Comunicare la cybersecurity in tempo di crisi: lo si sta facendo male

Gli incidenti e le crisi, per quanto si possa cercare di prevenirle, accadono: nessuno ne è immune. Ma complicarsi la situazione è un attimo, e una cattiva gestione mediatica della crisi è una delle cose più deleterie che possano accadere. Cosa ci insegna la vicenda dell’attacco di ransomware alla Regione Lazio.

La vicenda dell’attacco di ransomware ai danni della Regione Lazio, fortunatamente avviato a quanto sembra verso un lieto fine, ha offerto agli analisti molteplici spunti di riflessione, in primo luogo legati agli aspetti strettamente riguardanti la sicurezza: dalle carenze tecniche che lo hanno permesso, o quantomeno favorito, fino alle modalità con cui è avvenuto. Ma a mio avviso l’aspetto di maggiore criticità che è emerso nelle lunghe giornate della crisi è stata l’incapacità da parte dell’organizzazione colpita di comunicare adeguatamente la situazione, di fatto peggiorando ulteriormente la percezione degli eventi da parte del pubblico.

Gli incidenti e le crisi, per quanto si possa cercare di prevenirle, accadono: nessuno ne è immune. Ma complicarsi la situazione è un attimo, e una cattiva gestione mediatica della crisi è una delle cose più deleterie che possano accadere: tanto più grave quanto più rilevante è l’organizzazione colpita, e importanti e visibili i suoi servizi. In caso di interruzione di questi ultimi l’intera società, dai cittadini ai mezzi di informazione, ha il diritto e la voglia di sapere cosa stia succedendo: l’assenza di notizie certe porta così inevitabilmente l’opinione pubblica ad elucubrare dipingendo scenari ipotetici, solitamente pessimistici o peggiorativi del vero, i quali finiscono per sostituirsi alla realtà e sono poi assai difficili da smentire e recuperare.

banner

Comunicare la cybersecurity in tempo di crisi: il caso della Regione Lazio

Naturalmente una comunicazione efficace non si improvvisa durante la crisi: va studiata e pianificata in precedenza, quando c’è tempo per definire strategie ed elaborare piani. Decidere cosa comunicare, e come, è il primo aspetto da considerare, ma non è il solo: bisogna anche stabilire i livelli e le modalità della comunicazione, e il flusso approvativo interno delle informazioni che si intendono trasferire all’esterno. La comunicazione in sé deve poi essere chiara e il più possibile esauriente, non ambigua, non contraddittoria.

Lo stile di come farlo riflette quello dell’organizzazione, la sua sensibilità, la sua postura. La scelta da fare a priori è quanto comunicare: è perfettamente lecito assumere tanto posizioni di intransigente chiusura quanto atteggiamenti di grande apertura e trasparenza: l’importante è mantenerli con coerenza, senza ripensamenti, fino alla fine. Invece gli atteggiamenti ondivaghi o indecisi, o peggio ancora la mancanza di una linea precisa di comportamento, vengono letti come reticenza, colpevolezza, volontà di nascondere qualcosa… o anche pura e semplice inettitudine. La cosa peggiore è non dire nulla per paura di dire la cosa sbagliata: si tratta di uno sbaglio ipso facto, e dei peggiori.

Come esempi di stili opposti, ma entrambi efficaci, di gestione della comunicazione in situazioni di crisi analoghe a quella vissuta dalla Regione Lazio possiamo citare i recenti casi di Campari e di Enel: entrambe importanti aziende molto visibili dal pubblico, anche se ovviamente operanti in settori e con criticità ben differenti, colpite da attacchi di ransomware con richieste di riscatti milionari. Nella gestione della crisi, Campari ha adottato la linea della massima trasparenza: ammettendo candidamente la natura dell’incidente, dichiarando l’entità del riscatto, indicando le linee di azione intraprese per affrontare ed eventualmente risolvere la situazione; con grande apertura ma assertivamente, assumendo il ruolo della vittima orgogliosa e giocando quindi sull’empatia. Enel, al contrario, ha sempre adottato la linea dell’assoluto riserbo: non “evitando di comunicare” ma “comunicando la volontà di non comunicare”, che è ben altra cosa; e dunque trincerandosi sistematicamente dietro cortesi ma fermi no comment, non confermando né smentendo le voci riguardanti l’entità del riscatto richiesto o dei danni subiti, non lasciando trapelare alcuna informazione, e giocando quindi sulla professionalità. Due stili completamente diversi ma altrettanto efficaci nel governare la comunicazione in tempo di crisi, perché mantenuti con ferma coerenza.

La Regione invece ha purtroppo gestito la crisi nel peggiore dei modi: dapprima non dando affatto informazioni, e poi fornendo notizie frammentarie, imprecise e spesso anche contraddittorie, il che ha contribuito a far montare un clima di incertezza e anche di sospetto sulla vicenda. Nei primi giorni la comunicazione è stata proprio assente: i cittadini che cercavano di andare sui siti regionali per ricevere servizi si trovavano semplicemente davanti al timeout del browser, il quale dichiarava laconicamente che il sito richiesto era irraggiungibile: nessun messaggio di spiegazione o altro, nemmeno un avviso di “lavori in corso”. Poi la notizia dell’attacco ha cominciato a trapelare sui mezzi d’informazione, e la Regione ha improvvisato una comunicazione lacunosa e farraginosa, demandandola purtroppo ai politici anche quando avrebbe dovuto riguardare i soli aspetti tecnici della vicenda in corso.

Così ad esempio il presidente della Regione ha creato un vero e proprio caso politico quando, negando la formalizzazione di una richiesta di riscatto, ha esplicitamente dichiarato che l’attacco avesse una natura terroristica. Questa affermazione era manifestamente assurda, dato che il terrorismo è ben altro, persegue altri obiettivi e con altri mezzi; ed è apparsa quindi come una sorta di auto-assoluzione preventiva della Regione, come a voler dire “non sono io ad aver operato male ma è il mio avversario che è troppo potente”. Purtroppo la spiacevole coincidenza con l’anniversario della strage di Bologna ha fatto sì che il poco plausibile riferimento al terrorismo di Zingaretti si sia ulteriormente trasformato in un potente boomerang mediatico.

Spiacevole e controproducente è stato anche il balletto a puntate sullo stato delle cose, anche qui affidato alla politica e a interlocutori diversi, e purtroppo non sempre in accordo tra di loro. Così all’opinione pubblica è stato detto dapprima che non ci fosse stata richiesta di riscatto e poi che invece ci fosse stata; che tutti i dati comprese le copie di backup fossero stati cifrati dai criminali, e poi invece che i backup fossero stati semplicemente resi indisponibili mediante cancellazione; e via dicendo, in una ridda di affermazioni frammentarie e tecnicamente imprecise che hanno oggettivamente contribuito a ingenerare un clima di sfiducia verso l’istituzione, la quale è apparsa nel migliore dei casi impreparata e nel peggiore dei casi reticente, come se volesse nascondere qualcosa.

In un momento di complottismo imperante, questo atteggiamento è assai controproducente perché suscita dubbi e sospetti. Molti, ad esempio, pensano che questo misterioso ed improvviso “recupero” dei backup sia poco plausibile, e lo interpretano come una storia di copertura per non dichiarare che in realtà si sia pagato il riscatto. Meglio sarebbe stato istituire da subito un forte presidio della comunicazione spiegando tutto chiaramente, a partire dagli errori e i malfunzionamenti (e ce ne sono moltissimi a tutti i livelli, da quelli organizzativi a quelli tecnici) che hanno consentito il disastro. Ovviamente molti dettagli devono rimanere riservati, anche perché c’è una complessa indagine in corso, ma si sarebbe comunque potuto trasmettere lo stato della situazione anche senza dover rivelare particolari critici.

La speranza è che si faccia almeno tesoro di questa brutta esperienza per far sì che imprese e istituzioni comprendano che la gestione delle crisi non si improvvisa ma va attentamente pianificata, e correttamente attuata all’occorrenza, in termini di responsabilità, ruoli, principi, compiti, procedure. Servono professionisti preparati ma soprattutto la sensibilità sul fatto che si tratti di un’attività strategica. Il non farlo, o non farlo bene, è un autogol clamoroso che nessuno più si può permettere.

Consulente strategico, docente e divulgatore di cybersecurity e sicurezza delle informazioni. Componente del Consiglio Direttivo di Clusit (2015-16, 2017-18, 2019-20, 2021-22). Già esperto di sicurezza cibernetica presso l'Agenzia per l'Italia Digitale – Presidenza del Consiglio dei Ministri, per lo sviluppo del CERT della Pubblica Amministrazione (2015-20). Già membro per quattro mandati (2010-12, 2012-15, 2015-17, 2017-20) dell’Advisory Group dell'Agenzia dell'Unione Europea per la Cybersecurity (ENISA). Impegnato professionalmente sin dal 1985 sui temi della sicurezza informatica e delle reti, si occupa di: cybersecurity e sicurezza delle informazioni nelle organizzazioni complesse; cyberwarfare, cyberterrorismo e protezione delle infrastrutture critiche; crittografia, steganografia e tecniche di data protection; intelligence e counterintelligence tecnologiche; cybercrime e suo contrasto; indagini digitali, computer forensics e tecniche di antiforensics; rapporti tra tecnologia e diritto; aspetti socioculturali di rischio nell’uso delle nuove tecnologie. Ha iniziato a scrivere su riviste di informatica nel 1979. Dal 1981 al 1999 è stato dapprima caporedattore, quindi direttore tecnico e vicedirettore, di MCmicrocomputer. Nel 1985 ha contribuito a fondare, progettare e sviluppare MC-link, che nel 1992 è divenuto il primo Internet provider italiano. Nel 1997 ha fondato BYTE Italia. Dal 1999, come direttore di divisione o di business unit, è stato responsabile dell'erogazione dei servizi professionali di sicurezza delle informazioni in diverse aziende di system integration e di consulenza, nazionali e multinazionali. Ha direttamente condotto importanti progetti di audit ed assessment di sicurezza logica, e progettato infrastrutture di sicurezza e trust, presso grandi aziende e pubbliche amministrazioni. Collabora dal 1997 con il Reparto Indagini Tecniche del Raggruppamento Operativo Speciale dell’Arma dei Carabinieri nello svolgimento di attività investigative e di contrasto del cybercrime e del cyberterrorismo; è Perito del Tribunale Penale di Roma in materia di criminalità informatica. È stato componente dell'Osservatorio per la Sicurezza Nazionale istituito presso il Centro Militare di Studi Strategici (Ce.Mi.S.S.) del Centro Alti Studi per la Difesa (CASD), e membro del Comitato Scientifico dell’Unità di Analisi del Crimine Informatico della Polizia delle Telecomunicazioni. Ha collaborato con l'Ufficio delle Nazioni Unite per il Controllo della Droga e la Prevenzione del Crimine (UNODC) su progetti internazionali di contrasto alla cybercriminalità ed al cyberterrorismo; è iscritto nell'“Expert Roster” della International Telecommunications Union (ITU) per la cybersecurity. È attualmente docente nel Master Universitario di II livello in Homeland Security dell'Università Campus BioMedico di Roma; nel Master Universitario di II livello in Cybersecurity della Link Campus University; nel Master in Protezione strategica del sistema Paese della SIOI; nel Master Universitario di II livello in Cybersecurity dell’università LUISS di Roma. È membro del Comitato Scientifico dell’Area di Diritto e Informatica del Collegio Ghislieri – Università di Pavia e componente dell'Advisory Council della Macroarea di Ingegneria dell'Università degli Studi di Roma Tor Vergata. È docente presso il Formez e la Scuola Nazionale dell’Amministrazione (SNA). È stato docente di “Informatica forense” nel corso di Laurea in Scienze dell’Investigazione dell’Università dell’Aquila, di “Sicurezza, crittografia e firma digitale” nel Master Universitario di II livello in e-Health dell'università di Camerino, di “Sicurezza delle informazioni” nel Master Universitario di II livello in Data science for economics, business and finance dell’Università di Milano, di “Crittografia” nel Master Universitario di II livello in Intelligence e Cybersecurity della Link Campus University. È stato componente del Consiglio Didattico Scientifico nel Master Universitario di II livello in Gestione della Sicurezza Informatica della Sapienza Università di Roma, e docente nel Master Universitario in Cybercrime e Informatica Forense della stessa università. Ha insegnato sicurezza informatica presso l’Istituto per Sovrintendenti e di perfezionamento per Ispettori della Polizia di Stato, e tecniche per le indagini digitali nel Corso di perfezionamento per Ufficiali del Raggruppamento Investigazioni Scientifiche (RIS) dell'Arma dei Carabinieri. Giornalista pubblicista da oltre trent’anni, e membro dell'Unione Giornalisti Italiani Scientifici (UGIS), svolge da sempre un'intensa attività di divulgazione culturale sui problemi tecnici, sociali e legali della sicurezza delle informazioni partecipando come opinion leader a trasmissioni televisive e radiofoniche, e tenendo frequentemente conferenze e seminari. Ha al suo attivo oltre mille articoli e quattro libri. Possiede le certificazioni: Lead Auditor BS7799 (BSI, UK), Lead Auditor ISO 27001 (BSI, UK), CISM (ISACA, USA), CRISC (ISACA, USA), C|CISO (EC Council, USA). È membro di: ISACA (Information Systems Audit and Control Association, USA); Computer Society of the IEEE (Institute of Electrical and Electronic Engineers, USA); AICA (Associazione Italiana per l’Informatica ed il Calcolo Automatico, Italia); AIP-ITCS (Associazione Informatici Professionisti, Italia), AFCEA (Armed Forces Communications & Electronics Association, USA). È senior member di ACM (Association for Computing Machinery, USA) e socio promotore ad honorem del capitolo italiano di CSA (Cloud Security Alliance, USA). La sua biografia è inserita nell’Enciclopedia Italiana Treccani.

Related Posts

Ultime news

agenzia entrate
Andrea Chittaro Snam
elezioni attacchi hacker
intelligence risposta cyber