Il Piano di Incident Response: come rispondere in caso di Data Breach

Il Piano di Incident Response: come rispondere in caso di Data Breach

Il Piano di Incident Response: come rispondere in caso di Data Breach

Il numero dei data breach osservati è in costante aumento. Il monitoraggio dell’Identity Theft Resource Center, relativo alla situazione negli USA, ha registrato nel 2015 ben 781 data breaches, con esposizione di oltre 169 milioni di record, e solo nella prima metà del 2016 638 nuovi data breaches, con esposizione di 28 milioni di record. Friend Finder Network e Yahoo! fanno a gara per il furto di dati di maggiore dimensione, il primo con 412 milioni di record rubati, il secondo con 500 milioni, come riporta l’infografica costantemente aggiornata World’s Biggest Data Breaches.

L’America appare oggi molto esposta (secondo il Breach Level Index di Gemalto negli USA avvengono il 79% dei data breach a livello globale, seguiti dall’Europa con un 9% del totale) ma questo dipende anche dal fatto che le norme di data breach notification obbligano le Corporation americane a rendere pubblica la notizia del furto di dati quando questo coinvolge i clienti, un aspetto su cui l’Europa ancora è indietro, anche se l’arrivo del Regolamento EU sulla Data protection (GDPR) porterà a una maggiore trasparenza sugli effetti degli incidenti cyber.

La capacità delle aziende di rispondere opportunamente in caso di incidenti con data breach, limitando i danni e l’impatto degli stessi sul business e sull’operatività, è oggi molto limitata, secondo quanto rileva lo studio Cyber Resilient Organization 2016 di Ponemon Institute (pubblicato in novembre 2016, sponsorizzato da Resilient, società IBM). La resilienza in campo cyber è oggi una sfida elevata, che richiede misure, tecnologie e processi su più fronti, sia preventivi, sia legati alle fasi di detection e risposta, da attivare nel momento in cui viene scoperto un attacco in corso. Come definito anche nello studio di Ponemon, la Cyber Resiliency è “… the capacity of an enterprise to maintain its core purpose and integrity in the face of cyber attacks”.

L’analisi, che ha riguardato 2.000 professionisti IT e IT security in 7 Paesi nel mondo, conferma la diffusione del fenomeno: almeno un’azienda su 2 ha subito, negli ultimi 2 anni, un data breach con perdita o furto di oltre 1.000 record, comprensivi di informazioni riservate o critiche per il business. Per il 57% di quelli che hanno subito la perdita, sono più di uno gli eventi occorsi in questo lasso di tempo. Nonostante quindi il problema riguardi oggi moltissime realtà, la presenza di un Piano formale di Incident Response è tuttora molto limitata:  solo il 25% ha un piano completo applicato attraverso tutta l’organizzazione. Il 23% non ha alcun piano, e la restante quota si è dotata di un piano che risolve parzialmente il problema. Inoltre, tra chi dispone del Piano, si osservano moltissimi problemi:

  • Il 52% non lo rivede e non lo aggiorna dal momento in cui lo ha definito la prima volta.
  • Solo il 14% effettua dei test ricorrenti sul piano per verificarne il corretto funzionamento.

I risultati dello studio mostrano inoltre che la situazione non sta migliorando in modo significativo rispetto agli anni precedenti. In particolar modo, mentre su aspetti come la prevenzione o la rilevazione degli attacchi cyber, un numero equivalente di aziende ha espresso nei due anni di essere provvisto di queste capacità (il 40% nel caso della prevenzione, il 47% per quanto riguarda gli aspetti di detection) si osserva invece un peggioramento della capacità di risposta agli incidenti. Se nel 2015 un 38% di aziende ritenevano di avere un’elevata capacità di questo tipo, la percentuale è scesa al 34% nel 2016. Tutto questo fa pensare che solo poche organizzazioni sono oggi in grado di affrontare con successo un data breach: nella maggior parte dei casi, come riportano anche le notizie che quotidianamente leggiamo, la risposta sarà lenta, inefficace, e porterà a danni al brand, danni economici, cause legali e perdita di clienti.

