È come alzare gli occhi al cielo, rendersi conto dell’esistenza dei corpi celesti, ma sentire quei mondi lontani anni luce dal proprio quotidiano.

Rientra nelle responsabilità delle organizzazioni aziendali complesse, tuttavia, la volontà, oltre che l'obbligatorietà, di minimizzare da tali rischi, l'integrità dei propri assets, dei propri dirigenti e dipendenti, nonché, specialmente, dei propri clienti.

Tali strategie di "protezione", pertanto, diventano una vera e propria priorità.

L'approccio, quindi, sarà come quello della scienza verso le grandi scoperte della medicina, dove, l’osservazione e la cura delle micro-patologie, ha consentito di sconfiggere malattie complesse debellandone, specialemente, le cause patogene.

I servizi in ambito di Cybersecurity, Cyber Resilient, o tutte le attività di PenTest e StressTest, partitamente offerte da Report, pertanto, servono esattamente a questo.


Il nostro approccio verso le tematiche di cybersecurity, difatti, è proprio quello dettato della volontà "vaccinare" anche sistemi più esperti (così come quelli meno), da ogni, ed eventualmente difforme, "virus informatico".

Nessuna organizzazione, semplice o complessa, che dispone di una rete informatica connessa ad internet, può, dunque, sentirsi al sicuro di fronte al rischio di tali "attacchi".

Risulta necessario, pertanto, essere immediatamente pronti alla rimozione delle cause, così come al contenimento degli effetti generati, nonché a garantire un quanto più celere ed integrale ripristino, di tutti sistemi informatici strutturali, o compartimentali, verso il proprio stato originario.

Al giorno d’oggi, infatti, sono sempre più frequenti gli "attacchi" perpetrati a danno di uomini, e professionisti, aziende e impreditori, o figura apicali, nonché verso istituzioni ed enti pubblici e privati.

Le strategie di attacco sono divenute molto sofisticate e, spesso, utilizzano diverse tecniche, fra loro combinate, onde acquisire, in maniera massiva e del tutto anonima, tutti gli elementi che fraudolentemente sono l’obbiettivo diretto, indiretto, o sotteso dall’azione.

Spesso, inoltre, la regia occulta di tali "attacchi" nasconde veri e propri interessi “emulativi”, ovvero atti diretti a favorire eventuali strategie di supremazia negoziale, commerciale, o più in generale, operativa, nei confronti dell’organizzazione che ne è stata la vittima designata.

Basti pensare che, sempre più spesso, tali incursioni informatiche, hanno come obbiettivo collaterale "l’evocazione" di importanti sanzioni, specialmente patrimoniali che possano pesantemente incidere sullo stato di salute economica della società “target”, oppure, più semplicemente, di generare uno svantaggio competitivo tale, da consentire all’autore, o ai profili direttamente coninvolti, di locupletare un ingiusto profitto verso un’imminente gara di fornitura, o, peggio, ottenere un "diversivo" sotteso al perfezionamento di pratiche di insider trading, o scommesse borsistiche, per condizionare, a rialzo o ribasso, strategie di borsa in occasione di OPA o OPS, favorirendo il presentarsi di turbative di mercato.

La tipologia degli "attacchi informatici", di cui oggi si conosce esistenza, è molto articolata, multiforme o poliedrica, e spazia dalle vulnerabilità meno note riconducibili ad eventuali “0 Day”, a pratiche di “Spear Phishing” e “Malware Fineless”, (residente solo sulla memoria RAM del device colpito), e strategie di esclusione e limitazione di acceso, dovute ai vari “Ransomware”, sino ad arrivare a vere e propre aggressioni "DDoS" (Distributed Denial of Service), oppure tecniche minuziosamente e artatamente pianificate di "MITM" (Man In The Middle).

Queste tipologie di attacco sono spesso condotte da gruppi organizzati, che agiscono con scopi ben precisi e modalità molto invasive, strutturate e diligentemente coordinate, infatti la loro azione può protrarsi, molte volte, per lunghi periodi di tempo (giorni, mesi, o, addirittura, anni), prima di essere scoperta da chi ne è vittima.

Sulla base di tali premesse, risulta fondamentale agire in ogni direzione per limitare i danni, difendere i propri interessi, o, in generale, tutto ciò che costituisce il patrimonio immateriale di qualsiasi organizzazione, nonché, al giorno d'oggi, anche per adempiere alle disposizioni di legge in materia di sicurezza informatica e protezione dei dati.

Non bisogna trascurare, inoltre, il fatto che vi siano standard di riferiemento, via via più stringenti (specialmente per alcune tipologie di aziende), a cui dover adempiere.

Per fare un esempio: chi processa transazioni con carte di credito deve attenersi al PCIDSS (Payment Card Industry Data Security Standard), il quale, ricordiamo essere uno standard proprio della sicurezza delle informazioni per le organizzazioni che gestiscono pagamenti elettronici e, che, nello specifico, viene, si, imposto dalle principali società di carte, ma amministrata dal Payment Card Industry Security Standards Council.

Vediamo, ora, invece, quali sono i criteri e gli strumenti approntati per identificare un incidente informatico che, in genere, viene individuato attraverso automatizzazione del monitoraggio delle reti, così come del rilevamento di eventuali intrusioni.

Tali software, infatti, raccolgono, e analizzano (anche attraverso algoritmi di intelligenza artificiale) tutti i dati provenienti dai sistemi e dall'infrastruttura informatica, per individuare eventuali anomalie, o scostamenti dai protocolli ordinari che, nella loro singolarità, ben potrebbero essere la cartina di tornasole di un'intrusione nella nostra rete.

