In questi giorni 8,5 milioni di dispositivi Microsoft in tutto il mondo, a seguito di arresti anomali, provocano importanti interruzioni nei maggiori sistemi informatici mondiali, il tutto dipeso da un malfunzionamento a seguito di un aggiornamento difettoso del software di cybersicurezza Falcon Sensor (progettato al fine di prevenire attacchi informatici), rilasciato da Crowdstrike eseguito senza testing.
L’episodio potrebbe aver determinato una violazione dei dati personali compromettendo la disponibilità per perdita accidentale dell’accesso.
La protezione
Cosa fare per prevenire o affrontare simili problematiche? L’art.32 GDPR prevede che si debbano mettere in atto misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Tra queste misure occorre certamente prevedere la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, nonché una procedura per testare, verificare e valutare regolarmente l’efficacia delle suddette misure.
Di sicuro è difficile prevedere come e quando un tale evento (1°volta nella storia moderna) possa accadere, ma altrettanto sicuro sarà invece il cambiamento epocale che ne scaturirà: perché in un’epoca di forte migrazione dei dati verso “contenitori” più sicuri –il cloud– forse l’unico rimedio che avrebbe evitato un simile blackout sarebbe stato proprio avere una propria infrastruttura pronta a ripartire.
I più esperti parlerebbero di “Business Continuity” o “Disaster Recovery”, ma forse per le PMI sarebbe bastata un’infrastruttura interna muletto.
L’ipotesi
Ma il tutto è stato veramente scaturito da un aggiornamento rilasciato e non verificato? O possiamo parlare di attacco hacker? Se pensiamo ad un attacco criminale con l’intento di sabotare o esfiltrare dati, è plausibile ritenere che la probabilità sia pari a zero –i sistemi in blackout non ripartivano, quindi difficilmente erano attaccabili– ma se invece pensiamo che un tale evento “accidentale” possa generare un danno reputazionale ed economico, allora l’evento potrebbe essere anche ricausato per generare perdite economiche, reputazionali o anche di semplice blocco al solo fine ricattatorio. il Garante per la protezione dei dati personali si è attivato per accertamenti.
Cosa fare quindi? Indubbiamente al fine di rafforzare la sicurezza informatica, le aziende e i singoli dovrebbero, così come previsto da normative italiane ed europee predisporre dei piani di risposta agli incidenti – incident response – basato su un approccio organizzato e strategico per rilevare e gestire gli attacchi informatici così da ridurre al minimo danni, tempi di ripristino e i costi totali, prevedendo inoltre una formazione personalizzata sulla sicurezza informatica e sulle possibili conseguenze, il tutto garantirebbe un maggiore coinvolgimento, il miglioramento della conservazione delle conoscenze e la maggiore adattabilità consentendo l’identificazione e la risposta ai potenziali rischi per la sicurezza.
Ernesto Barbone
Cybersecurity Manager