Dopo il cyberattacco ai danni della sua infrastruttura IT, il Dipartimento dell’educazione del Cantone di Basilea Città è passato all’offensiva: ha reso noto l’attacco e ha annunciato la pubblicazione di dati riservati nella darknet. Come spiega in questa intervista, il responsabile IT del Dipartimento Thomas Wenk è convinto che questa trasparenza sia la scelta giusta per le organizzazioni.
Text: Andreas Heer, Bilder: Swisscom
1. dicembre 2023
È successo proprio mentre era in corso il passaggio a una nuova architettura di sistema: era l’inizio del 2023 e la vecchia infrastruttura del Dipartimento dell’educazione è stata violata, presumibilmente attraverso un’e-mail di phishing. I criminali sono riusciti a sottrarre oltre 1 Terabyte di dati e hanno minacciato di pubblicarli nella darknet, come poi è successo. A differenza di quanto accade nella maggior parte degli attacchi ransomware, però, i dati non sono stati cifrati.
Il Dipartimento dell’educazione del Cantone di Basilea Città ha scelto di reagire al cyberattacco in un modo quantomeno inusuale: non ha acconsentito a pagare il riscatto e ha reso noto quanto era successo sia ai diretti interessati che al pubblico attraverso i mezzi di comunicazione.
Per gestire le conseguenze del cyberattacco, la cosiddetta incident response, Thomas Wenk si è affidato al team CSIRT di Swisscom. In questa intervista spiega perché ritiene che una comunicazione aperta sia importante e in che modo le sue esperienze pregresse in campo informatico, tra cui la direzione del centro di competenze Servizi d’indagine digitali della polizia comunale di Zurigo, lo hanno aiutato ad affrontare la situazione.
Thomas Wenk spiega i vantaggi di una comunicazione aperta nella incident response
Mi hanno aiutato tantissimo. Parlare la stessa lingua e non doversi sempre spiegare rende tutto più veloce. La comprensione e la fiducia reciproca hanno semplificato enormemente i lavori. Inoltre, nel mio ruolo di interfaccia con la Direzione del Dipartimento dell’educazione ho potuto tradurre le informazioni in un linguaggio comprensibile per il management.
Ci sono poi altri fattori che hanno giocato a mio favore: non mi occupo direttamente della tecnologia e l’attacco ha preso di mira la vecchia infrastruttura che avevamo rilevato tale e quale. Questo mi ha permesso di mantenere la distanza necessaria per affrontare una situazione di questo genere.
Prima di farlo abbiamo soppesato le possibili conseguenze, naturalmente, ma fin da subito avevamo ben chiaro in mente che avremmo informato la popolazione, anche se ammettere un fallimento di fronte a tutti non è stato facile. La cittadinanza del Cantone ha la più che legittima aspettativa di venire informata con trasparenza, soprattutto in un caso come questo.
Le imprese si devono chiedere per quanto tempo vogliono essere ricattabili e vivere nel ruolo di «cash cow», come si dice. A livello personale, certamente capisco le imprese che pagano i riscatti. È una considerazione puramente economica: se ripristinare i dati cifrati costa di più che pagare il riscatto per riaverli, basta fare due conti per decidere cosa fare. Bisogna però considerare che l’azienda finisce automaticamente nel mirino di altri cybercriminali, perché ha dimostrato di essere disposta a pagare. Decidendo di rendere noto il cyberattacco abbiamo rotto questo meccanismo e smesso di essere ricattabili. Prima, naturalmente, abbiamo informato gli uffici interni competenti.
Il calcolo è semplice: quanto è probabile che l’incidente rimanga segreto? E se qualcun altro lo scopre, quanto tempo mi ci vuole per riprendermi? Sono considerazioni che un’impresa deve fare. È del tutto probabile che inizino ad arrivare delle domande già quando, ad esempio, i collaboratori devono improvvisamente cambiare la password. Per questo mi sento di consigliare una comunicazione aperta.
Noi collaboriamo con diversi organi della Confederazione, come ad esempio l’NCSC. Anche lì abbiamo optato per una comunicazione trasparente. Spero che questa scelta possa essere un riferimento per un’altra organizzazione che dovesse trovarsi o venirsi a trovare in una situazione analoga.
Già quando lavoravo alla polizia comunale di Zurigo dicevo sempre che alle persone non piace perdere. Vuol dire allora che dobbiamo imparare a perdere, avere il coraggio di guardare le persone negli occhi e confessare che è capitato anche a noi. Dobbiamo parlare anche degli insuccessi e raccontare cosa ci è capitato, così possiamo evitare che altri finiscano nella stessa trappola. Ecco perché la comunicazione aperta è la scelta giusta anche per le aziende.
Su Thomas Wenk
Nato a Basilea, dall’aprile 2021 Thomas Wenk è a capo della Divisione della digitalizzazione e dell’informatica in seno al Dipartimento dell’educazione del Cantone di Basilea Città. In precedenza si è occupato per diversi anni di analisi forense digitale, cybercriminalità e indagini su internet / darknet dirigendo il team del centro di competenze Servizi d’indagine digitali della polizia comunale di Zurigo. Economista di formazione, già in passato Thomas Wenk aveva ricoperto il ruolo di responsabile IT per i Servizi centrali di informatica del Cantone di Basilea Campagna.