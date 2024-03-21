I ruoli specializzati nella cybersecurity stanno proliferando, il che non sorprende visto l'evoluzione del landscape e l'impatto devastante del ransomware su molte aziende.
Tra questi ruoli, i negoziatori di ransomware stanno diventando sempre più cruciali. Questi negoziatori operano in prima linea nella difesa informatica, impegnandosi direttamente con i criminali informatici per mitigare l'impatto degli attacchi ransomware sulle organizzazioni.
I negoziatori di ransomware possiedono una combinazione unica di competenze tecniche, insight e capacità negoziali che consentono loro di navigare nell'ambiente ad alto rischio della negoziazione del ransomware. Il loro lavoro prevede la comprensione della complessità degli attacchi ransomware, la valutazione della gravità e del potenziale impatto sull'organizzazione e la negoziazione di termini che possano ridurre al minimo i danni e recuperare i dati crittografati.
In questa esclusiva e approfondita sessione di domande e risposte, abbiamo parlato con Andrew Carr, direttore dei programmi di laurea in cybersecurity e professore associato di cybersecurity presso l'Università di Utica.
Carr ha trascorso diversi anni ricoprendo ruoli di supervisione presso importanti organizzazioni, con competenze in analisi forense digitale, tattiche, tecniche e procedure degli attori delle minacce, negoziazioni di ransomware, applicazione della legge sulla privacy dei dati in caso di violazioni, considerazioni di audit finanziario per incidenti informatici, indagini sui furti di proprietà intellettuale e tracciamento delle criptovalute.
Ho conseguito la laurea triennale e magistrale in Cybersecurity presso l'Università di Utica. La mia concentrazione specifica riguardava la scienza forense digitale e quindi, nel corso degli anni, ho conseguito diverse certificazioni forensi digitali che nel frattempo sono decadute. Attualmente possiedo le certificazioni GIAC Certified Incident Handler e CipherTrace Cryptocurrency Tracing Certified Examiner. Ho inoltre partecipato a oltre 1.000 ore di formazione nella disciplina della digital forensics e della risposta agli incidenti.
Il mio primo ruolo è stato quello di analista forense digitale per un laboratorio criminale regionale a New York. In precedenza avevo svolto un tirocinio presso il laboratorio di analisi criminale di un dipartimento di polizia locale, quindi non ho seguito il percorso che molti altri fanno iniziando con un ruolo nelle infrastrutture. Ho sviluppato un vivo interesse per la scienza forense durante gli studi e, una volta laureato, mi ci sono dedicato completamente e non mi sono mai pentito.
Una negoziazione tipica inizia con entrambe le parti che perseguono un esito più favorevole alla loro parte, rispettando l'integrità dell'altra parte e del processo. Le trattative sul ransomware, sfortunatamente, spesso iniziano con il negoziatore e il cliente dalla parte perdente dell'equazione sin dall'inizio.
In queste situazioni, il gruppo di ransomware ha spesso un notevole vantaggio, in quanto cerca di controllare la cadenza e il focus delle comunicazioni, a causa delle urgenti necessità dell'organizzazione colpita di recuperare i file criptati o di sopprimere i dati esfiltrati. Spetta al negoziatore cercare di riprendere il controllo della situazione e utilizzare la comunicazione strategica per riprendere il controllo della cadenza, ottenere insight sul furto di dati e, infine, ottenere un accordo che offra al cliente il miglior risultato possibile data la situazione.
È una battaglia in salita per tutto il percorso, ma con sufficiente insight ed esperienza, i negoziatori riescono spesso a garantire condizioni accettabili per i loro clienti minimizzando la loro esposizione al rischio.
La competenza più preziosa che ho appreso è la capacità di risolvere problemi rapidamente. La risposta agli incidenti avviene a un ritmo vertiginoso e spesso si tratta di nuovi attacchi e strumenti. Si impara presto che bisogna pensare in modo critico e capire le cose rapidamente.
Lo stesso vale per le negoziazioni relative al ransomware. Spesso si cerca di valutare contemporaneamente le esigenze di un'organizzazione, come la decrittazione, l'esfiltrazione dei dati e l'insight sui vettori di attacco, con i rischi intrinseci delle sanzioni federali e delle origini e affiliazioni dei gruppi di minaccia. Spesso ci imbattiamo in un nuovo gruppo e dobbiamo risolvere i problemi sia dal punto di vista negoziale che da quello dei pagamenti per trovare il modo di garantire che il nostro cliente possa tornare alle normali operazioni senza esporlo al rischio di violare le sanzioni. Può essere un compito arduo se non si coinvolgono le persone giuste.
Solide capacità comunicative e di scrittura sono essenziali per avere successo nelle trattative sui ransomware. Spesso ti capita di comunicare in modo accelerato su ingenti somme di denaro e argomenti altamente tecnici con persone la cui lingua madre è diversa dalla tua. Pertanto, la tua comunicazione deve essere concisa, precisa e ben formulata. Anche piccoli problemi nelle sue comunicazioni possono creare problemi significativi più avanti nel processo di negoziazione.
Quelle stesse competenze sono importanti dal punto di vista dell'interazione con il cliente. Un'organizzazione di solito è al minimo durante una negoziazione sul ransomware e le persone sono generalmente esauste, stressate e confuse. È importante che il negoziatore di ransomware trasmetta fiducia guidando la discussione, anticipando le esigenze dell'organizzazione e aderendo allo stesso stile di comunicazione chiaro che lo rende un buon negoziatore.
Le organizzazioni si affidano a noi per fare ciò che è meglio per loro e noi dobbiamo sempre assicurarci che si sentano ascoltate e comprese, aiutandole al tempo stesso a comprendere appieno un processo che potrebbe essere completamente estraneo a loro.
Il successo delle negoziazioni ransomware di un'organizzazione dipende davvero dall'esperienza delle persone che negoziano per loro conto. È fondamentale che un'organizzazione cerchi una società esperta nelle negoziazioni. Tentare di negoziare da soli può avere gravi conseguenze che potrebbero essere evitate coinvolgendo le persone giuste. I fornitori di assicurazioni per la cybersecurity, gli studi legali informatici e i fornitori affidabili di risposta agli incidenti possono generalmente fornirti raccomandazioni di qualità su chi potrebbe essere adatto alle tue trattative, ma la chiave è coinvolgerli il prima possibile.
Il ransomware è una sfortunata parte della nuova realtà del landscape aziendale, ma ci sono persone là fuori che possono aiutarti a orientarti attraverso il percorso difficile.