Per molti addetti ai lavori quello che è accaduto alla Regione Lazio è, al contempo, imbarazzante e comprensibile.
Di certo rimangono parecchie domande aperte che probabilmente non avranno mai risposta, o almeno non prima che le procedure investigative e legali siano concluse. Proprio mentre scrivo il TG1 annuncia che manca poco alla scadenza dell’ultimatum degli “hacker”. Quanto meno inutile se i dati sono stati recuperati e la falla chiusa davvero. Anche qui non si capisce se i dati siano o meno stati immessi in rete per rivenderli o utilizzarli in altre attività criminali.
Sulla non comunicazione c’è poco da dire. Sull’uso della terminologia, invece, temo che si debba lavorare ancora molto e la neonata unità di cyber security governativa non è da meno e dovrà vedersela con un “backlog” non banale.
Leggiamo ancora termini come attacco hacker, sicurezza informatica, cyber security, incidenti di sicurezza inseriti nelle frasi come se fossero parole magiche o chiavi per attrarre l’attenzione. In effetti, l’uso improprio non solo è formalmente scorretto, ma alimenta la disinformazione e la confusione. Come pensiamo di coinvolgere le persone e crescere utilizzando termini errati?
Io ho una domanda: se foste l’AD/CEO di una organizzazione (pubblica o privata che sia), sborsereste soldi per l’ultimo modello di uno strumento costosissimo già comprato lo scorso anno perché: “necessario” per una maggiore efficienza? Ovviamente la risposta è articolata ma tendenzialmente sarebbe un “no, perché dovrei farlo avendo già investito fior di quattrini per la stessa cosa lo scorso anno?”.
Questa è la percezione quando un Security Manager/CISO ecc. si presenta “cappello in mano” alle riunioni di budget con richieste del genere (permettetemi la semplificazione per rendere la scena anche a chi non è addetto ai lavori, perché sono loro che dobbiamo coinvolgere in questa lotta).
Regione Lazio e ransomware, lieto fine amaro: troppi errori fatti
Indice degli argomenti
I fattori cardine per una reale sicurezza
L’approccio corretto, manco a dirlo, sarebbe quello proposto da standard organizzativi che suggeriscono la contestualizzazione della sicurezza. Il mondo intorno a noi cambia e così le esigenze e i rischi in un’azienda (pubblica o privata non importa).
Ogni variazione al “sistema” di fatto muove i rischi, in particolare cambia il rischio relativo alle informazioni.
Quello che pochi giorni fa poteva essere o apparire sicuro può diventare in pochi giorni o ore debole ed esposto ad attacchi o “interessi” illeciti. Non ci interessa il perché ma il solo fatto che sia cambiato. Cambiato significa più o meno appetibile, interessante, critico e via dicendo. Il cambiamento può andare in qualsiasi direzione, migliorativa o peggiorativa. Comunque, è un rischio che cambia e con esso il nostro scenario di riferimento, incluse le contromisure applicabili.
In uno scenario dinamico, dove le difese tecnologiche non bastano più, come ampiamente dimostrato dagli ultimi attacchi, abbiamo bisogno di alcuni fattori cardine:
- consapevolezza,
- formazione,
- rivalutazione continua dei rischi,
- responsabilità,
- competenze,
- la sicurezza delle informazioni come elemento strutturale, come parte integrante della vita di ognuno in azienda.
Non c’è niente di tecnico qui. I tecnicismi arrivano solo quando, avendo individuato i rischi sulle informazioni, coinvolgo le persone per la scelta delle contromisure più idonee alle nostre esigenze. Solo a questo punto entra in ballo la sicurezza informatica e le soluzioni tecnologiche.
Nessuno può evitare che un notebook possa essere lasciato “aperto”, le tecnologie e le regole sono fatte (si sa) per essere aggirate ma la consapevolezza, la responsabilizzazione, il coinvolgimento, l’aggiornamento continuo producono effetti maggiori di obblighi e restrizioni. Ne abbiamo casi sotto gli occhi tutti i giorni in vari campi.
