Cybersecurity: l’importanza delle esercitazioni d’emergenza periodiche

Esercitazioni d'emergenza programmate

In un precedente post si è parlato della situazione della cybersecurity italiana da un punto di vista organizzativo/burocratico e delle problematiche che il Paese, gli enti/organi chiamati in causa devono affrontare per tenere il passo delle minacce online: quel che abbiamo tracciato è stato un quadro difficile, con diverse buone idee ma ancora da attuare per arginare il crescente numero di attacchi – l’Italia è entrata infatti nella top 10 degli Stati più colpiti dagli hacker.

Il post di oggi affronta il tema della cybersecurity dal punto di vista delle aziende: che si tratti di una media o grande impresa, con un data center proprietario o no, la cosiddetta “business continuity” dipende anche dall’esecuzione periodica delle esercitazioni di emergenza. L’argomento, molto caro agli esperti di sicurezza, è legato a doppio filo a quello dei piani disaster recovery in quanto pone l’infrastruttura e lo staff d’innanzi a situazioni critiche in cui velocità di risposta ed adeguate policy possono evitare downtime prolungati.

L’errore più comune, afferma l’editorialista di Data Center Knowledge, è quello di relegare le esercitazioni in fondo alla “lista di cose da fare”: se quindi lo staff assegnato sa, in teoria, di poter contare su firewall accuratamente configurati, eventuali infrastrutture di appoggio e procedure cloud failover, non ha la certezza che all’atto pratico tutti gli ingranaggi del piano siano in grado di funzionare correttamente.

E la tecnologia rappresenta solo una parte della battaglia. Durante un [evento critico] le persone vanno nel panico. Le linee di comunicazione saltano. Le persone si dimenticano cosa dovrebbero fare, commettono errori perché sono di fretta o perché semplicemente si nascondono sperando che il problema [si risolva]. I piani d’emergenza divengono rapidamente obsoleti mano a mano che le persone si spostano e l’infrastruttura è riconfigurata.

Ma perché le esercitazioni sono relegate ad un ruolo di secondo piano? Lo si apprende nelle righe successive: in primo luogo è un problema di mentalità. Gli esseri umani non sono molto abili ad effettuare delle accurate stime del rischio, afferma un esperto interpellato dal giornalista: “spesso [siamo soliti pensare che] se non è ancora successo niente di grave, [anche in futuro sarà così]. Ad esempio, se negli ultimi due anni non ci sono state delle falle nella sicurezza, si pensa che la situazione resterà sempre la stessa”.

In secondo luogo, in particolare per i data center più grandi o le aziende con numerosi clienti o le infrastrutture più complesse, le esercitazioni si rivelano impegnative da mettere in atto. Oltre ad essere “stressanti” e, utilizzando una parola alquanto abusata, disruptive per i sistemi aziendali, richiedono tempo e la necessità di avvisare tutti i soggetti interessati – inclusi i clienti, che potrebbero essere interessati dai “disservizi” previsti dal test. Una buona pratica sarebbe quella di essere a conoscenza dei contatti “chiave” e dei piani adottati da ciascun cliente, in modo da poter agevolare i test e la gestione di situazioni critiche “reali”.

Il terzo ed ultimo motivo, correlato al precedente, è “il rischio” di individuare effettivamente qualcosa che non va nell’infrastruttura e di trovarsi davanti a problemi difficili e costosi da risolvere.

Vendor, cloud backup ed altre raccomandazioni

Dalla seconda parte del contributo è possibile isolare una serie di raccomandazioni ed utili osservazioni, nello specifico:

  • partecipazione dei vendor alle esercitazioni (per le aziende più grandi). A tal proposito viene citata Akamai, provider CDN (Content Delivery Network) e soluzioni per la mitigazione di attacchi DDoS, che effettua regolarmente dei “test” di sicurezza con i clienti. E’ importante sottoscrivere dei contratti in cui siano previste delle esercitazioni concordate;
  • Runbook e verifica dei rispettivi incarichi. E’ opportuno aggiornare periodicamente la lista di procedure (runbook) da attuare in caso d’emergenza. Tale pratica, sottolinea Akamai, è complementare a quella delle esercitazioni su larga scala ed ha lo scopo di accertare che ogni dipendente sappia esattamente come comportarsi, oltre ad appurare l’eventuale assenza di elementi chiave come i dati per contattare determinate figure di comando.
    Anche i dirigenti (business executives), che in caso di attacchi etc. finiscono solitamente “sotto i riflettori”, devono essere a conoscenza delle esercitazioni ed imparare ad agire nel migliore dei modi. Nel caso in cui vi siano potenziali rischi per l’immagine dell’azienda il personale legale, quello addetto alle policy ed alle pubbliche relazioni deve essere chiamato in causa ed intervenire d’accordo con il piano d’emergenza.
  • Verifica dei sistemi di backup nel cloud. Tra gli imprevisti più comuni durante delle situazioni critiche, il non corretto funzionamento dei sistemi di backup cloud. Le aziende dovrebbero sempre verificarne il corretto funzionamento (quale migliore circostanza delle esercitazioni?). Scoprire nel momento del bisogno che il meccanismo si è inceppato, magari a causa di un ransomware che ha raggiunto i backup e cancellato tutti i dati, è il peggiore scenario in cui ci si potrebbe trovare. Il tutto è aggravato dall’indisponibilità di grandi cloud provider (AWS, Microsoft etc.) nell’effettuare, insieme al cliente, delle periodiche esercitazioni – in realtà è possibile ma solo se si figura nella prestigiosa Fortune 500.
  • Data breach, ransomware ma non solo. La resistenza dell’infrastruttura agli attacchi DDoS è solo uno dei test che le aziende dovrebbero effettuare. La risposta ad un data breach, soprattutto all’indomani del GDPR, o ad un attacco ransomware, sempre più frequenti, deve essere ugualmente messa alla prova. Tra le altre problematiche da considerare: la rottura di apparecchiature ed hardware, dai server fino ai router senza dimenticare i sistemi di refrigerazione e gli impianti elettrici.

Fonte: 1