La mitigazione di un incidente informatico e la risposta agli incidenti per tipi di attacco comune.
-
- 14 Giugno 2024
Premesso che un incidente di sicurezza si verifica quando un sistema informatico, una rete o i dati contenuti in essi vengono compromessi, violati o danneggiati da attività malevole o non autorizzate. Questi incidenti possono essere causati da vari fattori, come malintenzionati, malware[1], attacchi DDoS[2] (Distributed Denial of Service), furti di dati, violazioni della sicurezza fisica, perdita o smarrimento di dispositivi contenenti informazioni sensibili, e così via.
Un incidente di sicurezza informatica consiste nell’accesso a informazioni riservate di individui o aziende da parte di un gruppo o una persona non autorizzata. Gli obiettivi in un incidente informatico possono essere diversi, tra cui l’accesso non autorizzato, ovvero quando un attaccante cerca di ottenere l’accesso a sistemi o reti per rubare informazioni sensibili, come dati personali.
Le interruzioni del servizio e le motivazioni dell’attacco
L’interruzione del servizio si verifica quando un attaccante ha come obbiettivo di interrompere servizi online o le operazioni di un’organizzazione attraverso attacchi DDoS o altre tecniche, causando l’interruzione del funzionamento dei sistemi. La modifica o danneggiamento dei dati è un altro metodo, ovvero quando un attaccante cerca di alterare, cancellare o danneggiare i dati critici di un’organizzazione, causando perdite finanziarie, di reputazione o danni operativi.
L’estorsione invece, si determina quando alcuni attaccanti richiedono denaro o risorse dall’organizzazione minacciando di divulgare informazioni sensibili o bloccando l’accesso ai sistemi fino a quando un riscatto non viene pagato.
Fine modulo
La gravità di un incidente di sicurezza può variare notevolmente, sia da semplici tentativi di accesso non autorizzato a sofisticati attacchi mirati. Indipendentemente dalla natura dell’incidente, è essenziale riconoscere e rispondere prontamente per limitare i danni, proteggere le informazioni sensibili e ripristinare la sicurezza dei sistemi colpiti.
Le misure da adottare
Si ravvisa la necessità, in capo al Titolare di dotarsi di un protocollo interno di gestione degli incidenti (tout court in aggiunta a quello già presente che formalizza gli incidenti riguardanti la violazione dei dati personali), che gli consenta di definire e stabilire le misure da adottare in caso di incidente di sicurezza. Qualora l’azienda/ente non sia dotata dei moderni sistemi per l’individuazione automatica di escalation (, in caso di un incidente di sicurezza informatica si devono adottare le misure di emergenza da attuare come l’isolamento immediato del sistema o la rete compromessa dalla connessione Internet. Questo aiuta a prevenire ulteriori infiltrazioni o diffusione dell’attacco ad altre parti del sistema.
L’azione corretta sarebbe l’isolamento parziale della rete in questione. È essenziale fare una valutazione preliminare dell’incidente per capire la sua natura e l’estensione del danno, raccogliere informazioni sulle azioni sospette, gli eventuali messaggi di errore o le notifiche del sistema che potrebbero fornire indicazioni sull’incidente. Diventa inoltre indispensabile comunicare immediatamente l’incidente alle persone coinvolte nella gestione della sicurezza informatica all’interno della l’azienda/ente (a tale riguardo si rileva che in caso di fronte di una carenza di personale interno specializzato, nello specifico, con riferimento alla cyber sicurezza – tale criticità va superata ricorrendo a soluzioni che prevedano il potenziamento quali-quantitativo delle risorse interne e/o il ricorso a forme di esternalizzazione del servizio).
La gestione degli incidenti di questo genere è un processo complesso che deve condurre alla assunzione di decisioni e per il quale l’azienda/ente dovrà costituire un gruppo per la gestione di incidenti di questa natura, al cui interno dovranno essere previsti specialisti di sicurezza informatica, esperti di: healt tecnology assessment, risck management, compliance oltre a legali.
