Cosa devi fare se la tua azienda è stata attaccata

Sai cosa fare in caso di un attacco informatico?

I dipendenti, persino quelli ben informati, sono spesso impreparati ad affrontare i problemi legati alla sicurezza. E’ facile farsi prendere dal panico quando si pensa di essere stati colpiti da un attacco informatico, ma il panico può persino creare problemi più gravi per non aver affrontato correttamente la situazione.

Non dare di matto e non prendere il computer per gettarlo fuori dalla finestra, è già un buon primo passo. Se vuoi fare meglio, basta seguire questo piano d’azione, per limitare i danni e capire cosa è successo, salvando l’azienda dalla perdita di tempo, denaro ed evitare fastidiosi mal di testa.

1 – NIENTE panico

Potrebbe sembrare comune buon senso ma il panico è la prima reazione che ha una persona davanti ad un problema inaspettato, soprattutto sul lavoro. Janne Kauhanen, esperto di Cyber security Service in F-Secure, afferma : “Dovessi ripeterlo mille volte, non sarà mai abbastanza, quanto possa essere dannoso un incidente di cyber sicurezza. Allo stesso tempo però, la persona a cui è capitato, non dovrebbe prendersi la colpa, vergognarsi o magari reagire in maniera eccessiva cancellando informazioni personali o la cache del browser. Stare calmi e focalizzare l’attenzione su cosa si può fare per risolvere la situazione è decisamente la migliore reazione

A questo punto, a seconda del tipo di infezione, hai due strade da intraprendere.
Se il virus NON è un cryptovirus (CryptoLocker, CBT, Locky, CryptoWall…) allora:

2 a – NON spegnere il computer o il dispositivo

Uno degli errori più comuni che le persone fanno, dopo essere stati presi dal panico, è spegnere il pc, lo smartphone o il tablet compromesso. Se lo fate, date una mano agli hacker.

In sostanza, spegnendo, viene spazzata via qualsiasi informazione immagazzinata nella RAM del dispositivo, che potrebbe essere utile agli investigatori. “Equivale a distruggere le prove, prove che possono aiutare a scoprire chi ci sta attaccando e cosa sta facendo” conferma Janne “Quindi, con questa semplice azione, che a dirla tutta viene automatica, aiutiamo l’hacker rendendo il lavoro degli investigatori più difficile”

Se invece ti accorgi che ti sei imbattuto in una versione del temibile Cryptolocker, allora:

2 b – Spegni subito il pc/smartphone

Appena ci si accorge dell’infezione è imperativo spegnere e rivolgersi immediatamente ad un tecnico.
Come è possibile accorgersene?

  • una lentezza immotivata nel compiere qualsiasi azione col PC
  • sono state modificate le estensioni dei tuoi file: potresti trovare .encrypted .xxx .ttt .micro .ccc .abc, l’estensione cambia a seconda della variante del virus.
  • trovi file chiamati HELP_DECRYPT in vari formati

3 – CHIUDERE le connessioni di rete

Se spegnere il computer aiuta i nostri avversari, lasciare le connessioni aperte non è davvero consigliabile. Devi considerare il fatto che il device, che sia un pc o uno smartphone, non è più tuo, l’hacker ne ha preso possesso e può muoversi letteralmente attraverso la tua rete. Disconnettere le connessioni di rete eviterà che l’hacker usi il dispositivo per infiltrarsi più profondamente nella rete aziendale. Queste sono le connessioni più usate sul lavoro:

E ovviamente non è il caso di usare qualsiasi tipo di soluzione per lo storage rimovibile che sono entrati in contatto con il dispositivo compromesso.

4 – STOP! Non fare più nulla col PC

Se hai seguito i primi tre step, hai già fatto un bel po’ di lavoro:

  • Hai tolto la possibilità agli hacker di usare il tuo dispositivo per muoversi attraverso la rete aziendale.
  • L’hai fatto senza distruggere le prove che altri (come l’esperto della sicurezza nella tua azienda o l’investigatore informatico) possono usare per tracciare l’attacco e trovare come e quando la violazione è iniziata, cosa l’hacker ha fatto e, con un po’ di fortuna, chi è.

Quindi prenditi un momento per prendere un bel respiro e preparati alla mossa successiva.

5 – SCRIVI cosa è successo

È arrivato il momento di creare una nota che tenga traccia di quanto è accaduto. Se non hai un computer sicuro da usare, fallo alla vecchia maniera e prendi carta e penna. Cerca di includere quanti più dettagli ti sia possibile.
Scrivi prima di tutto:

  • cosa ti ha fatto pensare che c’era un problema
  • cosa stavi facendo quando è capitato il problema
  • cosa facevi prima di scoprire il problema
  • ricorda qualsiasi email misteriosa o altre interazioni che potresti aver avuto di recente
  • se hai usato una USB o un Hard Disk esterno o altre periferiche con il tuo computer

e via dicendo.

Le date e le tempistiche sono particolarmente importanti. Tutti i nostri pc, gli smartphone e qualsiasi altro dispositivo elettronico odierno contiene prove potenziali, ma tener traccia di “quando è successo cosa” aiuterà a restringere l’ambito di ricerca così che ognuno possa fare il proprio lavoro velocemente.

6 – CHIEDERE aiuto

Ora è arrivato il momento di chiedere aiuto. Non importa che sia l’esperto della sicurezza interno o un consulente esterno, ciò che conta è portare l’attenzione di persone competenti sul problema e trovare al più presto la soluzione ottimale.