Nel panorama digitale attuale, aziende di ogni dimensione e settore si affidano sempre più alla tecnologia per alimentare ogni aspetto delle proprie operazioni. In questo contesto, continuità operativa e resilienza cyber sono diventate priorità assolute; un’interruzione dei servizi IT può avere un impatto diretto e misurabile sul successo degli obiettivi aziendali, rendendo essenziale una strategia IT solida per la continuità operativa.
Sebbene molte aziende abbiano implementato piani tradizionali di disaster recovery (DR), questi spesso non sono sufficienti per affrontare la complessità e la portata delle più moderne minacce informatiche.
È necessario un nuovo livello di pianificazione e preparazione per il cyber recovery (CR), in grado di affrontare scenari sconosciuti in termini di portata, impatto e dimensione.
Indice degli argomenti
Differenze chiave tra cyber e disaster recovery
Cyber resilienza, cyber recovery e disaster recovery sono componenti interconnessi della strategia di un’organizzazione per mitigare e rispondere alle minacce digitali. La prima si concentra sulla capacità di prepararsi, rispondere e ripristinare dagli attacchi, enfatizzando la continuità di business e la protezione degli asset critici. Si tratta di costruire sistemi e processi robusti in grado di resistere e adattarsi alle minacce.
Il cyber recovery, un sottoinsieme della cyber resilienza, si occupa specificamente dei processi e delle tecnologie utilizzati per ripristinare sistemi e dati dopo un attacco e include strategie di backup e ripristino, piani di risposta agli incidenti e metodi per ridurre al minimo la perdita di dati e i tempi di inattività.
Il disaster recovery, d’altra parte, è un termine più ampio che comprende strategie e piani per riprendere le normali operazioni dopo qualsiasi tipo di disastro, che si tratti di un attacco informatico, un disastro naturale o altri eventi dirompenti. Implica il mantenimento o la rapida ripresa delle funzioni mission-critical a seguito di un’interruzione.
Per la maggior parte delle aziende, il CR richiede processi, persone e investimenti tecnologici diversi rispetto al DR tradizionale. Se già il DR ha molte variabili, il CR interviene quando si tratta di comprendere la portata, l’impatto e la profondità dell’interruzione coinvolta.
Gli stessi meccanismi di cyber recovery sono a rischio, poiché le strategie di attacco spesso prendono di mira l’infrastruttura di ripristino, rendendo ancora più difficile tornare operativi.
Mentre il disaster recovery si concentra sul ripristino dalle conseguenze di un evento involontario, gli attacchi cyber hanno spesso motivazioni criminali, richiedendo il coinvolgimento delle forze dell’ordine e dell’apparato legale, oltre ad altre tattiche difensive e relative al rischio. Il risultato netto è spesso un ciclo di ripristino più complesso e dispendioso in termini di tempo.
Il cyber recovery si rivela una parte cruciale sia della cyber resilienza sia del DR, concentrandosi specificamente sugli aspetti tecnici del ripristino degli asset digitali. Insieme, questi tre concetti formano un approccio completo per garantire la resistenza e la stabilità di un’organizzazione di fronte a varie minacce.
Perché il cyber recovery è più complesso del disaster tradizionale
I responsabili IT e della sicurezza riferiscono che gli eventi informatici sono in genere più complessi di un’interruzione o di un disastro tradizionale, richiedendo processi e flussi di lavoro diversi, tecnologie e funzionalità e personale e competenze differenti per la risposta e il ripristino.
Più di quattro intervistati su cinque concordano sul fatto che ci sono complessità specifiche del CR che, se gestite in modo errato, creano un rischio significativo. La complessità inizia con la necessità di dedicare tempo e impegno significativi all’analisi forense per determinare la portata completa di ciò che è stato infettato dall’attacco. Senza queste informazioni critiche, i team di ripristino non sanno su cosa concentrarsi per contenere e ripristinare dall’attacco.
Una volta compresa la portata di un attacco, per avviare il processo di ripristino è necessario stabilire un ambiente “cleanroom”, senza il quale si può creare un rischio significativo di reinfezione per la maggior parte delle organizzazioni (85%).
Una profonda attenzione alla conservazione delle evidenze necessarie per comprendere come è stato eseguito l’attacco aggiunge tempo e complessità durante il processo di risposta. Affrettarsi a ripristinare, senza aver condotto le dovute ricerche, può inavvertitamente distruggere elementi chiave, lasciando un’azienda vulnerabile a ulteriori attacchi e danni.
Azioni di cyber recovery in base a portata e dimensione dell’attacco
Gli intervistati hanno riferito che meno della metà (38%) degli eventi ha richiesto uno sforzo completo di cyber recovery.
Detto questo, in molti casi, determinare e implementare un ripristino parziale aumenta la quantità di personalizzazione e pianificazione richieste prima che le attività di ripristino possano iniziare.
Indipendentemente dal fatto che il ripristino sia completo o parziale, viene richiesto lo stesso livello di attività di preparazione, evidenziando la complessità degli eventi cyber.
CR e DR: elementi indipendenti o parti di un programma combinato?
Nonostante le differenze e la complessità aggiuntiva, più della metà (52%) delle organizzazioni include la pianificazione del CR come parte del suo più ampio programma di DR. E anche se CR e DR vengono pianificati e gestiti separatamente, la maggior parte segnala tra loro un elevato livello di allineamento.
Allo stesso modo, quando si tratta di recovery-time objective (RTO) e recovery-point objective (RPO) specifici allineati al DR rispetto al CR, il mercato è diviso al 50/50 su come sviluppare gli SLA. Ci sono eccezioni, con i servizi finanziari (59%), retail (70%) e assistenza sanitaria (66%) che estendono gli SLA per il CR.