È necessario quindi capire perché l’incidente non è stato rilevato in anticipo rispetto all’accaduto. Potrebbe essere perché l’organizzazione non dispone di un buon sistema di sicurezza informatica preventiva. È possibile che il monitoraggio dei sistemi non esista, non sia sufficiente, non sia curato né adeguato, non vi sia una procedura di revisione o semplicemente il personale non sia ben qualificato.
Inizio delle misure risolutive
Una volta che l’incidente è stato analizzato e si è determinato come è avvenuto, è importante applicare i controlli e le misure necessarie per risolverlo e impostare le azioni volte a chiudere la fuga di notizie e prevenire nuove fughe di informazioni. In questa fase vengono stabiliti possibili piani di comunicazionesia internamente che con i fornitori interessati, gli utenti e le autorità corrispondenti.
In una ottica improntata alla accountability (art. 24 GDPR[3]) il titolare dovrà conservare tutte le prove pertinenti, inclusi log di sistema, file di registro, schermate e altri dati rilevanti. Questi elementi potrebbero essere utili per l’analisi forense successiva e per identificare le cause dell’incidente.
Se l’incidente è di natura grave o coinvolge dati sensibili appartenenti a categorie particolari di dati personali, (dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dati genetici, dati che rivelino l’appartenenza sindacale, ecc.), potrebbe essere necessario coinvolgere immediatamente le autorità competenti, come le forze dell’ordine o il Garante per la Protezione dei dati Personali. Si cercherà, comunque, di contenere l’incidente per evitare ulteriori danni.
Questo potrebbe comportare la disabilitazione temporanea dei sistemi colpiti, la revoca delle credenziali compromesse o altre misure per bloccare gli accessi non autorizzati.
Le procedure e l’identificazione del perimetro
È necessario disporre di una road map o procedura che funga da guida in tutti i passaggi che devono essere compiuti durante e dopo l’incidente. Se questo non esiste o non è stato precedentemente stilato e pianificato, si rischierà di perdere tempo e le conseguenze saranno peggiori e si prolungheranno nel tempo.
La azienda/ente ha la necessità di dovere migliorare la politica di controllo degli accessi, con il minor privilegio possibile e zero trust, così facendo avrà già ridotto il rischio. Questo è uno dei motivi per i quali, qualora manchi, si rende necessario ed urgente dotarsi di una procedura di rilevamento delle intrusioni di rete con i sistemi corrispondenti, in modo da potere interdire l’intruso prima che possa accedere a tutta la rete aziendale.
Inoltre, con un’architettura di rete segmentata,sarà più difficile l’accesso e forse più facile da rilevare quando si tenta di passare da una rete all’altra. Di qui la necessità di compiere un censimento, continuamente aggiornato, dei gestionali e dei dispositivi informatici in uso, con tempestivi riferimenti alle generalità del Fornitore, alla versione del SW, ecc. Avere i beni cespitati e ben classificati può pure aiutare a capire la posizione di ogni dispositivo all’interno della porzione della rete cablata, in questo modo potremmo sapere quale dei beni potrebbero essere stati compromessi.
Se non ci fosse un vero inventario o una classificazione dei beni, sarebbe difficile non solo conoscere l’entità dell’attacco, ma anche rispondere alle autorità competenti.
Attività di crisis management
Qualora la azienda/ente subisse un attacco di sicurezza informatica ha l’obbligo normativo (artt. 33[4] e 34[5] GDPR) di comunicarlo all’autorità di controllo ed, eventualmente, nei casi previsti dalla norma, ai soggetti interessati i cu dati personali siano stati violati.
La comunicazione tempestiva e trasparente è un elemento cruciale per mantenere la fiducia degli utenti e dimostrare un impegno verso la sicurezza dei dati. Ritardare la comunicazione di un incidente di sicurezza può portare a conseguenze ancora più gravi, come l’irrogazione di sanzioni amministrative pecuniarie, la perdita di fiducia, possibili azioni legali e danni reputazionali irreparabili.
Quando si comunica agli interessati, è importante fornire informazioni chiare e concise sull’incidente, evitando tecnicismi che potrebbero confondere i non addetti ai lavori. Gli interessati devono essere informati sul tipo di violazione che si è verificata, quali dati potrebbero essere stati compromessi e quali azioni l’azienda sta intraprendendo per rispondere all’incidente.
