Gestire la comunicazione prima, dopo e durante un attacco informatico

Le brutte notizie non aspettano che tu sia preparato. I problemi di sicurezza informatica minacciano costantemente i dati e le reti di aziende e privati. Le aziende dovrebbero attrezzarsi per gestire ogni aspetto di una possibile crisi cyber—tecnologico, di compliance, di comunicazione—attraverso procedure specifiche, playbook, comunicati stampa e simulazioni, per garantire la capacità di limitare i danni.

La gestione degli incidenti, infatti, gioca un ruolo fondamentale nella difesa aziendale e si focalizza sull’identificazione, risposta e mitigazione di eventi indesiderati. Un processo ben strutturato inizia con una preparazione accurata, che include la creazione di piani dettagliati e l’assegnazione di ruoli e responsabilità chiari. Rilevare tempestivamente gli incidenti, grazie a sistemi di monitoraggio avanzati, è fondamentale per individuare comportamenti sospetti e rispondere rapidamente, limitando i danni e ristabilendo la normalità. Segue poi un’indagine approfondita per comprendere cause e impatti, alimentando un ciclo di apprendimento costante.

La comunicazione durante tutto il processo di gestione di un incident gioca un ruolo chiave e richiede la trasparenza con dipendenti, clienti e autorità regolatorie. In questo articolo vediamo come gestire la comunicazione prima, dopo e durante un incidente informatico e quali sono le normative che regolano gli obblighi di comunicazione in Italia.

Prima di un Incidente Informatico: Preparazione e Pianificazione

La gestione della comunicazione prima di un incidente informatico è fondamentale per mitigare i danni reputazionali e garantire una risposta efficace.

1. La prima fase è la creazione di un Incident Response Plan, che includa anche un piano di comunicazione di crisi. Questo piano deve essere regolarmente testato, aggiornato e migliorato attraverso esercitazioni e lezioni apprese.

> Scopri il corso di Incident Response

2. La seconda fase è la creazione di un team di risposta agli incidenti (CSIRT o CERT): questo team deve essere formato per gestire operativamente le crisi informatiche. Accanto a questo, deve essere istituito un team di comunicazione di crisi, composto da membri di diverse funzioni aziendali. Il team di comunicazione avrà il compito di:

  • Definire chiaramente ruoli e responsabilità.
  • Formare i responsabili decisionali e il consiglio di amministrazione sulle migliori pratiche di comunicazione in caso di crisi.
  • Sviluppare modelli di comunicazione per diversi tipi di incidenti.
  • Esercitarsi regolarmente nella gestione di scenari di crisi.

3. Il crisis communication plan, dovrebbe includere accordi con esperti di sicurezza di terze parti e/o società di pubbliche relazioni e deve incorporare considerazioni sulla messaggistica interna ed esterna. Questo messaggio deve essere condiviso e coerente, in sintonia con il pubblico e allineato agli obiettivi di comunicazione. Inoltre, devono essere identificati i pubblici di destinazione, poiché il contenuto, il mezzo e il livello di dettaglio della comunicazione varieranno in base a chi si intende raggiungere.

4. Meccanismi di comunicazione: devono essere definiti i mezzi più appropriati per trasmettere la comunicazione, considerando che i metodi tradizionali potrebbero non essere sempre adeguati per ogni situazione.
5. Gestione dei media: i media svolgono un ruolo significativo nella percezione pubblica di un incidente informatico. È essenziale:

  • Stabilire una strategia proattiva per i media
  • Identificare un portavoce ufficiale responsabile della comunicazione.
  • Preparare dichiarazioni predefinite per diversi scenari di incidenti.
  • Essere trasparenti e tempestivi nel fornire informazioni accurate ai media, al fine di evitare la diffusione di voci o speculazioni.

Infine, è importante comunicare le misure di sicurezza adottate agli stakeholder, clienti e partner, per dimostrare l’impegno dell’azienda nella protezione dei dati e nella sicurezza informatica. La condivisione di informazioni sulle minacce e vulnerabilità può contribuire a migliorare la sicurezza collettiva.

Comunicare Durante una Crisi Informatica: Trasparenza, Tempestività e Accuratezza

La gestione della comunicazione durante un incidente informatico è cruciale per mitigare i danni, mantenere la fiducia degli stakeholder e supportare il processo di ripristino.

Divulgazione dell’incidente

Le leggi e le regolamentazioni a livello nazionale ed europeo spesso stabiliscono i requisiti di divulgazione e le informazioni minime da includere nella comunicazione di un incidente. In Italia, la normativa di riferimento include il GDPR, il DDL sulla cybersicurezza e la direttiva NIS 2. Nei paragrafi successivi esploreremo le differenze negli obblighi di comunicazione previsti da ciascuna di queste normative.

