Gli incidenti e le crisi, per quanto si possa cercare di prevenirle, accadono: nessuno ne è immune. Ma complicarsi la situazione è un attimo, e una cattiva gestione mediatica della crisi è una delle cose più deleterie che possano accadere. Cosa ci insegna la vicenda dell’attacco di ransomware alla Regione Lazio.
La vicenda dell’attacco di ransomware ai danni della Regione Lazio, fortunatamente avviato a quanto sembra verso un lieto fine, ha offerto agli analisti molteplici spunti di riflessione, in primo luogo legati agli aspetti strettamente riguardanti la sicurezza: dalle carenze tecniche che lo hanno permesso, o quantomeno favorito, fino alle modalità con cui è avvenuto. Ma a mio avviso l’aspetto di maggiore criticità che è emerso nelle lunghe giornate della crisi è stata l’incapacità da parte dell’organizzazione colpita di comunicare adeguatamente la situazione, di fatto peggiorando ulteriormente la percezione degli eventi da parte del pubblico.
Gli incidenti e le crisi, per quanto si possa cercare di prevenirle, accadono: nessuno ne è immune. Ma complicarsi la situazione è un attimo, e una cattiva gestione mediatica della crisi è una delle cose più deleterie che possano accadere: tanto più grave quanto più rilevante è l’organizzazione colpita, e importanti e visibili i suoi servizi. In caso di interruzione di questi ultimi l’intera società, dai cittadini ai mezzi di informazione, ha il diritto e la voglia di sapere cosa stia succedendo: l’assenza di notizie certe porta così inevitabilmente l’opinione pubblica ad elucubrare dipingendo scenari ipotetici, solitamente pessimistici o peggiorativi del vero, i quali finiscono per sostituirsi alla realtà e sono poi assai difficili da smentire e recuperare.
Comunicare la cybersecurity in tempo di crisi: il caso della Regione Lazio
Naturalmente una comunicazione efficace non si improvvisa durante la crisi: va studiata e pianificata in precedenza, quando c’è tempo per definire strategie ed elaborare piani. Decidere cosa comunicare, e come, è il primo aspetto da considerare, ma non è il solo: bisogna anche stabilire i livelli e le modalità della comunicazione, e il flusso approvativo interno delle informazioni che si intendono trasferire all’esterno. La comunicazione in sé deve poi essere chiara e il più possibile esauriente, non ambigua, non contraddittoria.
Lo stile di come farlo riflette quello dell’organizzazione, la sua sensibilità, la sua postura. La scelta da fare a priori è quanto comunicare: è perfettamente lecito assumere tanto posizioni di intransigente chiusura quanto atteggiamenti di grande apertura e trasparenza: l’importante è mantenerli con coerenza, senza ripensamenti, fino alla fine. Invece gli atteggiamenti ondivaghi o indecisi, o peggio ancora la mancanza di una linea precisa di comportamento, vengono letti come reticenza, colpevolezza, volontà di nascondere qualcosa… o anche pura e semplice inettitudine. La cosa peggiore è non dire nulla per paura di dire la cosa sbagliata: si tratta di uno sbaglio ipso facto, e dei peggiori.
Come esempi di stili opposti, ma entrambi efficaci, di gestione della comunicazione in situazioni di crisi analoghe a quella vissuta dalla Regione Lazio possiamo citare i recenti casi di Campari e di Enel: entrambe importanti aziende molto visibili dal pubblico, anche se ovviamente operanti in settori e con criticità ben differenti, colpite da attacchi di ransomware con richieste di riscatti milionari. Nella gestione della crisi, Campari ha adottato la linea della massima trasparenza: ammettendo candidamente la natura dell’incidente, dichiarando l’entità del riscatto, indicando le linee di azione intraprese per affrontare ed eventualmente risolvere la situazione; con grande apertura ma assertivamente, assumendo il ruolo della vittima orgogliosa e giocando quindi sull’empatia. Enel, al contrario, ha sempre adottato la linea dell’assoluto riserbo: non “evitando di comunicare” ma “comunicando la volontà di non comunicare”, che è ben altra cosa; e dunque trincerandosi sistematicamente dietro cortesi ma fermi no comment, non confermando né smentendo le voci riguardanti l’entità del riscatto richiesto o dei danni subiti, non lasciando trapelare alcuna informazione, e giocando quindi sulla professionalità. Due stili completamente diversi ma altrettanto efficaci nel governare la comunicazione in tempo di crisi, perché mantenuti con ferma coerenza.