Specifichiamo che la risposta all’incidente, può essere gestita internamente all’organizzazione aziendale, oppure, come più spesso avviene, da un'azienda esterna specializzata in tali specifici eventi.

Tutte le attività e le procedure che presidiano tale ambito problematico, inoltre, possono essere temporalmente e concettualmente, scansionate in tre fasi, tra loro successive:
La risposta iniziale all’incidente,
L’investigazione delle cause, o delle patologie, per cui è avvenuto,
Il ripristino dei “sistemi” compromessi al proprio stato di origine.

Nella prima fase dell'incidente, quindi, oltre a rilevare e determinare il tipo di incidente, nonché il suo potenziale impatto, viene effettuata la prima attività di collazione di tutte le informazioni riperite, da quanti hanno rilevato l’incidente, al fine di revisionarne i relativi “log” di rete e/o di sistema.

Nella fase investigativa, per converso, si procede al vaglio di tutte le ipotesi di indagine atte a ricostruire le cause scatenati, così come la dinamica dell’incidente stesso, al fine di "ripercorrere", sino all'origine, tutte le meccaniche dell’inizio dell’attacco, nonché la comprensione ed esatta definizione delle modalità utilizzate.

Sempre in questa sede, inoltre, vengono identificate le reti e sistemi compromessi, ed in quale misura siano stati "aggrediti" o danneggiati, avendo cura di accertare quali (e quanti) siano, nello specifico, i dati violati e trafugati e, parallelamente, si procede all'analisi dei dettagli della violazione, così da individuarne, ipoteticamente, gli obbiettivi dell’attacco o gli eventuali soggetti coinvolti. 
In fine, si stabilisce il lasso temporale in cui l’incidente potrebbe essere avvenuto e, soprattutto, se sia ancora in corso.

In ultimo, in sede di avviamento delle procedure di ripristino che, in ogni caso, non intervengono prima di aver verificato ed attuato tutte le operazioni sommariamente indicate, si può adoperarsi per ristabilire lo stato pristino di tutte le reti, o dei singoli sistemi all'esigenza "quarantenati"

Una volta ricostruito il quadro completo dell'aggressione, nonché dettagliatamente documentato tutti i processi dell’incidente, tuttavia, si pone il problema di un immediato ripristino dello status “quo ante” della situazione strutturale informatica e, cioè, pristina all’incidente.

Ove, invece, nel peggiore dei casi l’incidente sia ancora in corso, vi sono complesse procedure atte a rimuovere i vettori di attacco, o strategie finalizzate a contenerne l’impatto stesso, cercando di terminare, il prima possibile, l’esecuzione di determinati processi e software, oppure rimuovendo file e meccanismi che, prevedibilmente, ne hanno facilitato o causato, l’incidente.

Oggi acquista fondamentale rilievo un puntuale coordinamento con il GDPR (General Data Protection Regulation), introdotto dal regolamento europeo 679/2016, che, incentrato sulla protezione dei dati personali e della privacy dei cittadini europei, ha anche lo scopo di offrire maggiori controlli sui "propri" dati personali utilizzati da aziende e istituzioni, inclusi i diritti alla portabilità dei dati ed all’oblio.

Il citato regolamento europeo ha radicalmente "innovato" l’intera materia, in quanto, da una parte, ha aumentato i diritti dei cittadini e, dall’altra, per converso, ha comportato un aumento degli obblighi e requisiti per tutte le organizzazioni che ne processano i dati.

Il nuovo regolamento non vale solo per le organizzazioni europee, ma anche per tutte le realtà societarie che "trattano" dati di cittadini europei, pertanto, rappresenta, sotto tutti i punti di vista, e innovativamente, una normativa a livello mondiale.

Tra gli obblighi più importanti prodotti, vi è la definizione del responsabile della protezione dei dati, e della conformità dei requisiti, specificati dal regolamento, all’interno dell’organizzazione (art. 37), nonché, le comunicazioni da effettuarsi in caso di incidente di violazione dei dati (l’art. 33).

La notifica all’autorità (nel nostro caso il Garante per la Privacy), infatti, deve essere completa di una descrizione della natura della violazione, includendo il numero approssimato dei dati sottratti, e le categorie dei record di dati personali e dei soggetti a cui si riferiscono, inoltre, dovrebbe delineare le probabili conseguenze della violazione, così come le misure proposte per ovviare all’incidente.

Il responsabile deve, perdipiù, comunicare all’autorità garante il proprio nome, ed i propri contatti, per il caso in cui vengano richieste maggiori informazioni sulla violazione.

L’articolo 34 prevede che tale obbligo decada se: L’organizzazione ha adottato misure di protezione dei dati oggetto della violazione: quale la "cifratura" dei dati; Ha adottato, successivamente, misure per scongiurare tali rischi; La comunicazione comporterebbe sforzi sproporzionati, infati, in tal caso è sufficiente una comunicazione pubblica, oppure ad evidenza pubblica.

Di rilevante importanza, è, inoltre, la conseguenza patrimoniale che il "mancato" rispetto di tali normative comporta, in quanto prevede sanzioni amministrative molto pesanti (ex art. 33, addirittura fino a 20 milioni di euro, oppure fino al 4% del fatturato annuo globale dell’impresa), oltre a, conseguenti, e rilevanti, sanzioni penali.