Scegliere il Momento della Divulgazione
  • Tempestività: È generalmente consigliato comunicare l’incidente il prima possibile. Questo approccio aiuta a rassicurare gli stakeholder e consente all’organizzazione di influenzare l’opinione pubblica sin dalle prime fasi della crisi, evitando che l’informazione venga distorta da fonti esterne.
  • Accuratezza: la tempestività deve essere accompagnata dalla precisione delle informazioni. In alcuni casi, può essere utile sovrastimare inizialmente l’impatto per garantire una comunicazione rapida, pur mantenendo un margine di correzione successiva.
Selezionare i Canali di Comunicazione
  • Multicanalità: Utilizzare una varietà di canali, tra cui email, sito web, social media, media tradizionali e posta ordinaria.
  • Messaggio dal CEO: Il messaggio dovrebbe essere comunicato dal CEO o da una figura apicale per confermare la serietà dell’organizzazione nella gestione dell’incidente.
Definire il Messaggio

Il contenuto del messaggio deve seguire i principi di trasparenza, onestà e responsabilità.

  • Trasparenza: spiegare chiaramente le circostanze dell’incidente, le misure adottate per contenerlo e i passi futuri per migliorare la sicurezza.
  • Assunzione di responsabilità: riconoscere eventuali errori commessi dall’azienda può contribuire a ristabilire la fiducia
  • Empatia e supporto: dimostrare comprensione per le preoccupazioni degli interessati e fornire informazioni su come ottenere assistenza.
  • Gestione delle aspettative: essere realistici sui tempi di ripristino e sulle possibili conseguenze a lungo termine.
Prepararsi alla Reazione

Una volta che la comunicazione è stata inviata, è necessario monitorare la reazione del pubblico:

  • Monitorare i social media: tenere sotto controllo le reazioni sui social media per rispondere prontamente a domande e preoccupazioni.
  • Gestire le richieste dei media: fornire risposte rapide e coerenti alle richieste di informazioni da parte dei media, assicurando in questo modo l’uniformità del messaggio.
  • Contrastare altre minacce: implementare misure per prevenire eventuali tentativi di phishing e truffe che potrebbero sfruttare la vulnerabilità percepita.

Gestire la Comunicazione Dopo un Incidente Informatico: Riparare la Reputazione e Imparare dall’Esperienza

Riparare la Reputazione

Un incidente informatico può compromettere gravemente la reputazione dell’organizzazione, influenzando clienti, partner e investitori. Per ristabilire la fiducia, la comunicazione post-incidente deve focalizzarsi su alcuni aspetti chiave:

  • Evidenziare le azioni correttive: comunicare chiaramente le misure adottate per contenere l’incidente, mitigare i danni e rafforzare la sicurezza dimostra l’impegno dell’organizzazione nel proteggere gli interessi degli stakeholder.
  • Mantenere la trasparenza: fornire aggiornamenti regolari e onesti, anche se le informazioni sono incomplete, aiuta a preservare la fiducia.
Imparare dall’Esperienza

Un incidente informatico può essere un’opportunità per l’apprendimento organizzativo, e l’integrazione tra gestione della sicurezza (ISM) e risposta agli incidenti (IR) è cruciale per sfruttare al meglio questa occasione:

  • Analisi post-incidente: È importante condurre un’analisi approfondita per individuare le cause dell’incidente, le vulnerabilità sfruttate e le inefficienze nella risposta.
  • Miglioramento continuo: Le lezioni apprese devono essere utilizzate per aggiornare le politiche di sicurezza, i processi di risposta e le misure di controllo, migliorando la resilienza organizzativa.
  • Formazione e sensibilizzazione: Rafforzare la formazione del personale sulle best practice di sicurezza e sulla gestione degli incidenti aumenta la consapevolezza e la capacità di risposta dell’organizzazione, riducendo i rischi futuri.

> Leggi anche: “Business Continuity, Disaster Recovery e Incident Response: una strategia unificata”

La comunicazione post-incidente deve essere integrata in un processo di apprendimento organizzativo continuo. L’obiettivo è trasformare un evento negativo in un’opportunità per rafforzare la sicurezza, la resilienza e la reputazione dell’organizzazione. Un approccio integrato e trasparente contribuisce non solo a riparare la fiducia degli stakeholder, ma anche a costruire una cultura aziendale più robusta e preparata a gestire futuri incidenti.

Obblighi e contenuti di comunicazione in Italia

In Italia, l’obbligo di comunicare un incidente informatico è regolato dal GDPR, dalla direttiva europea NIS 2 e dal decreto legge sulla cybersicurezza. Queste normative mirano a garantire una risposta tempestiva agli incidenti informatici e la protezione di dati personali, servizi essenziali e infrastrutture critiche. Inoltre, promuovono la cooperazione a livello nazionale e internazionale per mitigare l’impatto degli attacchi e ripristinare la continuità dei servizi.