La comunicazione dovrebbe anche includere le misure preventive che la azienda/ente sta adottando per rafforzare la sicurezza e prevenire future violazioni. Questo può comprendere l’implementazione di nuove politiche di sicurezza, l’adozione di tecnologie avanzate, l’aumento della formazione dei dipendenti sulla sicurezza informatica e l’eventuale coinvolgimento di esperti esterni per un audit della sicurezza.
Comunicare un incidente di sicurezza può essere un’opportunità per l’azienda per dimostrare la propria capacità di gestione delle crisi e l’impegno alla sicurezza dei dati dei propri utenti. Una risposta efficace e trasparente può contribuire a mantenere la fiducia dei clienti e a rafforzare la reputazione dell’azienda nel lungo termine.
Il gruppo di risposta agli incidenti (“Team di risposta alle violazioni”), nei casi di segnalazioni di violazioni dei dati personali ha il compito di lavorare congiuntamente e riportare al Titolare, per le decisioni del caso che sono di esclusiva competenza di quest’ultimo.[6]
Ripristino e rimessa in opera della produttività
La fase successiva delle operazioni fa scattare il ripristino. Dopo aver contenuto l’incidente, si procede al ripristino dei sistemi o delle reti interessate. Questo potrebbe includere la re-installazione dei sistemi da backup puliti o la ricostruzione delle configurazioni compromesse.
È importante progettare un sistema di ripristino dei backup con garanzie e sicurezza, poiché i criminali informatici, quando penetrano in un’organizzazione e hanno come obbiettivo una paralisi aziendale o un attacco ramsonware, mirano a rendere inutili le copie di backup. Quindi è necessario progettare un piano di backup basato sulla gravità dei danni.
La copia dei dati a basso rischio invece, che dovrebbe essere eseguita meno frequentemente, non ha lo stesso tenore della retention dei dati ad alto rischio. Assicurarsi quindi che le copie siano eseguite correttamente e di conseguenza èimportante disporre di una routine per verificare che le copie siano valide e possano essere utilizzate per i ripristini. Il ripristino annidato è un processo delicato e ad alto stress, poiché non è veloce e talvolta il restore fallisce.
Per questo motivo è necessario definire una procedura di recupero che indichi in quale ordine e come ripristinare le copie. Questa procedura, come le precedenti, deve essere migliorata periodicamente. Si avrà bisogno di un’infrastruttura preparata per ripristinare i sistemi e inutile a dirsi, non è consigliabile utilizzare un’infrastruttura che è stata compromessa per ripristinare una copia da un sistema per diversi motivi, per esempio il sistema violato sarà analizzato dal team forense per scoprire le dimensioni e la profondità della violazione, nonché il vettore di attacco.
A sua volta il ripristino di una copia su un sistema che è stato violato non offre garanzie sufficienti, ed è possibile che ci siano programmi dormienti o porte aperte per essere riutilizzate dall’attaccante.
Verifiche delle cause, analisi e studio dell’accaduto
Nel frattempo è necessario un’analisi dell’incidente dove si verifica profondamente l’incidente per comprendere le cause, gli obiettivi e le modalità dell’attacco. Questo aiuterà a prendere misure preventive per evitare incidenti futuri di questa natura. È importante disporre degli strumenti necessari per analizzare come e quando si è verificato l’incidente, le informazioni che potrebbero essere state rubate, scoprire dove sono state rese pubbliche, ecc.
Una volta ottenuto un rapporto dettagliato di questa analisi si può procedere agli aggiornamenti delle politiche di sicurezza come la rivisitazione delle politiche e le procedure di sicurezza informatiche dell’azienda/ente per garantire che siano adeguate a prevenire futuri problemi, quindi si apportano le modifiche necessarie per rafforzare la sicurezza complessiva del sistema.
Per ultimo, e molto importante, si organizza il “Follow-up” delle misure applicate in modo di monitorare e realizzare miglioramenti continui, per garantire che le misure di protezione e prevenzione applicate siano adeguate per evitare un incidente di sicurezza con le stesse caratteristiche.
