Per gestione dell’incidente informatico si intendono tutte le attività di prevenzione, organizzazione e risposta all’incidente informatico. Non si intendono solo le fasi post-incidente ma anche, e soprattutto, le fasi organizzative pre-incidente: preparazione dell’organizzazione e delle procedure, formazione del personale, implementazione di meccanismi atti a ridurre i rischi o renderli innocui il più possibile.

Cosa si intende per incidente informatico?

Per incidente informatico si intende un qualsiasi tipo di “imprevisto” rispetto al normale funzionamento del sistema o dell’infrastruttura informatica quali ad esempio un malfunzionamento – incidentale o accidentale – di tipo hardware o software, un attacco informatico o un abuso di un sistema da parte di un utente che normalmente ha diritto ad utilizzarlo. Gli incidenti informatici, in particolare quelli relativi alla sicurezza, sono definiti e regolati dallo standard RFC 2350.

Il CSIRT, acronimo di Computer Security Incident Response Team, è la squadra di persone precostituita in una fase antecedente l’accadimento dell’incidente che interviene in risposta all’incidente informatico. Come ogni squadra è costituita da persone con competenze diverse che devono lavorare nella stessa direzione per raggiungere l’obiettivo prefissato: ridurre il rischio di incidente informatico e superare nel migliore dei modi le situazioni critiche.

Di seguito si riportano alcuni esempi, tra i più diffusi, di incidenti informatici che coinvolgono le aziende italiane.

Esempi di incidente informatico causato da malware

• Malware: il malware è un software malevolo che danneggia un sistema informatico. Più in dettaglio, esistono vari tipi di malware a seconda del tipo di danno arrecato e del modo di propagarsi.
• Virus: il virus è un tipo di malware progettato per replicarsi infettando altri file del computer, ad esempio un file eseguibile, con lo scopo di attivarsi non appena questo verrà eseguito.
• Worm: il worm è un tipo di malware in grado di autoreplicarsi che a differenza del virus non si diffonde attraverso file o programmi eseguibili e non ha bisogno dell’intervento dell’utente per attivarsi perché sfrutta direttamente le debolezze del sistema operativo di cui è “ospite”.
• Trojan: il trojan è un tipo di malware che infetta un sistema informatico insieme ad un altro software che viene installato in maniera consapevole dall’utilizzatore del sistema: ad esempio, un trojan può essere presente all’interno di un programma gratuito scaricato da internet come un gioco, uno screensaver, un programma di utilità. Il trojan permette all’attaccante di entrare di nascosto nel sistema infettato per poterlo controllare ed eseguire azioni a insaputa del proprietario.
• Ransoware: il ransoware è un tipo di malware che impedisce l’accesso ai dati del proprio sistema sino al pagamento di un riscatto, solitamente richiesto tramite la moneta elettronica bitcoin.
• Cryptolocker: il cryptolocker è un tipo di ransoware che impedisce l’accesso ai dati attraverso la cifratura dei file; il pagamento del riscatto permette dunque la decifratura dei dati “bloccati”.

Altri esempi di incidente informatico

• Accesso non autorizzato: per accesso non autorizzato si intende la possibilità che qualcuno riesca ad effettuare un accesso abusivo a sistema informatico, ovvero ad entrare nel sistema informatico utilizzando una vulnerabilità del sistema, oppure utilizzando un account di un altro utente in maniera abusiva, oppure superando il perimetro delle attività che è autorizzato a eseguire.
• Furto di un sistema informatico o di dati informatici: il furto o lo smarrimento di un sistema informatico è una circostanza che può causare la diffusione di dati riservati che possono essere rilevanti ai fini di attività concorrenziale oppure per ragioni reputazionali.
• Frode informatica: la frode telematica colpisce spesso le aziende piuttosto che i singoli individui. È un delitto previsto e disciplinato dal nostro codice penale (art. 640-ter c.p.). Un esempio pratico e comune di frode informatica è il cosiddetto phishing che consiste nell’invio di normali email (o anche SMSo altre comunicazioni) che si presentano esteticamente molto simili a quelle di siti web autorevoli (governativi, istituzionali, bancarie o di altri enti noti).Tali comunicazione sono finalizzate al recupero di password e altri dati personali dell’utente, annunci di lavoro, offerte di eredità o vendite di auto, pagamento di fatture su coordinate IBAN diverse dalle solite, rinnovo di offerte a tempo limitato, ed altro ancora. L’utente è dunque indotto a cliccare o aprire il link. In questo modo si realizza l’accesso ad un sito Internet graficamente identico (o molto simile) a quello ufficiale: se poi l’utente stesso inserisce anche password e altri potenziali informazioni che possono rivelarsi utili, l’attaccante è riuscito a ingannare la vittima e potrà disporre dei dati in suo possesso.