Violazione dei dati personali (GDPR)

Le aziende che trattano dati personali devono notificare l’incidente all’Autorità Garante per la Protezione dei Dati Personali entro 72 ore, se possibile. Se la violazione presenta un rischio elevato per gli interessati, è necessario informare anche gli interessati stessi. L’Autorità Garante per la Protezione dei Dati Personali Supervisiona la protezione dei dati personali e gestisce le notifiche di violazioni.

La notifica della violazione dei dati personali deve includere:

  • Natura della violazione (quali dati sono stati compromessi).
  • Numero approssimativo di interessati coinvolti.
  • Dati di contatto del Data Protection Officer (DPO) o di un punto di contatto.
  • Conseguenze probabili dell’incidente.
  • Misure adottate o proposte per mitigare i danni.

> Scopri anche il corso in e-learning Privacy & GDPR

Incidenti che influenzano i servizi essenziali (Direttiva NIS)

Gli operatori di servizi essenziali e i fornitori di servizi digitali devono notificare un allarme preventivo al CSIRT o all’autorità nazionale competente entro 24 ore, in base alla gravità dell’incidente e al suo impatto sui servizi. Questi enti sono incaricati di coordinare la risposta agli incidenti di sicurezza per gli operatori di servizi essenziali.

La notifica dell’incidente deve includere:

  • Descrizione dell’incidente e del suo impatto.
  • Misure di mitigazione già adottate o pianificate.
  • Impatto sui servizi e durata prevista dell’interruzione.

> Leggi anche: “NIS 2: per chi è obbligatoria e quali sono i requisiti per le aziende”

Incidenti su infrastrutture critiche (DDL Cybersicurezza)

Gli operatori di infrastrutture critiche devono notificare gli incidenti che minacciano la continuità o la sicurezza dei servizi al Centro di Valutazione e Certificazione Nazionale (CVCN) o all’ACN (Agenzia per la Cybersicurezza Nazionale), che gestiscono e coordinano la sicurezza delle infrastrutture critiche italiane, con competenze specifiche su telecomunicazioni, energia, difesa e altre aree strategiche.

La notifica deve includere:

  • Descrizione dettagliata dell’incidente (tipo di attacco, dati compromessi, sistemi colpiti).
  • Conseguenze per la continuità del servizio e per la sicurezza nazionale.
  • Tempistiche previste per il ripristino e misure adottate o pianificate.
  • Implicazioni transfrontaliere e segnalazioni a livello internazionale.

> Leggi anche: “Il nuovo DDL Cybersicurezza”

La gestione della comunicazione di un incidente informatico è una sfida complessa, che richiede competenze tecniche, strategiche e una forte attenzione alla trasparenza e all’accuratezza delle informazioni. Guardando al futuro, la crescente sofisticazione degli attacchi e la rapidità con cui si diffondono le informazioni richiederanno alle organizzazioni di migliorare ulteriormente i loro piani di risposta.
La formazione continua del personale e l’adozione di tecnologie avanzate, come l’intelligenza artificiale per il monitoraggio delle minacce, saranno elementi chiave per affrontare queste sfide.
Al contempo, le normative saranno continuamente aggiornate, per aiutare alle aziende a dare un maggiore rigore alla comunicazione e alla collaborazione con le autorità. Mantenere la fiducia degli stakeholder e preservare la reputazione aziendale diventerà ancora più difficile, ma anche più critico, per assicurare la resilienza e la sostenibilità a lungo termine.

Fonti:

Ahmad, A., Desouza, K. C., Maynard, S. B., Naseer, H., & Baskerville, R. L. (2020). How integration of cyber security management and incident response enables organizational learning. Journal of the Association for Information Science and Technology71(8), 939-953.

Ahmad, A., Maynard, S. B., Desouza, K. C., Kotsias, J., Whitty, M. T., & Baskerville, R. L. (2021). How can organizations develop situation awareness for incident response: A case study of management practice. Computers & Security101, 102122.

Knight, R., & Nurse, J. R. (2020). A framework for effective corporate communication after cyber security incidents. Computers & Security99, 102036.

Manley, B., & McIntire, D. (2020). A Guide to Effective Incident Management Communications.

Morgus, R., Skierka, I., Hohmann, M., & Maurer, T. (2022). National CSIRTs and their role in computer security incident response. New America.

Schlette, D., Caselli, M., & Pernul, G. (2021). A comparative study on cyber threat intelligence: The security incident response perspective. IEEE Communications Surveys & Tutorials23(4), 2525-2556.