La domanda che le aziende di oggi devono porsi non è SE verranno colpite da un attacco ransomware, ma QUANDO. Analizzando l’ultimo periodo, si nota, infatti, il significativo aumento degli attacchi ransomware e quanto si siano registrati ormai ovunque: dalle infrastrutture critiche alle piccole imprese, aziende di tutte le dimensioni stanno cercando il modo per non diventare un bersaglio per i criminali informatici. In questo scenario, ciò che è necessario tenere ben presente è che questo problema non è legato solo alla tecnologia in uso, ma è anche una questione di preparazione. E questa non può prescindere da una corretta comunicazione interna finalizzata ad aumentare i livelli di consapevolezza dei dipendenti sull’argomento.
Secondo il SonicWall Cyber Threat Report 2021, gli attacchi ransomware dal 2019 ad oggi sono aumentati del 158% nel nord America e del 62% a livello globale. Inoltre, sempre in base a quanto rilevato dal report, i criminali informatici sono in grado di mettere in atto strategie sempre più sofisticate per bloccare l’operatività delle aziende, in cambio di una richiesta di ‘riscatto’. Questo rappresenta una vera e propria preoccupazione per le aziende moderne, che si affidano quasi esclusivamente ai dati per gestire le proprie attività.
Conoscere le fondamentali best practice necessarie per prepararsi al meglio a gestire questo tipo di attacchi, che si basano fondamentalmente sulla presa in ‘ostaggio’ dei dati aziendali, può aiutare a ridurne al minimo, o addirittura a neutralizzarne, l’impatto. Nello specifico, sono tre le best practice da implementare prima che si verifichi un attacco ransomware.
1. Essere consapevoli delle reali capacità della propria azienda di combattere i ransomware.
È di fondamentale importanza capire cosa si può e non si può fare in caso di attacco ransomware. Se l’azienda non ne ha un quadro ben chiaro, i dirigenti potrebbero decidere di pagare il ‘riscatto’ per cercare di recuperare tutti i loro dati, anche quando non si dovrebbe.
Quando i cyber criminali chiedono un riscatto, l’azienda è propensa a pagarlo per riavere indietro i propri dati, ma accade spesso che il processo di ripristino ad opera degli aggressori sia molto più lento rispetto a quello che si potrebbe innescare attraverso un sistema di recovery o backup dell’azienda stessa. La velocità di ripristino, pertanto, è uno degli elementi chiave da valutare in caso di attacco ransomware, perché il pagamento del riscatto in genere non garantisce un recupero istantaneo.
Quando si parla di attacchi ransomware, inoltre, è bene non tralasciare nemmeno possibili piani di emergenza. Per svilupparne uno adeguato, è fondamentale porsi le seguenti domande: come può l’azienda garantire un ripristino quasi istantaneo se l’attacco ransomware viene ignorato? Come può l’azienda garantire che i dati non siano danneggiati? La consapevolezza e l’elaborazione di valide strategie per affrontare al meglio queste sfide darà alla leadership dell’azienda maggiore fiducia per andare avanti.
2. Stabilire comunicazioni chiare e concise con informazioni veritiere e affidabili.
Nel bel mezzo di un attacco informatico, la comunicazione all’interno di un’azienda può essere facilmente interrotta, frammentata e isolata. È possibile, in questi casi, che affiorino punti deboli all’interno della comunicazione, che portano a una disconnessione tra dirigenti aziendali e responsabili IT. Se i dirigenti hanno informazioni limitate e non hanno un quadro completo e chiaro di ciò che l’azienda può e non può fare, potrebbero essere prese decisioni dettate dall’istinto, non razionali e ponderate, che potrebbero portare a perdite finanziarie, danni alla reputazione e interruzioni del business.
I responsabili IT devono essere in prima linea nella gestione della crisi e devono poter esporre liberamente la situazione reale in tutta onestà e chiarezza, anche a fronte di dirigenti riluttanti ad ascoltare. Un attacco informatico solitamente accresce il nervosismo all’interno dei vertici aziendali, spingendo i dirigenti a voler pagare subito il riscatto per chiudere in fretta la questione.
Un’efficace comunicazione interna, invece, assicura che tutti i decision maker siano coinvolti, consapevoli e a conoscenza del fatto che l’azienda dispone di un sistema di cyber recovery per il rispistino dei dati, escludendo così la necessità di dover negoziare e scendere a patti con i criminali. Anche se in prima battuta questa strategia potrebbe sembrare controintuitiva, grazie a un adeguato sistema di cyber recovery di ultima generazione, dal punto di vista del data storage, è possibile ignorare le richieste di riscatto. È come dire ai cyber criminali di ‘andare al diavolo’, perché l’azienda è in grado di neutralizzare l’impatto dell’attacco.
3. Mantenere la propria checklist continuamente aggiornata in previsione di futuri attacchi ransomware.
Non è solo importante spuntare le voci all’interno della propria checklist, ma è fondamentale che le voci in questione siano quelle corrette:
- Completamento simulazione.
- Protezione dei sistemi di backup.
- Cyber recovery ad alta velocità (preferibilmente ripristino quasi istantaneo).
- Immutable Snapshot.
La checklist non può rimanere statica, perché rappresenta il parametro con il quale si può giudicare il livello di preparazione dell’azienda in caso di attacchi ransomware. Grazie a questa lista, infatti, è possibile mantenere l’azienda in una modalità costante di preparazione, sottoponendola a stress test attraverso simulazioni controllate. Una checklist sviluppata in maniera adeguata permette così di prevenire la compromissione dei dati aziendali.
L’implementazione di Immutable Snapshot, ad esempio, è un perfetto esempio di strategia grazie alla quale i dati non possono essere corrotti o crittografati. Gli Immutable Snapshot, infatti, sono istantanee di tutti i dati aziendali che non possono essere sovrascritte, alterate o cancellate. Consentono, quindi, di tornare al momento desiderato e ripristinare rapidamente qualsiasi dato da un’istantanea, riducendo così gli attacchi ransomware a un semplice ‘ostacolo’ sulla strada della continuità dell’attività aziendale.
Quando si utilizzano Immutable Snapshot è garantita la possibilità di recuperare velocemente i propri dati, senza dover pagare nessun riscatto. Questo è il motivo per cui gli Immutable Snapshot sono ormai presenti nella stragrande maggioranza delle checklist.
Infine, è fondamentale assicurarsi di controllare tutte le voci inserite sulla lista, seguendo tutte le procedure in maniera adeguata. Capita spesso che i test di disaster recovery vengano visti come una seccatura da dover completare in modo soddisfacente, ma con il minimo sforzo possibile. Bisogna, invece, promuovere un atteggiamento proattivo, volto a scovare eventuali debolezze all’interno del sistema, sfidando il reparto IT a trovare modalità sempre nuove per mettere sotto pressione l’infrastruttura. Questo può portare alla luce problemi inediti, prima che diventino problemi reali. L’obiettivo è quello di non aspettare che l’attacco si verifichi, ma simularlo prima per testare l’efficacia del rispristino dati.
Autore: Ken Steinhardt, Field CTO di Infinidat
