“La preparazione ad un attacco ransomware è la chiave di volta che consente di minimizzare i suoi effetti negativi”. Intervista a Giulio Coraggio, avvocato, socio responsabile del settore technology e della practice di privacy e data protection dello studio legale DLA Piper.
Durante il 2020 gli attacchi di tipo ransomware sono aumentati del +485%, secondo il “2020 Consumer Threat Landscape Report”, e la pandemia di Covid-19 non ha fatto altro che peggiorare lo scenario generale della sicurezza informatica, sia delle imprese, sia degli enti pubblici, sia dei singoli utenti di rete.
Anche la cifra del pagamento medio del riscatto ha continuato a salire, con un incremento del +43% tra l’ultimo trimestre del 2020 e il primo del 2021, raggiungendo i 200.000 dollari.
Una potenza di fuoco crescente, questa dei cybercriminali, che nei prossimi dieci anni potrebbe generare un costo complessivo per le organizzazioni di tutto il mondo pari a 265 miliardi di dollari. Entro il 2030, si arriverà ad una media di un nuovo attacco ransomware ogni due secondi, con un aumento del valore del riscatto in dollari del +30% l’anno.
Inoltre, secondo l’ultimo Cybereason Global Ransomware Study, l’80% di chi paga dopo aver subìto un attacco ransomware è poi colpito da un secondo attacco, nella metà dei casi da parte degli stessi soggetti del primo. Ma allora conviene pagare il riscatto? Quali sono le implicazioni legali per le aziende che pagano a causa di un attacco ransomware? Lo abbiamo chiesto a Giulio Coraggio, avvocato, socio responsabile del settore technology e della practice di privacy e data protection dello studio legale DLA Piper.
Cybersecitalia. Avvocato Coraggio, partiamo dalle basi. Come bisogna comportarsi se si subisce un attacco ransomware? Conviene pagare quanto richiesto dai criminali informatici?
Giulio Coraggio. La prima preoccupazione in caso di attacco ransomware deve essere decisamente di minimizzare i danni, adottando delle misure tecniche, organizzative e legali volte ad isolare gli effetti del malware e le possibili responsabilità, comprendere l’impatto del ransomware sui dati e consentire prontamente di ripristinare il funzionamento dei sistemi informatici. A tal fine, è fondamentale aver adottato un piano di reazione al cyber attacco che sia in grado di identificare il malware e prontamente disattivare i sistemi informatici e aver preso previ accordi con i propri legali e consulenti tecnici per garantire una reazione immediata.
Rispetto alla scelta del pagamento del riscatto, ci sono degli studi che dimostrano come chi paga il “ransom” con più probabilità sarà oggetto successivamente di un nuovo attacco di questo genere. Inoltre, il pagamento del riscatto in molti casi non dà la garanzia che la disponibilità dei sistemi informatici sarà ripristinata e che i dati eventualmente sottratti saranno distrutti. Quindi noi di solito sconsigliamo il pagamento.
Cybersecitalia. Ci sono delle implicazioni legali per le aziende che pagano un riscatto a causa di un attacco ransomware? Se si, quali?
Giulio Coraggio. La risposta non è così semplice. Qualora il pagamento del riscatto avvenisse tramite un intermediario, si potrebbe configurare il rischio di concorso nell’attività illecita dei cyber criminali. Inoltre, bisogna valutare la conformità di un eventuale pagamento al codice etico dell’azienda. Tuttavia, l’analisi va compiuta caso per caso.
Cybersecitalia. Quali misure sono raccomandate per evitare questo tipo di attacco informatico?
Giulio Coraggio. Come in ogni cosa, la preparazione ad un cyberattacco è la chiave di volta che consente di minimizzare i suoi effetti negativi. La nostra metodologia in materia di cybersecurity si fonda su 3 step dettagliati:
- misure preventive che vanno dalla adozione di un modello organizzativo di mappatura e controllo dei dati, allo svolgimento di penetration test periodici e training sui dipendenti su come trattare i dati e alla redazione di un piano di reazione al cyber attacco che terrà conto non solo delle azioni tecniche ed organizzative da adottare, ma anche dei consulenti da contattare e degli impatti sui contratti con terzi (e.g. clienti e fornitori);
- misure reattive quando l’attacco si verifica che vanno dalla sua identificazione, alla adozione di misure volte a ripristinare la business continuity, alla esecuzione di adempimenti regolatori e legali anche nei confronti del Garante per la protezione dei dati personali e degli individui i cui dati sono stati oggetto del ransomware; e infine
- misure volte a limitare i danni successivi che possono essere notevoli in termini di danni reputazionali e di danno economico da azioni legali di terzi e sanzioni privacy o ai sensi della normativa in materia di cybersecurity, e ad adottare misure migliorative volte ad evitare che un cyber attacco abbia successo in futuro.
Oltre il 90% degli attacchi informatici sono conseguenza di un errore umano e non si può pensare di ridurre il rischio cyber senza educare i propri dipendenti e verificare che non adottino comportamenti sbagliati tramite un modello organizzativo efficiente. Inoltre, viste le dimensioni del rischio cyber, qualsiasi azienda ha subito qualche forma di attacco, ma bisogna fare in modo che lo stesso non abbia successo.
Cybersecitalia. Quante aziende in Italia sono compliant con la regolazione e con le best practice in tema di sicurezza informatica?
Giulio Coraggio. Noto che in Italia c’è ancora poca cultura del rischio cyber. Ci sono alcune aziende che hanno svolto notevoli investimenti in termini di misure di sicurezza. Ma se questi investimenti rischiano di essere vanificati se non sono accompagnati da misure organizzative ed effettivi controlli sui comportamenti dei propri dipendenti. Purtroppo ancora si pensa che la cybersecurity sia di competenza esclusiva dei tecnici, mentre l’anima tecnica e quella legale delle aziende devono comunicare sempre più.
Ciò è ancora più vero in un contesto dove gli obblighi di cybersecurity stanno diventando degli obblighi di compliance. Mi riferisco non solo al GDPR e agli obblighi dettati dalla normativa sul trattamento dei dati personali, ma anche ad esempio agli obblighi dettati dalla Direttiva NIS il cui perimetro sarà allargato con la Direttiva NIS II, e a quelli relativi al perimetro di sicurezza cibernetica.