Periodico delle Tecnologie dell'Informazione e della
Comunicazione per l'Istruzione e la Formazione
A+ A A-

Attacco informatico: come prevenire e quali procedure seguire

Smartphone, computer, sportelli bancari… siamo circondati dalla tecnologia ed in ogni istante una notevole quantità di informazioni (nostre!) viene scambiata in rete. La comodità di essere sincronizzati con più dispositivi e con più servizi apre un buco nero sulla sicurezza dei dati e della rete stessa. Ciò che un tempo è stato uno scenario da film di fantascienza è divenuto realtà: migliaia di aziende sono state colpite - in modo più o meno grave - da attacchi informatici. Per combattere la piaga dei cybercriminali si è resa necessaria l’istituzione di un CSIRT (Computer Security Incidente Response Team) predisposto ad intervenire in caso di attacco e/o di emergenza informatica. All’interno del team si trovano diverse competenze specifiche:

  • Gestionali, con mansioni decisionali e di gestione della crisi;
  • ICT, esperti in amministrazione e analisi della rete;
  • Sicurezza, per gestire la sicurezza fisica e virtuale delle infrastrutture informatiche;
  • Giuridiche, per gestire la crisi dal punto di vista legale e normativo;
  • Pubbliche relazioni, per comunicare in modo appropriato ai responsabili, alla stampa ed ai clienti.

L’istituzione di un team di sicurezza informatica è una necessità pressoché fondamentale per ogni azienda; è chiaro che l’investimento sul gruppo di emergenza non sarà uguale per ogni azienda ma varierà a seconda dell’esposizione aziendale e della criticità dei dati.

Il modello ISO / IEC 27035 è lo standard che delinea le regole del processo di gestione dei rischi informatici e prevede cinque fasi fondamentali:

  1. Preparazione per la gestione degli incidenti;
  2. Identificazione attraverso il monitoraggio e la segnalazione;
  3. Valutazione per determinare come attenuare il rischio;
  4. Risposta all’incidente (contenendo, mitigando o risolvendo il problema);
  5. Apprendimento da documentare per risolvere problemi futuri.

La preparazione

Un incidente informatico può essere causato da un malfunzionamento HW/SW accidentale o da un attacco informatico. In ogni caso, per far fronte efficacemente all’incidente è necessario creare un piano operativo di emergenza prima della crisi e non mentre questa è in atto. Inoltre è fondamentale che il team sia costantemente aggiornato sulle procedure da seguire. Occorre implementare un protocollo di gestione che:

  • Identifichi le risorse da preservare, le vulnerabilità e le potenziali minacce;
  • Individui i livelli di allerta in base alla gravità dell’incidente;
  • Individui la priorità delle azioni da intraprendere per il ripristino;
  • Censisca l’architettura di rete, le attrezzature, i servizi, gli accessi autorizzati del personale;
  • Pianifichi una strategia di comunicazione;
  • Cataloghi le tipologie di incidente;
  • Individui le metodologie di identificazione.

L’identificazione

Per proteggere la rete aziendale è necessario monitorare tutti i dispositivi connessi nella rete stessa (antivirus, firewall, ecc.) ma, per una protezione completa, è necessario rendere consapevole ogni singolo dipendente sul ruolo che può avere nella fase di rilevazione del problema.

La valutazione

Dopo aver individuato l’incidente è fondamentale recuperare quante più informazioni possibili (attraverso l’esaminazione dei file di log, dei registri di sistema, dei registri di audit, ecc.) per poter valutare quanto meglio possibile la gravità ed il danno provocati dall’incidente. Questa fase è molto importante per studiare e capire quale sia la strategia migliore da intraprendere per impedire la propagazione della minaccia a tutto il sistema e, allo stesso tempo, cercare di ripristinare le sezioni coinvolte.

La risposta e l’apprendimento

Terminata la fase di valutazione e con la certezza di avere la situazione sotto controllo, è necessario rimuovere tutti i codici e i dati nocivi lasciati dall’attaccante e risanare le vulnerabilità. Al termine dell’intervento le operazioni dovranno essere documentate per fornire un precedente storico, utile per l’apprendimento.

In conclusione, è risaputo che è impossibile garantire la totale sicurezza dagli incidenti informatici (accidentali o voluti) ma muovendosi adeguatamente si può cercare di attenuare l’impatto sull’intero sistema, assicurando una certa continuità operativa.

 

Davide Sorrentino

 

 

Bibliografia

  • Cirini - La Sicurezza Informatica. Tra informatica, matematica e diritto
  • Perri - Privacy, diritto e sicurezza informatica
  • Meggiato - Piccolo manuale della sicurezza informatica
  • Languasco, A. Zaccagnini - Introduzione alla crittografia: algoritmi, protocolli, sicurezza informatica

 

0
0
0
s2sdefault

Argomento