Strategie di ripristino
Riprendersi da un incidente informatico richiede il ripristino di tutti gli aspetti dell’ambiente operativo, inclusi sistemi, infrastruttura e dati.
Gli attaccanti impiegano molte tecniche e obiettivi diversi per spingere al pagamento, con conseguenti impatti differenti, e potenziali profonde ripercussioni per le organizzazioni vittime.
Sebbene non sorprenda che più della metà degli intervistati abbia citato l’esposizione dei dati (53%) e/o la perdita (51%) come effetti del ransomware, le ramificazioni di un attacco riuscito possono ostacolare in modo significativo i processi operativi e causare impatti sulla catena di approvvigionamento interna ed esterna, influenzando dipendenti e clienti.
I dati o l’accesso ad essi sono il premio ed estorsione o danno (ad esempio, la crittografia per bloccare l’attività) sono in gioco.
I backup sono un obiettivo di alto valore per gli attaccanti
Poiché i criminali informatici prendono di mira dati sensibili e potenzialmente vendibili, le funzionalità di protezione e ripristino sono diventate requisiti chiave per la cyber resilienza. Il 92% degli intervistati ha dichiarato di aver subìto attacchi diretti ai backup e per il 71% questa tipologia di attività pericolosa rappresenta la metà, o più, di tutti gli incidenti.
I backup dei dati sono più di un mezzo per riprendersi dagli attacchi alle informazioni utilizzate da applicazioni e infrastrutture; sono diventati un obiettivo chiave nel contesto della disabilitazione o del ritardo delle capacità di ripristino.
I pagamenti di ransomware sono spesso motivati dagli RTO: quando gli attaccanti corrompono i backup, causano tempi di ripristino più lunghi, portando spesso al pagamento di un riscatto.
La prevenzione si estende all’infrastruttura di protezione dei dati
Man mano che le aziende diventano consapevoli delle vulnerabilità nei loro processi di protezione dei dati per backup e ripristino, molte stanno prendendo ulteriori precauzioni per salvaguardare le proprie copie di backup, cruciali in caso di crisi.
Sebbene l’88% abbia dichiarato di adottare misure supplementari per proteggere tutte o la maggior parte delle copie di backup, questi dati potrebbero sottostimare gli sforzi effettivi, in quanto sia gli intervistati specializzati in cyber security (52%) sia i middle manager più vicini all’infrastruttura (52%) hanno riferito più spesso di adottare misure supplementari per proteggere tutte le copie di backup.
Cyber resilienza: c’è ancora molto da fare
I responsabili IT e della sicurezza stanno investendo nel rafforzare la loro preparazione al ripristino dagli incidenti e la maggior parte concorda sul fatto che sia necessario recuperare tutti gli elementi dell’ambiente operativo, inclusi sistemi, infrastrutture e dati.
Concentrarsi sui componenti più critici dell’infrastruttura operativa ottiene spesso il massimo supporto, ma quelli secondari nell’ambiente operativo sono spesso collegati a un’infrastruttura più visibile.
Pertanto, è necessaria un’attenta comprensione e pianificazione per dare la priorità a un percorso verso la resilienza.
Solo il 26% è fiducioso nella propria capacità di proteggere tutte le applicazioni e informazioni fondamentali. Questo dato allarmante dimostra quanto lavoro sia ancora necessario per raggiungere livelli efficaci di cyber resilienza.
A sostegno del gap di fiducia, gli investimenti in CR continueranno, doppiando quelli in DR, con le aziende più grandi che segnalano aumenti nei budget CR più frequenti (77% contro 63%).
Come misurare il successo delle azioni di CR
Mentre la maggior parte degli sforzi di CR sono considerati riusciti in termini di rispetto degli SLA, quasi la metà afferma che i tempi di inattività (49%) o la perdita di dati (45%) associati agli attacchi siano stati dirompenti.
Questo solleva la domanda: come le organizzazioni misurano il concetto di “CR di successo”? I livelli di tolleranza al rischio variano, quindi mentre il successo di un’azienda potrebbe significare il ripristino dei dati al 100% entro un lasso di tempo breve, un’altra potrebbe misurarlo in base a obiettivi inferiori, sia per il ripristino che nelle tempistiche.
La posta in gioco è più elevata
Oltre ai tempi di inattività e alla perdita di dati, gli attacchi informatici causano impatti aggiuntivi di vasta portata. Danni alla reputazione, perdita di clienti, sanzioni finanziarie derivanti da violazioni della conformità, responsabilità e danni di terze parti e altri danni finanziari si verificano per molti.
Secondo la nostra ricerca, quasi un quarto (23%) delle organizzazioni ha effettuato un pagamento di un riscatto ransomware a malintenzionati nell’ultimo anno, e il più elevato riportato è stato di circa 3 milioni di dollari.
Solo un’azienda su cinque è sfuggita indenne agli attacchi… o almeno pensa di averla fatta franca.
La cyber resilienza è diventata un obiettivo convenzionale per i responsabili IT e della sicurezza. Con la maturazione delle strategie, l’allineamento ai target principali di resilienza richiede collaborazione e adeguamento tra i responsabili delle linee di business e tecnologici.
Mentre per la maggior parte le strategie di disaster recovery e ripristino sono ben comprese e ragionevolmente implementate, quelle di cyber recovery continuano a rappresentare un’attività in fase di definizione, con requisiti diversi e interconnessioni più profonde tra persone, processi e tecnologia.
