Il tema della cybersecurity ha questa peculiarità: "sai che esiste ma non pensi di doverne essere parte." 

È come alzare gli occhi al cielo, rendersi conto dell’esistenza dei corpi celesti, ma sentire quei mondi lontani anni luce dal tuo quotidiano.

Tuttavia rientra nelle responsabilità delle organizzazioni aziendali complesse minimizzare tali rischi per i propri assets e per i propri clienti.

La loro protezione pertanto ne diventa una priorità: proprio come nelle grandi scoperte della medicina, l’osservazione e la cura delle micro-patologie ha consentito di sconfiggere malattie complesse, debellandone le cause patogene.

Il nostro approccio alla cybersecurity è proprio quello di vaccinare i sistemi esperti dai virus.

Nessuna organizzazione, grande o piccola, che disponga di una rete informatica connessa ad internet può sentirsi al sicuro di fronte al rischio di attacchi informatici.

Risulta, pertanto, necessario essere pronti, immediatamente, alla rimozione delle cause, al contenimento degli effetti ed al ripristino dei sistemi nel loro stato originario.

Al giorno d’oggi, infatti, sono sempre più frequenti gli attacchi informatici perpetrati a danno di uomini, aziende, istituzioni ed enti pubblici e privati.

Le strategie di attacco sono divenute molto sofisticate e, spesso, utilizzano diverse tecniche, fra loro combinate, onde acquisire, in maniera massiva, tutti gli elementi che, fraudolentemente, sono l’obbiettivo dell’azione.

Spesso, la regia occulta di tali attacchi nasconde interessi “emulativi”, atti cioè a creare elementi di supremazia negoziale, commerciale e, più in generale, operativa nell’organizzazione che ne è la vittima designata.

Basti pensare che tali attacchi hanno spesso come obbiettivo l’evocazione di sanzioni, anche patrimoniali, che incidano pesantemente sullo stato patrimoniale della società “target”, oppure di generare uno svantaggio competitivo che consenta all’autore di locupletare un ingiusto profitto in un’imminente gara di fornitura.

Oppure ancora, quale diversivo sotto il profilo dell’insider trading, per condizionare, al rialzo o al ribasso, strategie di borsa.

La tipologia degli attacchi informatici è ormai variegatissima, e spazia dalla vulnerabilità “0Day”, allo “Spear Phishing”, al “Malware Fineless” residente solo sulla memoria RAM, al “Ransomware”, ad attacchi DDoS (Distributed Denial of Service), alle tecniche “Man In The Mail”.

Questa tipologia di attacchi spesso è condotta da gruppi organizzati, che agiscono con scopi ben precisi, con modalità molto invasive e coordinate.

La loro azione può protrarsi per tempi lunghi, prima di essere scoperta da chi ne è vittima.

Sulla base di tali premesse, risulta intuitivamente fondamentale agire in ogni direzione per limitare i danni, difendere i propri business e, in generale, tutto ciò che costituisce il patrimonio immateriale di qualsiasi organizzazione e ciò anche, oggi, per adempiere alle disposizioni di legge in materia di sicurezza informatica e protezione dei dati.

Non bisogna sottacere il fatto che vi sono standard, via via più stringenti, per particolari tipi di aziende ed organizzazioni: per esempio, chi processa transazioni con carte di credito deve attenersi al PCIDSS (Payment Card Industry Data Security Standard), il quale è uno standard proprietario per la sicurezza informatica, gestito da PCI Security Standard Council, e fondato dalle principali società di carte di credito.

Vediamo ora quali sono gli strumenti approntati per identificare un incidente informatico che, in genere, viene individuato attraverso automatizzazione del monitoraggio della rete e rilevamento di intrusioni.

Tali software raccolgono e analizzano (anche attraverso algoritmi di intelligenza artificiale) i dati provenienti dai sistemi e dalla rete per individuare eventuali anomalie, o scostamenti dai protocolli ordinari, che possono essere la cartina di tornasole di una intrusione nella rete.

La risposta all’incidente può essere gestita internamente all’organizzazione aziendale oppure, come più spesso avviene, da una azienda esterna specializzata in tali eventi.

