Un’azienda svizzera stenta a sopravvivere a un attacco ransomware riuscito. E poi migliora le sue misure di protezione. Approfittate di queste conoscenze nella vostra PMI, ma fatelo prima di essere attaccati dai criminali informatici.
Martin Kelterborn non dimenticherà mai quelle tre settimane. Tre settimane in cui l’intera azienda lavorò in modalità di crisi per eliminare le conseguenze di un attacco ransomware riuscito. Che mise in pericolo l’esistenza dell’azienda. Perché l’attacco informatico aveva messo fuori uso tutto l’IT. «Il dipartimento di marketing allestì un posto di comando in una sala riunioni e organizzò l’intera battaglia», ricorda Martin Kelterborn, allora CEO di Offix Holding. «E l’intera azienda lavorava solo per l’IT e le vendite.»
Phishing, la variante sofisticata
L’azienda però non era mal protetta. Un audit di sicurezza, in cui alcuni specialisti avevano esaminato attentamente le misure di sicurezza, aveva certificato una protezione buona e aggiornata. Questo tre settimane prima del cyber attacco. Quindi lo shock fu ancora più grande quando Kelterborn arrivò in ufficio una mattina per scoprire che non funzionava niente. Ma l’attacco era stato pianificato abilmente. L’e-mail di phishing che avrebbe poi aperto le porte ai criminali informatici si presentò come risposta a una vera richiesta. Un collaboratore aprì quindi l’allegato senza particolari sospetti, ed ecco la catastrofe.
«Avevamo prestato troppa poca attenzione al fattore umano», riconosce ora Kelterborn. Ma questa è solo uno degli insegnamenti che ha tratto dall’eliminazione – riuscita – delle conseguenze dell’attacco informatico. Ecco i tre fattori soft più importanti da accompagnare alle misure tecniche per garantire una protezione efficace.
1. La sicurezza informatica è una questione da capi
«Non si deve mai avere la sensazione di aver fatto abbastanza», dice Kelterborn. «La sicurezza informatica deve essere un argomento costante nella Direzione.» In altre parole, invece di limitarsi a confidare nel fatto che il responsabile IT faccia un buon lavoro, la Direzione deve costantemente mettere in discussione e sviluppare la strategia di sicurezza insieme all’IT. E soprattutto, vederla come un aspetto strategico piuttosto che una questione puramente tecnica.
Testate la vostra sicurezza informatica
Circa il 35% di tutte le PMI svizzere sono già state vittime di un attacco informatico. Quanto siete protetti? Con il nostro Security Check informatico, potete esaminare il livello di sicurezza della vostra azienda e scoprire quali misure potreste attuare.
2. Sensibilizzare i collaboratori agli attacchi informatici
Il caso di Offix mostra quanto sia importante che i collaboratori siano sensibilizzati riguardo ai temi della sicurezza informatica. «La Direzione ha chiaramente una responsabilità qui», sottolinea Kelterborn. Questa responsabilità consiste nell’assicurarsi che i collaboratori siano in grado di riconoscere le e-mail di phishing. L’accento è posto sulla formazione, per esempio attraverso l’ e-learning e il training su come riconoscere le e-mail di phishing.
Kelterborn aveva avviato diverse misure all’epoca:
- Formazione ricorrente sulla sicurezza dal primo giorno di lavoro di un nuovo collaboratore.
- Un telefono di emergenza per ricevere assistenza rapida e risposte alle proprie domande.
- Un forum in intranet dove i collaboratori possono postare screenshot di attacchi di phishing particolarmente efficaci ma che sono stati riconosciuti.
«È importante che questo tema rimanga nella mente dei collaboratori», dice Kelterborn.
3. Controllare costantemente la protezione dell’infrastruttura IT
Fidarsi è bene, ma controllare è meglio: questo è l’approccio giusto alla sicurezza informatica. In questo caso specifico, dopo l’attacco Kelterborn non ha semplicemente supposto che i meccanismi di protezione aggiunti avrebbero funzionato. Invece, ha fatto testare continuamente la sicurezza da una società esterna mediante attacchi simulati.
«Il tema della sicurezza deve rimanere nella mente dei collaboratori.»
Martin Kelterborn
E Kelterborn consiglia di documentare accuratamente l’infrastruttura IT e le misure di sicurezza. Non solo per sapere quali prodotti sono effettivamente in uso e orientare le misure di sicurezza di conseguenza, «ma anche per dimostrare al Consiglio di amministrazione quali misure sono state adottate.»
In conclusione: pagare il riscatto?
Gli esperti e le agenzie specializzate consigliano di pagare la somma richiesta negli attacchi ransomware. Questo perché le possibilità di successo sono incerte e l’azienda rischia di essere attaccata nuovamente dai criminali informatici in quanto «buon cliente».
All’azienda di Kelterborn i ricattatori avevano chiesto circa mezzo milione di franchi in Bitcoin. Il pagamento del riscatto sarebbe stato l’ultima spiaggia. Ma l’azienda è stata fortunata nella sua sfortuna: gli esperti di una società di sicurezza informatica sono riusciti a rimuovere le tracce dell’attacco e a ripristinare l’infrastruttura attraverso il backup. Fortunatamente, i criminali informatici avevano risparmiato il backup dei dati.
A posteriori, questo percorso si è rivelato comunque il migliore, perché «gli aggressori avevano distrutto così tanto materiale che avremmo potuto recuperare solo una piccola parte dei dati», ricorda Kelterborn, ora di nuovo rilassato.
Richiesta di consulenza sulla sicurezza
Quanto è grave lo stato attuale delle minacce per la vostra azienda? I nostri esperti vi sostengono in caso di domande sulla sicurezza informatica. Lasciatevi consigliare e discutete della vostra situazione specifica.