Ogni giorno una nuova vittima. E non parliamo di mortalità sul lavoro (che cresce a dispetto delle mille disposizioni di legge, dei tanti adempimenti, dei corsi di formazione….) né di infortunistica stradale. Siamo di fronte a computer e reti di trasmissione dati e ci accorgiamo continuamente che da qualche parte c’è stato un problema e qualcuno è stato messo KO dal solito pirata informatico.
In tempi recenti all’origine di tanti guai c’è il sempre più frequente “ransomware” che – pur non rappresentando una novità – mette in crisi aziende ed enti e fa sprofondare nella disperazione chi se ne deve occupare.
Il vero problema è capire da che parte cominciare. Quando ci si ritrova dopo un incidente informatico non basta la ferrea volontà di rialzarsi. In ginocchio, al pari dei feriti in un sinistro automobilistico, non si deve avere urgenza di rimettersi in piedi anche se – è ovvio – è indispensabile non perdere nemmeno un minuto.
In parole povere, non ci si deve preoccupare di rialzarsi ma di farlo in maniera corretta evitando ripercussioni “ortopediche”: in certi casi la confusione e la paura alzano ancor più la tensione che già è comprensibilmente a livelli stellari – e quindi è necessario aver ben chiaro cosa si debba fare in una situazione di emergenza.
Il guaio maggiormente ricorrente è senza dubbio quello della indebita cifratura di archivi e documenti che sono alla base dei processi decisionali. La sopravvenuta illeggibilità dei dati è la tragica conseguenza del ransomware, il sempre più diffuso strumento con cui gli hacker rendono la vita impossibile alle proprie vittime che – private delle informazioni su cui e con cui lavorare – si ritrovano letteralmente paralizzate.
La tecnica in questione è di facile attuazione ed esistono veri e propri “kit” per confezionare a livello domestico delle micidiali armi di distruzione digitale. Nonostante sia (o dovrebbe essere) noto a tutti lo specifico rischio, quotidianamente si legge di qualche organizzazione, azienda o ente pubblico che sono stati trafitti dal fin troppo prevedibile e ricorrente dardo avvelenato.
Non è certo faccenda liquidabile in poche righe, ma qualche indicazione di massima la si può sintetizzare. Partiamo naturalmente dal presupposto che non esistono copie di salvataggio degne di questo nome, e tantomeno di architetture ridondanti….
Il primo step è certo quello di “mappare” le interconnessioni del sistema “colpito e affondato” così da scoprire se e come dialoga e condivide con altri sistemi. Il passo immediatamente successivo è la ricognizione dei documenti utilizzati in comune e spesso oggetto di reciproco aggiornamento e scambio.
Poi tocca passare a “spegnere tutto”…. Eh, no, andiamoci piano…. Nessun interruttore su cui agire ma piuttosto si tratta di troncare le condivisioni e le interdipendenze che costituiscono il veicolo di propagazione. Non si tratta di chiudere le stalle dopo che i buoi sono fuggiti, ma di cercare di mettere in sicurezza quelli che sono rimasti….
Nell’ottica di salvare il salvabile è bene raccogliere i cocci, andando ad effettuare il download di quel che resa dopo la devastazione crittografica. Man mano che si sono riattaccati i pezzi “ricostruibili” si devono mettere offline le porzioni di rete da cui è stato scaricato quel che serviva. A quel punto è fondamentale capire se quel che è stato recuperato è effettivamente leggibile ed utilizzabile.
La ricostruzione del puzzle è certo difficile perché mancherà sempre qualche tessera importante, ma – se il lavoro è fatto con coscienza e magari facendo tesoro di vecchie copie di backup non aggiornatissime – si può contenere il disastro. I rattoppi a volte sono fortunati e qualche piccolo ricamo dell’immancabile virtuoso del bit può riportare la situazione a livello di tollerabilità.
Il vedere il progressivo migliorare delle “condizioni di salute” non deve far sedere sugli allori. Ci si deve sbrigare a creare i presupposti per scongiurare il ripetersi di certi eventi drammatici. Bisogna aggiornare i sistemi operativi, il software di sicurezza (firewall, intrusion detection system, sandbox, antivirus….) e le applicazioni. Occorre strutturare i back-up per disporre delle copie di tutto che siano pronte all’uso e in condizioni di supportare la più rapida ripartenza in caso di eventuale futuro incidente. È di buon auspicio impostare le migliori difese pur sapendo (o sperando) che in futuro non ce ne sarà alcuna necessità…