Le attività e le procedure che presidiano tale ambito problematico possono essere temporalmente scansionate in tre fasi, tra loro successive: la risposta iniziale all’incidente – investigazione sulle cause dello stesso – il ripristino dei sistemi compromessi.

Nella prima fase si determina il tipo di incidente, il suo potenziale impatto, si collazionano tutte le informazioni fornite da quanti hanno rilevato l’incidente stesso, si revisionano i relativi “log” di rete e/o di sistema.

Nella fase investigativa si indagano le ipotesi atte a ricostruire le cause e la dinamica dell’incidente stesso, a partire dalla comprensione dell’inizio dell’attacco e delle modalità utilizzate.

Successivamente, si identificano le reti ed i sistemi compromessi ed in quale misura, avendo cura di accertare quali siano i dati violati o trafugati.

Parallelamente, si analizzano i dettagli della violazione, così da individuare gli obbiettivi dell’attacco e gli eventuali soggetti coinvolti.

Pertanto, si occupa di stabilire il lasso di tempo in cui l’incidente è avvenuto e, soprattutto, se sia ancora in corso.

In terzo luogo, si deve operare per il ripristino di reti e sistemi.

Una volta ricostruito il quadro completo e documentato dell’incidente, si pone il problema di un immediato ripristino dello status “quo ante”, nella situazione cioè pristina all’incidente.

Ove l’incidente sia ancora in corso, vi sono complesse procedure atte a rimuovere i vettori di attacco e a contenere l’impatto stesso, cercando di terminare il prima possibile l’esecuzione dei processi e rimuovendo file e meccanismi che, prevedibilmente, hanno causato l’incidente.

Solo dopo essere sicuri di aver bloccato l’attacco e rimosso le cause, si può procedere al ripristino dei sistemi compromessi.

Un fondamentale rilievo acquista un esatto e puntuale coordinamento con il GDPR (General Data Protection Regulation) introdotto dal regolamento europeo 679/2016 che, incentrato sulla protezione dei dati personali e della privacy dei cittadini europei, ha anche lo scopo di offrire maggiori controlli sui propri dati personali, utilizzati da aziende e istituzioni, inclusi i diritti alla portabilità dei dati ed all’oblio.

Il citato regolamento europeo ha radicalmente innovato l’intera materia in quanto, da una parte, ha aumentato i diritti dei cittadini e dall’altra, per converso, ha comportato un aumento di obblighi e requisiti per tutte le organizzazioni che ne processano i dati.

Infatti, il nuovo regolamento non vale solo per le organizzazioni europee, ma anche per tutte quelle che trattano dati di cittadini europei e rappresenta, quindi, innovativamente, una normativa a livello mondiale.

Tra gli obblighi più importanti prodotti, vi è la definizione del responsabile della protezione dei dati e della conformità dei requisiti specificati dal regolamento all’interno dell’organizzazione (art. 37) e le comunicazioni da effettuarsi in caso di violazione dei dati (l’art. 33).

La notifica all’autorità (nel nostro caso il Garante per la Privacy) deve essere completa di una descrizione della natura della violazione, includendo il numero approssimato e le categorie dei record di dati personali e dei soggetti a cui si riferiscono.

Inoltre, dovrebbe delineare le probabili conseguenze della violazione e le misure proposte per ovviare all’incidente.

Il responsabile deve comunicare all’autorità garante il proprio nome ed i propri contatti, per il caso in cui vengano richieste maggiori informazioni sulla violazione. L’articolo 34 prevede che tale obbligo decada se:

L’organizzazione ha adottato misure di protezione dei dati oggetto della violazione, quale la cifratura.

Ha adottato, successivamente, misure per scongiurare tale rischio.

La comunicazione comporterebbe sforzi sproporzionati. In tal caso è sufficiente una comunicazione pubblica, o ad evidenza pubblica.

Di rilevante importanza è la conseguenza patrimoniale che il mancato rispetto di tali normative comporta, in quanto prevede sanzioni amministrative molto pesanti (ex art. 33, addirittura fino a 20 milioni di euro, o fino al 4% del fatturato annuo globale dell’impresa), oltre a sanzioni penali.