La notizia è stata ripresa dai principali media internazionali, anche generalisti e, non di meno, è stata resa pubblica dal Transport for London in modo spontaneo e immediato non appena l’ente si è reso conto dell’attacco hacker in corso.
La gestione degli incidenti è un processo a più fasi che prevede anche la comunicazione a enti preposti i quali, oltre a prendere atto di ciò che sta accadendo o che è accaduto, fornisce anche supporto e consulenza alle organizzazioni. Un tema di primaria importanza che approfondiamo con l’ingegnere Pierluigi Paganini, Ceo Cybhorus e Membo ENISA Ad-Hoc Working Group on Cyber Threat Landscapes.
Infine, ripercorriamo con l’ingegner Paganini qual è la corretta procedura che devono seguire le organizzazioni italiane quando sono vittime di un attacco oppure quando si rendono conto di esserlo state.
Indice degli argomenti
Il caso Transport for London
Il 6 settembre Transport of London (TfL) ha comunicato di essere oggetto di un attacco hacker in corso e di essere al lavoro con le agenzie governative preposte per rispondere all’incidente nel modo e nei tempi più rapidi possibili.
Verificato lo stato di funzionamento della rete del trasporto pubblico, TfL si è concentrata sulla difesa dell’infrastruttura, dei sistemi e dei dati dei propri clienti.
Nel momento in cui ha emanato il comunicato, TfL ha escluso che i dati di cui dispone fossero stati violati ma si è riservata di aggiornare le utenze con una certa ciclicità.
I problemi riscontrati sono stati per lo più legati all’operatività dei sistemi interni, solo parzialmente raggiungibili dai dipendenti e tanto lenti da compromettere lo svolgimento della normale operatività secondo i ritmi consueti. A corredo, sono stati registrate anomalie nell’uso di strumenti di pagamento contactless per acquistare titoli di viaggio.
Quale insegnamento trarne
Al di là dell’entità dell’attacco e dei danni che ha causato, Transport for London ha eseguito delle procedure specifiche, come spiega l’ingegnere Pierluigi Paganini: “In effetti la comunicazione alle autorità, così come agli utenti, sono passaggi obbligati dalle normative vigenti nei processi di gestione degli incidenti.
Non abbiamo notizie pubbliche relative alle attività di incident response, se non la messa off line di alcuni sistemi per il contenimento della minaccia. Al verificarsi di eventi avversi come quello descritto è necessario convocare un comitato di crisi composto da molteplici professionalità (per esempio tecnici, legali, executive, comunicazione), ciascuna delle quali è responsabile dell’esecuzione di operazioni previste nel piano di Incident Response.
Presumo che una struttura come Transport for London abbia in essere queste procedure ed abbia operato in loro conformità”.
I doveri delle organizzazioni italiane
Per tirare le prime somme, vale la pena soffermarsi su ciò che deve fare un’organizzazione italiana sotto attacco o nel momento in cui si accorge di essere stata vittima di una violazione.
“La procedura è la medesima descritta per il caso Transport for London. Esistono fasi di gestione tecnica dell’incidente che devo essere formalizzate nella procedura di incident response e fasi di notifica alle autorità competenti.
Colgo l’occasione per ricordare che proprio in luglio l’Agenzia Nazionale per la Cybersicurezza (ACN) ha pubblicato la guida alla notifica degli incidenti informatici.
Qualora l’attacco abbia un impatto sul sistema Paese, per esempio in caso di compromissione di infrastrutture critiche, la divisione dell’ACN Servizio Operazioni e Gestione delle crisi cyber si occuperà di fornire supporto all’entità colpita”, spiega l’esperto.
I vantaggi delle procedure
Non è un caso che esistano delle procedure che le organizzazioni sono chiamate a mettere in atto in caso di attacco hacker, come spiega l’ingegner Paganini: “Avere procedure consolidate e dettagliate in cui siano esplicitati ruoli e responsabilità in caso di risposta ad un attacco informatico è fondamentale per mitigare i rischi. Rivolgersi a professionisti e organi competenti è essenziale per la corretta implementazione di tutte le fasi della risposta all’incidente, minimizzando l’impatto dell’attacco e velocizzando le operazioni di ripristino di un esercizio ‘normale'”.
Cyber security e violazioni sono sempre più oggetto delle attenzioni dei legislatori italiani e sovrannazionali. A questo tema, vasto e a tratti complesso, abbiamo dedicato un articolo che raccoglie indicazioni di rilievo.
