Le piccole e medie imprese (PMI) sono sempre più spesso bersaglio di attacchi informatici. I dati dei clienti e altri dati sensibili vengono spesso rubati, modificati, cancellati o criptati. Come le aziende dovrebbero reagire a un attacco informatico.
Primi passi dopo un attacco informatico
In caso di attacco informatico, l'Ufficio federale per la sicurezza informatica (BSI) raccomanda la seguente procedura:
- Scollegate i vostri dispositivi o l'IT aziendale da Internet.
Per i singoli dispositivi, ciò può significare staccare la spina o disattivare i servizi WLAN.
Nel caso dell'IT aziendale, ciò può avvenire attraverso i componenti di rete o il firewall dell'azienda.
In questo modo si impedisce all'aggressore di controllare il proprio attacco, ad esempio un ransomware, e si previene la possibile esfiltrazione dei dati. - Non spegnete i computer e i dispositivi colpiti dall'attacco e non modificateli. Ciò può ostacolare il lavoro degli esperti di informatica forense o degli investigatori chiamati in seguito.
Non rispondete alle richieste di riscatto dei criminali informatici.
"Se viene richiesto un riscatto, non accettatelo mai", avverte il BSI. Questo perché non vi è alcuna garanzia che l'azienda colpita riceva effettivamente una chiave di decrittazione dopo aver pagato il riscatto.
È più importante scoprire innanzitutto come gli aggressori hanno avuto accesso al sistema. Questo accesso deve essere chiuso, altrimenti l'attacco informatico potrebbe ripetersi.
Una volta individuato e chiuso il gateway, è possibile ripristinare i backup dei dati aziendali. Naturalmente, è importante che i backup dei dati vengano eseguiti regolarmente. A questo punto è possibile riprendere le attività aziendali.
Cosa rimane: Se i dati sensibili dei clienti vengono rubati, possono finire nella darknet o essere trasmessi ad altri criminali.
Suggerimento di lettura: Operazione Endgame: il più grande colpo contro la criminalità informatica
Dopo un attacco informatico: creare un registro dell'incidente di sicurezza
Il BSI raccomanda inoltre di creare un registro. Tutte le azioni e gli eventi relativi all'incidente di sicurezza devono essere documentati. Ogni voce del documento dovrebbe contenere almeno le seguenti informazioni:
- Ora e data dell'evento
- Nome della persona che ha eseguito l'azione o che è stata informata dell'evento
- la descrizione dell'azione o dell'evento.
Suggerimento per il collegamento: Assistenza da parte del BSI in caso di incidente di sicurezza informatica
Aspetti legali di un attacco informatico
Importante per le aziende che trattano dati personali e sono soggette al Regolamento generale sulla protezione dei dati: in caso di incidente di sicurezza, devono informare il responsabile della protezione dei dati e i loro clienti.
Idealmente, esiste già un concetto di comunicazione interna ed esterna che entra in vigore in caso di incidente di sicurezza.
Inoltre, è essenziale segnalare un attacco informatico alla polizia. I punti di contatto centrali per la criminalità informatica (ZAC) delle autorità di polizia competenti sono un buon punto di riferimento.