Certo, una sicurezza del genere “costa” di più in termini organizzativi, richiede un coinvolgimento, un effort (come dicono quelli esperti) maggiore del semplice acquisto dell’ultimo apparato alla moda e dello scarico di responsabilità (indefinite) su personale tecnico.
È questo che dobbiamo combattere, con la proprietà di linguaggio e con la conoscenza. Altro che cyberqualcosa buttati qua e là nelle frasi!
Attacco Regione Lazio, che dicono le norme: una lezione per fare meglio
Sicurezza delle informazioni, business continuity e disaster recovery
Sempre per restare nel caos terminologico: sicurezza delle informazioni non è business continuity né disaster recovery; business continuity e disaster recovery non sono la stessa cosa o peggio ancora uno sostitutivo dell’altro.
Eventi e incidenti per gli standard non sono situazioni che necessariamente hanno avuto già un impatto sulla sicurezza delle informazioni, cioè non è detto che la riservatezza, l’integrità e/o la disponibilità delle informazioni che proteggiamo sia stata compromessa. Questo è un punto fondamentale per poter capire e applicare quanto gli standard ci propongono e l’esperienza ci insegna.
La metto su un altro piano: un BSOD (Blue Screen of Death – la temibile schermata blu di Windows) è sicuramente un evento, che può trasformarsi in qualcosa di più (un incidente) ma non necessariamente implica che abbiamo perso qualcosa delle informazioni. Come minimo necessita di un’analisi più approfondita e strutturata per capirne le implicazioni e la portata (anche qui esistono vari standard che spiegano ampiamente che alla gestione degli incidenti ci si prepara e ci si allena).
Sempre per il caso Regione Lazio, il fatto che sia stato interrotto un servizio pubblico, relativo alla salute, a ridosso della partenza del green pass, e che i dati personali/sanitari potessero essere stati violati ne delineava uno degli scenari di impatto di sicura gravità, giustificando pienamente l’attivazione di un piano di continuità e forse di disaster recovery.
Questo è il compito della business continuity: assicurare l’esistenza stessa dell’azienda, anche a fronte di scenari drammatici e complessi, per assicurare i servizi necessari anche in caso di incidente.
Quello di cui ci si sarebbe dovuti occupare e che probabilmente non ha funzionato nel caso della Regione Lazio. Di certo non lo si può inventare il giorno prima o peggio ancora il giorno stesso.
Conclusioni
Mi spiace citare il caso della Regione Lazio, ma è l’ennesimo caso eclatante di poca progettualità in queste tematiche, che ancora molti si ostinano a vedere come fatti separati e indipendenti. La storia ne è piena.
Vi riporto qui alcuni dei dati raccolti in rete[1] con i relativi riscatti pagati o “risposte” attivate:
Interessante è la catena dei costi nascosti dietro tali situazioni:
Davvero impressionanti se provate a fare due conti.
Purtroppo, la Regione Lazio non è, e non sarà, la sola a patire un attacco del genere.
Chiudo qui questa mia riflessione in un week end agostano. Da una parte con l’amarezza dovuta al fatto che di questi argomenti se ne parla da almeno trent’anni (a mia memoria) e che, nonostante i progressi e i modelli disponibili, si continua a rimanere ancorati a vecchie logiche atte più a dimostrare di avere ragione piuttosto che al cambiamento di cui avremmo bisogno.
Dall’altra penso alle dozzine di post di colleghi su LinkedIn (alcuni spassosissimi) che hanno dimostrato l’esistenza di competenze e voglia di fare notevoli. Chissà se il Prof. Baldoni naviga su LinkedIn.
NOTE
Negli USA è prassi analizzare questi dati, anche se a volte le fonti non sono del tutto chiare, non che io sia un esterofilo ma lì si trovano dati del genere con maggior facilità. Noi abbiamo il rapporto Clusit che pochi consultano o leggono per cambiare davvero. ↑
