti hai? Quali regolatori hai bisogno di informare?  Dovresti negoziare con gli attaccanti per avere più tempo? Quando i clienti e/o partner devono essere informati? Una consulenza legale interna è la prima cosa da fare. Ma potresti voler coinvolgere esperti in incidenti di  cybersecurity.  È qui che i dettagli forensi su ciò che è realmente accaduto sono fondamentali, in modo che quegli esperti possano prendere le decisioni più informate.

Conoscere quando, come e chi informare

Secondo i termini del GDPR, la notifica all'autorità di regolamentazione locale deve avvenire entro 72 ore dalla scoperta della violazione. Tuttavia, è importante capire quali sono i minimi termini richiesti per la notifica,  poiché alcuni incidenti potrebbero non richiederlo. È qui che è essenziale una buona comprensione del “raggio dell'esplosione”. Se non sai quanti dati sono stati prelevati o come sono entrati gli autori delle minacce, dovrai presumere il peggio nella notifica al regolatore. L'Information Commissioner's Office (ICO) del Regno Unito, che è stato determinante nell'elaborazione del GDPR, ha alcune linee guida utili al riguardo.

Informare le forze dell’ordine

Qualunque cosa accada con il regolatore, probabilmente avrai bisogno di avere le forze dell'ordine dalla tua parte, specialmente se gli attori delle minacce sono ancora all'interno della tua rete. Ha senso farli salire a bordo il più rapidamente possibile. Nel caso del ransomware, ad esempio, potrebbero essere in grado di metterti in contatto con fornitori di sicurezza e altre terze parti che offrono chiavi di decrittazione e strumenti di mitigazione.

Informare i clienti, partners and dipendenti

Questo è un altro tassello semplice sulla lista post-violazione. Tuttavia, ancora una volta, il numero di clienti/dipendenti/partner che devi informare, cosa dire loro e quando dipenderà dai dettagli dell'incidente e da cosa è stato rubato deve essere considerato a fondo prima di rilasciare una dichiarazione in cui dichiari che l'organizzazione è a conoscenza di un incidente e sta attualmente indagando. Ma le notizie corrono veloci, quindi dovrai far seguire alla comunicazione maggiori dettagli. I team IT, PR e legali dovrebbero lavorare a stretto contatto su questo.

Avviare il ripristino e la riparazione

Una volta che la portata dell'attacco è chiara e gli specialisti e i legali sono sicuri che gli autori delle minacce non hanno più accesso, è tempo di rimettere le cose in funzione. Ciò potrebbe significare il ripristino dei sistemi dal backup, il restyling delle macchine compromesse, l'applicazione di patch agli endpoint interessati e la reimpostazione delle password.

Iniziare a costruire la resilienza per attacchi futuri

Gli attori delle minacce spesso condividono le conoscenze sulla criminalità informatica sotterranea. Stanno anche tornando sempre più a compromettere più volte le organizzazioni vittime, specialmente con il ransomware. Ciò rende più importante che mai l'utilizzo delle informazioni raccolte dagli strumenti di rilevamento e risposta alle minacce e di analisi forensi per assicurarsi che i percorsi utilizzati per la prima volta dai propri aggressori non possano essere nuovamente sfruttati in raid futuri. Potrebbe significare miglioramenti alla gestione di patch e password, una migliore formazione sulla consapevolezza della sicurezza, l'implementazione dell'autenticazione a più fattori (MFA) o modifiche più complesse a persone, processi e tecnologia.

Studia la peggior risposta possibile

Il pezzo finale del puzzle in risposta agli incidenti è imparare dall'esperienza. Parte di ciò è costruire la resilienza per il futuro. Ma puoi anche studiare i casi di altre aziende. La storia delle violazioni dei dati è disseminata di casi di alto profilo di scarsa risposta agli incidenti. In un caso ben pubblicizzato, l'account Twitter di un'azienda violata ha twittato quattro volte un link di phishing, scambiandolo per il sito di risposta alla violazione dell'azienda. In un altro, una delle principali società di telecomunicazioni del Regno Unito è stata pesantemente criticata per aver rilasciato informazioni contrastanti.

Conclusione

Qualunque cosa accada, i clienti si aspettano che  le organizzazioni con cui fanno affari subiranno incidenti di sicurezza. È il modo in cui reagisci che determinerà se rimarranno o se ne andranno e quale sarà il danno finanziario e reputazionale.