Come prevenire un incidente informatico?

Rimuovere completamente la possibilità che un incidente informatico possa verificare è l’obiettivo irraggiungibile di chiunque voglia proteggere la propria infrastruttura informatica e i propri dati digitali: infatti, per quanto si tenti di garantire i massimi livelli di sicurezza, i sistemi sono estremamente sofisticati e questa condizione li rende intrinsecamente soggetti a vulnerabilità, pertanto occorre mettere in preventivo che comunque l’incidente prima o possa si può verificare. Non si dimentichi infatti che una delle componenti rilevanti in un incidente informatico è l’uomo.

Pertanto il modo corretto di approcciarsi alla gestione degli incidenti informatici prevede una organizzazione strutturata affinché l’azienda sia pronta a rispondere in maniera rapida ed efficace all’incidente.
L’attività di prevenzione degli incidenti informatici può essere effettuata attraverso una attenta e dettagliata fase preliminare di valutazione del rischio.

La valutazione del rischio informatico avviene ponendosi delle semplici domande, raccogliendo informazioni e alla fine predisponendo misure tecniche e organizzative finalizzate a ridurre il rischio di incidente o a mettere l’azienda in condizione di reagire in tempi estremamente rapidi.

In moltissimi casi infatti le soluzioni da mettere in pratica hanno un costo – organizzativo e tecnico – irrisorio e richiedono solo la necessaria attenzione; spesso addirittura sono delle consuetudini (scorrette) che portano l’azienda ad assumere un atteggiamento dannoso che va quindi corretto.

Alcuni accorgimenti a proposito di incidenti informatici

• Backup: il backup è l’operazione che consente di salvare in maniera sicura i dati informatici dell’azienda in modo tale che, in caso di danneggiamento, furto, smarrimento, cancellazione, o qualsiasi altro evento che ne determini l’alterazione, sia possibile ripristinare i dati in maniera semplice, rapida e corretta, nonché al minor costo possibile.
• Protezione della riservatezza dei sistemi informatici: ci si preoccupa molto delle password, ma quali password vengono impostate? La maggior parte di esse è facilmente aggirabile con tecniche di informatica forense, pertanto occorre prevedere adeguati meccanismi di cifratura che impediscano l’accesso ai sistemi in caso di furto o smarrimento. Inoltre, occorre porre attenzione all’aggiornamento dei sistemi operative e dei software applicative per evitare di lasciare aperte le porte a possibili attacchi informatici dall’esterno.
• Rischi connessi alla navigazione Internet: è importante disciplinare in dettaglio le regole alle quali deve attenersi il personale quando utilizza i browser per la navigazione del web; non tutto deve essere consentito, lasciando la possibilità di accedere solo ai siti web e alle pagine web realmente utili per lo svolgimento dell’attività lavorativa. Per tali ragioni occorre prevedere categorie di siti che possono essere di libera consultazione e categorie di siti che devono essere inibiti, sia a livello di regolarmente che mediante l’applicazione di filtri di natura tecnica all’interno dei sistemi informatici deputati quali ad esempio i firewall. In tal senso, occorre anche valutare l’opportunità di utilizzare soluzioni che consentano di monitorare il traffico di rete per un’eventuale analisi ex-post, mediante registrazione delle sessioni di traffico telematico, naturalmente previa comunicazione ai dipendenti e solo a fini di sicurezza informatica.
• Rischi connessi all’uso della posta elettronica: la scelta del fornitore di posta elettronica rappresenta un primo punto di riflessione. In ambito aziendale è inoltre importante disciplinare l’uso della posta elettronica, informando il personale su cosa è consentito e cosa è vietato: ad esempio, se è permesso oppure no utilizzare la casella di posta elettronica aziendale per scopi personali e se, dall’altra parte, è consentito utilizzare la casella di posta elettronica personale per scopi personali.