Risulta impossibile assicurare di essere completamente immune agli attacchi informatici, quindi è importante disporre di misure di sicurezza immediate che riducano al minimo gli attacchi e i rischi a cui è esposta un’organizzazione e soprattutto conoscere e agire urgentemente una volta che la azienda/ente è stata attaccata o è suscettibile di un incidente di sicurezza informatica.
Sulla scorta di quanto sopra esposto, a titolo meramente esemplificativo, di seguito si riporta una griglia che partendo dalla singola tipologia di attacco informatico ne fornisce la definizione, unitamente alle modalità di rilevazione (indicatori di minaccia), agli ambiti di indagine (dove indagare) ed alle aziojni corrispettive per la mitigazione del rischio (possibili azioni)
[1] Malware (abbreviazione dell’inglese malicious software, lett. “software malevolo”), nella sicurezza informatica, indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un utente di un computer. Termine coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer. Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall’utente anche per lunghi periodi di tempo (es. Regin malware). Oltre a carpire informazioni di nascosto, un malware può essere creato con l’intento di arrecare danni ad un sistema informatico, spesso tramite sabotaggio (es. Stuxnet), oppure può criptare i dati del computer della vittima, estorcendo denaro per la decriptazione (CryptoLocker). Malware è un termine generico che fa riferimento a varie tipologie di software intrusivo o malevolo, inclusi Virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Può assumere diverse forme, come Codice eseguibile, Script, e altro software. Il malware si diffonde principalmente inserendosi all’interno di file non malevoli. La diffusione del malware risulta in continuo aumento: si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti; tali numeri sono destinati ad aumentare con l’espansione della Rete e il progressivo diffondere della cultura informatica. Nel 2011 la più grande minaccia malware era costituita da worm e trojan, piuttosto che altri virus. Spyware o altri malware sono a volte trovati all’interno di programmi forniti da compagnie, ad esempio scaricabili da siti web, che appaiono utili o accattivanti, ma potrebbero avere delle funzionalità aggiuntive nascoste indesiderate, che raccolgono dati statistici di marketing.
Link: https://it.wikipedia.org/wiki/Malware
[2] Nel campo della sicurezza informatica, un attacco denial-of-service o attacco DoS (lett. “attacco di diniego del servizio”) indica un malfunzionamento dovuto a un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un server web, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.
In un attacco distribuito di negazione del servizio (in inglese Distributed Denial of Service abbreviato in DDoS), il traffico dei dati in entrata che inonda la vittima proviene da molte fonti diverse. L’esempio in analogia è quello di un gruppo di persone che affollano la porta d’ingresso o il cancello di un negozio o di un’azienda, e non consentendo alle parti legittime di entrare nel negozio o nel business, interrompono le normali operazioni. Ciò rende effettivamente impossibile fermare l’attacco semplicemente bloccando una singola fonte. Oltre al senso primario di denial of service come azione deliberata ci si può riferire ad esso come azione accidentale, in seguito per esempio ad una errata configurazione, o come nel caso dell’effetto Slashdot
Link: https://it.wikipedia.org/wiki/Denial_of_service
[3] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
[4] Articolo 33 Notifica di una violazione dei dati personali all’autorità di controllo (C85, C87, C88)
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà
delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
[5] Articolo 34 Comunicazione di una violazione dei dati personali all’interessato (C86-C88)
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
[6] In assenza di un’adeguata pianificazione, il processo di risposta a una violazione è estremamente complesso e oneroso in termini di tempo. Tra le attività richieste, un’azienda deve:
- Collaborare con esperti della sicurezza interni o esterni per identificare rapidamente l’origine della violazione e arrestare un’ulteriore perdita di dati
- Dichiarare la violazione ai responsabili delle autorità di governo o regolatorie competenti, rispettando scadenze specifiche al fine di evitare potenziali multe
- Comunicare la violazione a clienti, partner e stakeholder
- Allestire l’eventuale supporto telefonico necessario e i servizi di monitoraggio del credito per i clienti interessati
- Ciascuno di questi interventi richiede parecchie ore di impegno da parte dei componenti dello staff, sottraendo del tempo alle loro normali responsabilità, con spreco di risorse umane preziose per l’impresa.
