Le piccole e medie imprese (PMI) sono sempre più spesso bersaglio di attacchi informatici. I dati dei clienti e altri dati sensibili vengono spesso rubati, modificati, cancellati o criptati. Come le aziende dovrebbero reagire a un attacco informatico.
Primi passi dopo un attacco informatico
In caso di attacco cibernetico, la Ufficio federale per la sicurezza delle informazioni (BSI) ha adottato la seguente procedura:
- Scollegate i vostri dispositivi o l'IT aziendale da Internet.
Per i singoli dispositivi, ciò può significare staccare la spina o disattivare i servizi WLAN.
Nel caso dell'IT aziendale, ciò può avvenire attraverso i componenti di rete o il firewall dell'azienda.
In questo modo si impedisce all'aggressore di portare a termine il suo attacco, ad esempio una Ransomwaree si previene la possibile esfiltrazione dei dati. - Non spegnete i computer e i dispositivi colpiti dall'attacco e non modificateli. Ciò può ostacolare il lavoro degli esperti di informatica forense o degli investigatori chiamati in seguito.
Non rispondete alle richieste di riscatto dei criminali informatici.
"Se viene richiesto un riscatto, non accettatelo mai", avverte il BSI.Questo perché non c'è alcuna garanzia che il colpiti L'azienda riceve effettivamente una chiave di decrittazione dopo aver pagato il riscatto.
È più importante scoprire innanzitutto come gli aggressori hanno avuto accesso al sistema. Questo accesso deve essere chiuso, altrimenti l'attacco informatico potrebbe ripetersi.
Una volta individuato e chiuso il gateway, è possibile ripristinare i backup dei dati aziendali. Naturalmente, è importante che i backup dei dati vengano eseguiti regolarmente. A questo punto è possibile riprendere le attività aziendali.
Cosa rimane: Se i dati sensibili dei clienti vengono rubati, possono finire nella darknet o essere trasmessi ad altri criminali.
Suggerimento di lettura: Operazione Endgame: il più grande colpo contro la criminalità informatica
Dopo un attacco informatico: creare un registro dell'incidente di sicurezza
Il BSI raccomanda inoltre di creare un registro. Tutte le azioni e gli eventi relativi all'incidente di sicurezza devono essere documentati. Ogni voce del documento dovrebbe contenere almeno le seguenti informazioni:
- Ora e data dell'evento
- Nome della persona che ha eseguito l'azione o che è stata informata dell'evento
- la descrizione dell'azione o dell'evento.
Suggerimento per il collegamento: Assistenza da parte del BSI in caso di incidente di sicurezza informatica
Aspetti legali di un attacco informatico
Importante per le aziende che Dati personali e sono soggetti al Regolamento generale sulla protezione dei dati: devono informare i responsabili della protezione dei dati e i loro clienti in caso di incidente di sicurezza.
Idealmente, esiste già un concetto di comunicazione interna ed esterna che entra in vigore in caso di incidente di sicurezza.
Inoltre, è essenziale segnalare un attacco informatico alla polizia. I punti di contatto centrali per la criminalità informatica (ZAC) delle autorità di polizia competenti sono un buon punto di riferimento.
German 
English 
Italian 
French