Come affrontare un incidente informatico?

L’incidente informatico va affrontato prima che si verifichi, quando si ha il tempo e la tranquillità di formare il personale, studiare le azioni da intraprendere e allo stesso tempo riducendo il rischio che lo stesso si verifichi.

La gestione dell’incidente informatico va sotto il nome di incident response.

L’incident response consiste nel:

• garantire la tempestiva identificazione dell’evento critico;
• garantire la sua eventuale classificazione in “incidente informatico”;
• decidere le conseguenti operazioni da svolgere tempestivamente nel momento in cui l’evento viene segnalato;
• programmare successive attività di investigazione atte a reperire possibili fonti di prova.

Le fasi dell’incident response

In particolare, l’incidente response prevede le seguenti fasi:

• rilevamento: si scopre l’esistenza di un evento critico e dell’incidente informatico;
• identificazione: si individuano gli elementi utili a classificare nel dettaglio il tipo di incidente informatico;
• censimento: si raccolgono i dati relativi all’incidente informatico;
• raccolta prove informatiche: si mettono in atto le tecniche di informatica forense per l’acquisizione forense dei dati informatici utili a provare cosa è accaduto, ovvero cosa è successo, quando, chi ha determinato l’incidente, quali sono stati gli effetti;
• analisi dei dati raccolti: sia per scopi di informatica forense che a fini di riattivazione sicura dei sistemi;
• ripristino dell’incidente: si rimettono in funzione in maniera sicura i sistemi coinvolti dall’incidente;
• valutazione dell’azione: si valuta se la risposta all’incidente è stata adeguata, cosa non ha funzionato e si lavora per ridurre i rischi o migliorare l’approccio all’incidente.

Le fasi di identificazione, raccolta e acquisizione forense dei dati rilevanti devono seguire le prescrizioni dello standard ISO 27037.

Chi contattare per gestire un incidente informatico?

Se l’azienda non ha predisposto un piano di valutazione dei rischi e incident response occorre prendere immediatamente contatto con un consulente tecnico di informatica forense che possa guidare l’azienda nelle prime fasi, per aiutarla nella gestione dell’incidente e per valutare come comportarsi in maniera più strutturata in eventuali situazioni analoghe successive.

Quando invece l’azienda è già strutturata e pronta a intervenire in caso di incidente informatico, senza dubbio occorre rivolgersi al CSIRT, un gruppo di persone dotate di competenze ed abilità specifiche che intervengono in risposta all’incidente.

Il CSIRT svolge un ruolo di parte attiva nelle riorganizzazioni aziendali e nella gestione dei sistemi informative, con il compito di monitorare le vulnerabilità ed i rischi e ricercare soluzioni per migliorarli, producendo la documentazione adeguata per tenere traccia di ciò che è accaduto.

Il CSIRT è altresì il referente in caso di audit o intervento dell’autorità giudiziaria.

In qualsiasi caso si trovi la tua azienda, che si intenda organizzare un piano di incident response o che si debba affrontare un incidente informatico già verificato o in atto, BIT4LAW è in grado di offrire tutta la necessaria assistenza per individuare la soluzione migliore per rendere più sicura la tua azienda, i tuoi dati e la tua reputazione.