La tua piccola impresa sta andando bene. Speri che il periodo natalizio di quest’anno sia un successone. L’anno scorso, il COVID ha quasi distrutto l’attività. Quest’anno dovrebbe essere diverso: le previsioni sembrano buone.
Questi imprenditori stanno per avere diversi giorni difficili e almeno una decisione difficile da prendere. La loro attività sta subendo un attacco ransomware. I loro dipendenti non sono in grado di lavorare. I clienti chiamano perché il sito web dell’azienda non funziona. Non hanno idea di cosa fare ora. È un casino.
I media tecnologici e gli esperti di marketing hanno tutti i tipi di soluzioni, la maggior parte delle quali sono troppo costose per i proprietari di piccole imprese con budget limitati. Preferiscono scommettere sull’essere lasciati soli dai cyber criminali. Tuttavia, questo finisce per essere un problema se l’azienda viene presa di mira da un attacco informatico. Chi fa cosa e quando?
Non pianificare significa fallire
Ogni azienda ha un business plan. Jim Bowers, architetto della sicurezza presso TBI, ritiene che anche la più piccola delle aziende dovrebbe avere un piano di risposta agli incidenti di sicurezza informatica, progettato per aiutare coloro che rispondono a un evento di sicurezza informatica in modo significativo.
Bowers comprende che i proprietari di piccole imprese potrebbero essere restii a creare autonomamente un documento e un processo che potrebbero creare o distruggere la loro azienda. Per aiutare a placare le loro paure, Bowers ha creato il seguente schema come punto di partenza per la creazione di un piano di risposta agli incidenti specifico dell’azienda. Bowers divide il contorno in tre periodi di tempo: la prima ora, il primo giorno e una volta che la polvere si sarà depositata.
Nella prima ora: limitare e isolare la violazione
Dopo aver scoperto che c’è stato un attacco informatico, il primo passo è contenere la minaccia, anche se ciò significa mettere tutto offline. Il passaggio successivo consiste nell’individuare il danno, determinare quali sistemi erano coinvolti e identificare se i dati sono stati compromessi. Ciò garantisce che la situazione non vada fuori controllo.
I passaggi precedenti potrebbero richiedere la chiamata di esperti che hanno già familiarità con l’infrastruttura digitale e le risorse aziendali dell’azienda, quindi è essenziale disporre delle loro informazioni di contatto. Con questo in mente, non utilizzare i metodi di comunicazione tradizionali: l’attaccante potrebbe intercettare le conversazioni (e-mail o voce digitale). Bowers ha dichiarato: “L’attaccante vuole propagarsi attraverso l’infrastruttura dell’azienda, quindi il traffico digitale deve essere reindirizzato per impedire che l’attacco si diffonda”.
Se la violazione coinvolge ransomware, Bowers ha suggerito di non pagare. “Non vi è alcuna garanzia che i criminali informatici restituiranno l’accesso ai dati sequestrati se vengono pagati”, ha affermato. “E, se i criminali informatici ricevono il pagamento, non c’è alcuna garanzia che non ci riproveranno”.
Nel primo giorno: Documentare e lavorare sul recupero
Una violazione non si ferma una volta che è stata mitigata. Gli attaccanti sperano che sia così, poiché tendono a lasciare backdoor semplificando il loro ritorno. Bowers ha detto: “Dai una priorità alta determinare il punto di ingresso dell’attaccante e lavorare per colmare quel divario e altri potenziali punti di ingresso”.
L’elenco seguente include suggerimenti da realizzare entro le prime 24 ore dall’incidente di sicurezza informatica:
- I responsabili IT dovrebbero eseguire il debriefing e lavorare per rimuovere tutte le tracce note dell’attacco ed eseguire un esame a livello di sistema per ulteriori punti deboli relativi all’attacco informatico.
- Coinvolgi le parti interne (team di marketing, legali e di pubbliche relazioni) e le parti esterne (forze dell’ordine e agenzie governative) che devono conoscere o soddisfare le normative governative richieste.
- Una volta che i team interni hanno la possibilità di comunicare e elaborare una strategia, i clienti devono essere informati.
- È fondamentale documentare tutte le informazioni sull’attacco: cosa ha funzionato e cosa non ha aiutato quando si è tentato di fermare l’attacco. Queste informazioni dovrebbero quindi essere utilizzate per correggere e migliorare il piano di risposta agli incidenti.
Una volta che la polvere si è depositata: impara da essa
Una volta che la polvere si è calmata e l’attività è tornata online, dovrebbe essere intrapreso un audit onnicomprensivo, incluso un test di penetrazione. Bowers ha affermato che questo è importante, quindi il piano di risposta agli incidenti può essere aggiornato per aiutare le parti responsabili a imparare come reagire più rapidamente. Il costo sostenuto sarà inferiore rispetto a dover subire un altro attacco informatico.
È anche importante testare regolarmente il piano di risposta agli incidenti. L’infrastruttura e i processi digitali possono cambiare e i test faranno luce su nuovi punti deboli come le informazioni di contatto che non sono più valide.
Ottieni maggiori dettagli per il tuo piano
Bowers è consapevole che il contorno è solo un punto di partenza, ma fa girare la palla prima che accada l’indicibile. Per un piano di risposta agli incidenti più dettagliato, consulta il National Institute of Standards and Testing’s Cybersecurity Framework .