Nello scenario aziendale moderno si è assistito ad un incremento degli attacchi ransomware da parte di hacker e cyber criminali. Ciò si spiega soprattutto con l’aumento delle soluzioni e strategie digitali messe in campo dalle imprese di tutto il mondo. Questo non può essere certamente ignorato o sottovalutato e le stesse società sono dovute correre ai riparti per rispondere in maniera efficace a questo genere di pericoli.
Proprio per prevenire tali minacce si è diffusa l’abitudine di dotarsi un Incident Response Team (IRT), ovvero una squadra altamente specializzata che possa far fronte agli incidenti di sicurezza informatica in maniera tempestiva ed efficiente. Tale team dovrà dunque contrastare tutti i tentativi di aggressione esterna che minano l’integrità delle informazioni aziendali. Vediamo nel dettaglio cos’è un Incident Response Team e come deve essere strutturato.
Definizione e responsabilità di un Incident Response Team
Un Incident Response Team (IRT), anche noto come Computer Security Incident Response Team (CSIRT), è un gruppo solitamente inserito nell’organigramma aziendale formato da due o più componenti del personale a cui è conferita la responsabilità di gestire e supportare la risposta ad eventi e incidenti di sicurezza informatica.
Lo scopo primario di un IRT è quello di ridurre al massimo e controllare i danni causati da un cyber attacco esterno, fornendo una guida sicura per tutte le attività di risposta, prevenzione e recupero dati. Il lavoro svolto dai gruppi IRT è variegato ed eterogeneo a causa dell’elevato numero di criticità da dover affrontare e dei vari livelli di gestione richiesti.
Le responsabilità principali di un IRT comprendono soprattutto la definizione di un piano di risposta agli incidenti (IRP), l’analisi degli incidenti, il coordinamento delle comunicazioni interne e degli aggiornamenti nel corso degli incidenti, la comunicazione sugli incidenti verso azionisti, dipendenti, stampa e clienti e l’esecuzione della bonifica risolutiva dell’incidente.
Affinché l’operato dell’Incident Response Team sia efficace, è necessario che tutte queste attività siano incluse in precise procedure comunicate al personale dell’azienda, siano sempre accessibili e che siano inserite nel percorso di Incident Management societario. In genere gli IRT possono cambiare il proprio focus a seconda del settore di appartenenza dell’impresa. Ad esempio, gli Incident Response Team di privati o enti governativi possono essere utili per le azioni di formazione sulla consapevolezza della sicurezza informatica, ma non sono adibiti ad attività forensi e di indagine.
Quali professionalità sono incluse in un Incident Response Team
Un Incident Response Team riveste ormai un ruolo primario nelle aziende per combattere gli attacchi ransomware e tutte le potenziali minacce provenienti dal web. Ma quali sono le figure professionali che necessariamente devono essere presenti in un IRT qualificato? Andiamo a scoprirlo.
- Esperti di sicurezza informatica: se il cyber attacco ha avuto successo, il tempo è un elemento fondamentale per rimediare ai danni subiti. Infatti, ci sono moltissime cose da fare in poco tempo e in maniera coordinata. Dunque, bisogna nominare un responsabile con pieni poteri che possa gestire tutti i tecnici impegnati nell’isolamento dei sistemi infetti, nell’analisi dei dati corrotti, nella chiusura di porte di rete e ripristino dei dati stessi. Inoltre, è preferibile coinvolgere esperti esterni specializzati in Forensic Analysis e OSINT (Open Source Intelligence) per avere più informazioni su chi ha lanciato l’attacco e raccogliere prove digitali. Infine, tutti questi profili tecnici dovranno collaborare a tutte le attività di debriefing al termine dell’incidente informatico;
- Data Protection Consultant: tale figura è indispensabile per gestire e coordinare le incombenze legate al GDPR nelle tempistiche e nei modi richiesti. Ciò è indispensabile per evitare oppure alleggerire le possibili sanzioni delle autorità di controllo sulla privacy;
- Data Protection Officer: il DPO deve necessariamente essere coinvolto in tutte le situazioni di violazione dei dati personali. Infatti, la sua azione principale all’interno dell’IRT è di mantenere i contatti con i committenti dell’intervento e l’autorità garante;
- Professionista in negoziazione nei casi di ransomware: non bisogna mai dimenticare che un attacco ransomware non è altro che un’estorsione con riscatto. Non a caso sta prendendo piede una figura professionale abile nel mantenere i contatti con i cyber criminali per impedire che reazioni avventate da parte dei ricattati conducano a reazioni altrettanto spropositate da parte degli hacker;
- Professionista in cyber crime, diritto penale e normativa AML: se l’unica alternativa per l’azienda è il pagamento del riscatto, è importante agire in conformità con la legge sotto ogni punto di vista, a cominciare dal rispetto delle normative antiriciclaggio (AML);
- Esperto in criptovalute: un professionista del genere dovrà aiutare l’impresa ad eseguire in maniera lecita il pagamento, tenendo sempre costo che pagare un riscatto potrebbe comportare un’accusa di favoreggiamento.
Inserire tutte queste professioni specializzate in un Incident Response Team è di grande importanza per agire tempestivamente in condizioni di emergenza. In aggiunta, un gruppo di lavoro che conosce la struttura attaccata e l’ambiente nel quale agisce sarà molto più efficace di una squadra che interviene ad incidente avvenuto.
Incident Response Team interno o esterno
Formare internamente all’azienda un IRT efficiente e sempre pronto all’azione è certamente la soluzione perfetta, ma non sempre realizzabile per tutte le realtà societarie. Se quindi non è possibile comporre un proprio IRT aziendale, si può decidere di affidare l’incarico ad un’impresa partner che sia in grado di offrire un team già formato.
In alcuni casi si può optare per una via di mezzo. Ovvero si può nominare e formare all’interno della propria struttura un nucleo primario composto da un esperto informatico e un Data Protection Officer che possano svolgere procedure concordate con un team esterno più ampio. Da qui si comprende l’importanza di progettare fasi di simulazione e formazione interna.