Il problema è che una tutta una serie di ostacoli rendono sempre più difficile alle aziende potersi dire Cyber Resilient:

  • Il principale problema rimane anche quest’anno, secondo il 66% degli intervistati, la mancanza di pianificazione e di preparazione su questi temi.
  • Inoltre, gli incidenti comportano sempre più problemi: secondo un 41% degli intervistati, è aumentato nell’ultimo anno il tempo necessario per la risoluzione di un incidente cyber.
  • Da considerare anche il fatto che i processi di business da proteggere sono sempre più complessi, e questo rende più difficile l’obiettivo di avere un’organizzazione completamente resiliente agli attacchi esterni o interni.

Come dotarsi allora di un Piano di Incident Response?

Per migliorare la situazione e minimizzare l’impatto di un data breach, nel caso in cui questo avvenga?

Una guida utile a questo scopo è la Data Breach Response Guide di Experian Data Breach Resolution (società del gruppo globale Experian attivo in servizi di credit reporting e marketing), in cui sono descritte nel dettaglio tutte le fasi della messa a punto di un Piano di Incident Response, suddivise in 4 momenti principali:

  1. Disegno del Piano di Incident Response
  2. Messa in pratica del Piano
  3. Risposta in caso di data breach
  4. Auditing del Piano.

Il primo passaggio, di disegno e definizione del piano, include naturalmente l’assegnazione di ruoli e responsabilità, la designazione di un Incident Lead che dovrà gestire operativamente le attività in caso di incidente, coordinandosi però con un team e con altre figure aziendali, tra cui sicuramente il management, le risorse umane, l’area IT, l’area legale, le relazioni pubbliche e il customer care.  Nelle raccomandazioni fornite per il disegno del piano di Incident Response una sezione va alla scelta dei possibili partner esterni, da selezionare in anticipo in modo da poterli attivare velocemente in caso di incidente in corso. Tra i partner esterni figurano società che possono prendersi completamente in carico tutti gli aspetti di risoluzione del data breach (dalle notifiche ai clienti, ai servizi di call center e di risoluzione della frode) a specialisti dell’area legale, digital forensic, comunicazione. Altri contatti da stabilire a priori sono quelli con enti regolatori (che in alcuni casi dovranno ricever notifiche in caso di incidente) alle forze dell’ordine, da coinvolgere per gli aspetti di analisi di evidenze legate al data breach e investigazione sui fatti nel caso di frodi.

Le raccomandazioni non si fermano però al set-up del piano: le fasi successive sono la messa in funzione dello stesso, e quindi i test e le simulazioni da effettuare più volte nel corso di un anno, per verificare di aver previsto tutti i possibili scenari e avere definito una soluzione ottimale per il business. Altre indicazioni sono poi quelle rivolte alla gestione effettiva dell’incidente, in particolare, cosa fare immediatamente nelle prime 24 ore, e quali sono poi gli step da prevedere per i giorni successivi. Nella Tabella successiva sono elencate le azioni delle prime 24 ore.

THE FIRST 24 HOURS

1.        Record the moment of discovery – Also mark the date and time your response efforts begin, i.e. when someone on the response team is alerted to the breach
2.        Alert and activate everyone – Include everyone on the response team, including external resources, to begin executing your preparedness plan
3.        Secure the premises – Ensure the area where the data breach occurred and surrounding areas are secure to help preserve evidence
4.        Stop additional data loss – Take affected machines offline, but do not turn them off or start probing into the computer until your forensics team arrives
5.        Document everything – Record who discovered the breach, who reported it, to whom was it reported, who else knows about it, what type of breach occurred, etc
6.        Interview involved parties – Speak to those involved with discovering the breach and anyone else who may know about it – then document the results
7.        Review notification protocols – Review those that touch on disseminating information about the breach for everyone involved in this early stage
8.        Assess priorities and risks – Include those based on what you know about the breach. Bring in your forensics firm to begin an in-depth investigation
9.        Bring in your forensics firm – Begin an in-depth investigation
10.     Notify law enforcement – Do this if needed, after consulting with legal counsel and upper management.
Source:  Data Breach Response Guide, Experian, 2016  (“When you discover a data breach, immediately contact your legal counsel for guidance on initiating these 10 critical steps!!!”)

Infine, una serie di elementi vanno considerati per la verifica periodica del piano (Auditing) che è strettamente legata e connessa alle preesistenti attività di security audit svolte in azienda.

A cura di:

Elena Vaciago, The Innovation Group

———————————–

Ulteriori informazioni sul tema sono reperibili ai seguenti link: