Comunicazione nella incident response

«Dopo un attacco ransomware, consiglio una comunicazione aperta»

Dopo il cyberattacco ai danni della sua infrastruttura IT, il Dipartimento dell’educazione del Cantone di Basilea Città è passato all’offensiva: ha reso noto l’attacco e ha annunciato la pubblicazione di dati riservati nella darknet. Come spiega in questa intervista, il responsabile IT del Dipartimento Thomas Wenk è convinto che questa trasparenza sia la scelta giusta per le organizzazioni.

Text: Andreas Heer, Bilder: Swisscom
1. dicembre 2023

Erfahren Sie im Whitepaper mehr über Ransomware-Angriffe und wie sich Unternehmen davor schützen können.

È successo proprio mentre era in corso il passaggio a una nuova architettura di sistema: era l’inizio del 2023 e la vecchia infrastruttura del Dipartimento dell’educazione è stata violata, presumibilmente attraverso un’e-mail di phishing. I criminali sono riusciti a sottrarre oltre 1 Terabyte di dati e hanno minacciato di pubblicarli nella darknet, come poi è successo. A differenza di quanto accade nella maggior parte degli attacchi ransomware, però, i dati non sono stati cifrati.

Il Dipartimento dell’educazione del Cantone di Basilea Città ha scelto di reagire al cyberattacco in un modo quantomeno inusuale: non ha acconsentito a pagare il riscatto e ha reso noto quanto era successo sia ai diretti interessati che al pubblico attraverso i mezzi di comunicazione.

Per gestire le conseguenze del cyberattacco, la cosiddetta incident response, Thomas Wenk si è affidato al team CSIRT di Swisscom. In questa intervista spiega perché ritiene che una comunicazione aperta sia importante e in che modo le sue esperienze pregresse in campo informatico, tra cui la direzione del centro di competenze Servizi d’indagine digitali della polizia comunale di Zurigo, lo hanno aiutato ad affrontare la situazione.

Thomas Wenk erklärt den Nutzen einer offenen Kommunikation in der Incident Response

Thomas Wenk spiega i vantaggi di una comunicazione aperta nella incident response

Thomas Wenk, che ruolo hanno avuto il suo passato nell’IT e le sue esperienze con la cybersicurezza nell’attuale incident response?

Mi hanno aiutato tantissimo. Parlare la stessa lingua e non doversi sempre spiegare rende tutto più veloce. La comprensione e la fiducia reciproca hanno semplificato enormemente i lavori. Inoltre, nel mio ruolo di interfaccia con la Direzione del Dipartimento dell’educazione ho potuto tradurre le informazioni in un linguaggio comprensibile per il management.

Ci sono poi altri fattori che hanno giocato a mio favore: non mi occupo direttamente della tecnologia e l’attacco ha preso di mira la vecchia infrastruttura che avevamo rilevato tale e quale. Questo mi ha permesso di mantenere la distanza necessaria per affrontare una situazione di questo genere.

Oltre a comunicare con il management, lei ha anche reso noto l’incidente al pubblico. Come mai?

Prima di farlo abbiamo soppesato le possibili conseguenze, naturalmente, ma fin da subito avevamo ben chiaro in mente che avremmo informato la popolazione, anche se ammettere un fallimento di fronte a tutti non è stato facile. La cittadinanza del Cantone ha la più che legittima aspettativa di venire informata con trasparenza, soprattutto in un caso come questo.

Lei rappresenta un’istituzione pubblica. Rendere noti questi episodi dovrebbe quindi essere più facile che in un’impresa privata, esposta a conseguenze potenzialmente molto gravi a causa della perdita di reputazione. Cosa ne pensa?

Le imprese si devono chiedere per quanto tempo vogliono essere ricattabili e vivere nel ruolo di «cash cow», come si dice. A livello personale, certamente capisco le imprese che pagano i riscatti. È una considerazione puramente economica: se ripristinare i dati cifrati costa di più che pagare il riscatto per riaverli, basta fare due conti per decidere cosa fare. Bisogna però considerare che l’azienda finisce automaticamente nel mirino di altri cybercriminali, perché ha dimostrato di essere disposta a pagare. Decidendo di rendere noto il cyberattacco abbiamo rotto questo meccanismo e smesso di essere ricattabili. Prima, naturalmente, abbiamo informato gli uffici interni competenti.

Molte imprese, soprattutto in settori sensibili, sembrano però ritenere che i rischi di una comunicazione aperta e la perdita di reputazione che comporterebbe siano troppo grandi.

Il calcolo è semplice: quanto è probabile che l’incidente rimanga segreto? E se qualcun altro lo scopre, quanto tempo mi ci vuole per riprendermi? Sono considerazioni che un’impresa deve fare. È del tutto probabile che inizino ad arrivare delle domande già quando, ad esempio, i collaboratori devono improvvisamente cambiare la password. Per questo mi sento di consigliare una comunicazione aperta.

La cybersicurezza è anche un lavoro di squadra, perché le imprese dipendono dalle informazioni sui criminali fornite da altre organizzazioni. Una comunicazione aperta dopo un incidente può favorire questo gioco di squadra, e in che modo?

Noi collaboriamo con diversi organi della Confederazione, come ad esempio l’NCSC. Anche lì abbiamo optato per una comunicazione trasparente. Spero che questa scelta possa essere un riferimento per un’altra organizzazione che dovesse trovarsi o venirsi a trovare in una situazione analoga.

Già quando lavoravo alla polizia comunale di Zurigo dicevo sempre che alle persone non piace perdere. Vuol dire allora che dobbiamo imparare a perdere, avere il coraggio di guardare le persone negli occhi e confessare che è capitato anche a noi. Dobbiamo parlare anche degli insuccessi e raccontare cosa ci è capitato, così possiamo evitare che altri finiscano nella stessa trappola. Ecco perché la comunicazione aperta è la scelta giusta anche per le aziende.

Su Thomas Wenk

Nato a Basilea, dall’aprile 2021 Thomas Wenk è a capo della Divisione della digitalizzazione e dell’informatica in seno al Dipartimento dell’educazione del Cantone di Basilea Città. In precedenza si è occupato per diversi anni di analisi forense digitale, cybercriminalità e indagini su internet / darknet dirigendo il team del centro di competenze Servizi d’indagine digitali della polizia comunale di Zurigo. Economista di formazione, già in passato Thomas Wenk aveva ricoperto il ruolo di responsabile IT per i Servizi centrali di informatica del Cantone di Basilea Campagna.

Volete saperne di più?