La Regione invece ha purtroppo gestito la crisi nel peggiore dei modi: dapprima non dando affatto informazioni, e poi fornendo notizie frammentarie, imprecise e spesso anche contraddittorie, il che ha contribuito a far montare un clima di incertezza e anche di sospetto sulla vicenda. Nei primi giorni la comunicazione è stata proprio assente: i cittadini che cercavano di andare sui siti regionali per ricevere servizi si trovavano semplicemente davanti al timeout del browser, il quale dichiarava laconicamente che il sito richiesto era irraggiungibile: nessun messaggio di spiegazione o altro, nemmeno un avviso di “lavori in corso”. Poi la notizia dell’attacco ha cominciato a trapelare sui mezzi d’informazione, e la Regione ha improvvisato una comunicazione lacunosa e farraginosa, demandandola purtroppo ai politici anche quando avrebbe dovuto riguardare i soli aspetti tecnici della vicenda in corso.
Così ad esempio il presidente della Regione ha creato un vero e proprio caso politico quando, negando la formalizzazione di una richiesta di riscatto, ha esplicitamente dichiarato che l’attacco avesse una natura terroristica. Questa affermazione era manifestamente assurda, dato che il terrorismo è ben altro, persegue altri obiettivi e con altri mezzi; ed è apparsa quindi come una sorta di auto-assoluzione preventiva della Regione, come a voler dire “non sono io ad aver operato male ma è il mio avversario che è troppo potente”. Purtroppo la spiacevole coincidenza con l’anniversario della strage di Bologna ha fatto sì che il poco plausibile riferimento al terrorismo di Zingaretti si sia ulteriormente trasformato in un potente boomerang mediatico.
Spiacevole e controproducente è stato anche il balletto a puntate sullo stato delle cose, anche qui affidato alla politica e a interlocutori diversi, e purtroppo non sempre in accordo tra di loro. Così all’opinione pubblica è stato detto dapprima che non ci fosse stata richiesta di riscatto e poi che invece ci fosse stata; che tutti i dati comprese le copie di backup fossero stati cifrati dai criminali, e poi invece che i backup fossero stati semplicemente resi indisponibili mediante cancellazione; e via dicendo, in una ridda di affermazioni frammentarie e tecnicamente imprecise che hanno oggettivamente contribuito a ingenerare un clima di sfiducia verso l’istituzione, la quale è apparsa nel migliore dei casi impreparata e nel peggiore dei casi reticente, come se volesse nascondere qualcosa.
In un momento di complottismo imperante, questo atteggiamento è assai controproducente perché suscita dubbi e sospetti. Molti, ad esempio, pensano che questo misterioso ed improvviso “recupero” dei backup sia poco plausibile, e lo interpretano come una storia di copertura per non dichiarare che in realtà si sia pagato il riscatto. Meglio sarebbe stato istituire da subito un forte presidio della comunicazione spiegando tutto chiaramente, a partire dagli errori e i malfunzionamenti (e ce ne sono moltissimi a tutti i livelli, da quelli organizzativi a quelli tecnici) che hanno consentito il disastro. Ovviamente molti dettagli devono rimanere riservati, anche perché c’è una complessa indagine in corso, ma si sarebbe comunque potuto trasmettere lo stato della situazione anche senza dover rivelare particolari critici.
La speranza è che si faccia almeno tesoro di questa brutta esperienza per far sì che imprese e istituzioni comprendano che la gestione delle crisi non si improvvisa ma va attentamente pianificata, e correttamente attuata all’occorrenza, in termini di responsabilità, ruoli, principi, compiti, procedure. Servono professionisti preparati ma soprattutto la sensibilità sul fatto che si tratti di un’attività strategica. Il non farlo, o non farlo bene, è un autogol clamoroso che nessuno più si può permettere.
