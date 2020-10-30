Se avessi intervistato gli esperti di cybersecurity mentre si recavano al lavoro il 12 maggio 2017, la maggior parte di loro avrebbe detto di sapere che si profilava un grande evento di cybersecurity.
Eppure, quando viaggiavano in auto, treno o traghetto verso i rispettivi uffici quella mattina di primavera, nessuno si aspettava di trovarsi davanti alla tempesta perfetta, sotto forma del ransomware WannaCry, l'attacco informatico più dannoso di sempre.
I nostri dispositivi, sistemi e reti sono sempre più interconnessi, il che significa che i virus possono spostarsi molto più facilmente tra i sistemi rispetto al passato. Ma senza un grande evento negli ultimi tempi, la maggior parte di noi (anche un giornalista di cybersecurity come me) è diventata un po' compiacente. Combinando questi fattori con il numero di dispositivi e sistemi attivi, il quadro era pronto.
Questo attacco ransomware è stato il più grande evento di cybersecurity mai visto al mondo, in parte perché l'impatto è stato più ampio dell'epidemia stessa. Ha creato enormi ripercussioni nelle aziende, nella politica, nella comunità degli hacker e nella cultura della cybersecurity.
Anche dopo la scoperta dell'interruttore di spegnimento, il virus ha continuato a devastare ogni sistema e tutti i dati che toccava, attaccando i sistemi informatici di 300 organizzazioni in 150 paesi.
La Russia ha subito il più alto numero di tentativi di infezione di qualsiasi altro Paese al mondo, secondo la BBC. Tuttavia, la maggior parte dei server mission-critical non sono stati colpiti, in quanto eseguivano un software dell'era sovietica noto come Elbrus. Tuttavia, l'immunità tecnica non ha impedito al virus di diffondersi ai computer in tutto il paese. Ha bloccato gli endpoint del Ministero degli Interni, delle ferrovie, delle banche e del grande operatore di telefonia mobile Megafon.
Seguire WannaCry dal vivo mi ha lasciato incuriosito e pieno di domande, anche ad anni di distanza. Ogni volta che l'attacco è tornato argomento di conversazione negli ultimi tre anni, ho sentito ripetersi lo stesso tema: WannaCry è stato travolgente e ha cambiato il modo in cui affrontiamo la cybersecurity e vediamo i rischi per le aziende.
Per me, quel sentimento era troppo ampio per un evento di questa portata. Avevo domande molto più specifiche. Com'è stato essere un professionista della sicurezza il 12 maggio 2017? Qual è stato l'impatto totale per imprese e governi in tutto il mondo? In che modo ciò che abbiamo imparato quel giorno ha influenzato il nostro attuale panorama aziendale, tecnologico e di cybersecurity?
Mi sono anche chiesto come il fatto che il mondo intero abbia seguito l'evento, attraverso i social media e i siti di notizie digitali, abbia cambiato sia la risposta sia l'impatto complessivo. I leader aziendali e il pubblico guardavano la copertura giornalistica, e nessuno sapeva esattamente cosa stesse accadendo. Quasi tutti concordavano che sembrava minaccioso. Ero anche curioso di sapere se questo avesse contribuito ad aumentare il panico pubblico o se avesse contribuito a risolvere il problema prima.
"È ancora qualcosa di grande. È stato presentato come qualcosa per cui le organizzazioni non erano preparate. È stato davvero un ottimo campanello d'allarme per molte aziende," afferma Tracey Nash, Incident Command Program Manager di IBM X-Force. Nash considera il 12 maggio 2017 il momento in cui le organizzazioni hanno capito di dover considerare il lato business dei rischi di cybersecurity.
Per scoprire esattamente cosa è successo e, cosa ancora più importante, perché WannaCry ha lasciato un vero e proprio cratere al suo passaggio, ho parlato con i principali attori che hanno risposto all'attacco. Una persona con cui ho trascorso molte ore a parlare è stata Wendi Whitmore, vicepresidente di IBM X-Force Threat Intelligence. Ho parlato anche con Christopher Scott, direttore di Security Innovation and Remediation (Office of the CISO) di IBM, per conoscere il suo punto di vista sugli eventi di quel giorno e sulla ripresa dopo l'attacco WannaCry.
Questa storia racconta il viaggio alla scoperta di cosa sia realmente successo in quei giorni caotici di tre anni fa e come l'impatto e il legacy di WannaCry sopravvivono oggi.
Molte persone, anche professionisti della cybersecurity leader del settore, hanno appreso dell'attacco tramite un tweet. Un medico del Sistema Sanitario Nazionale (NHS) del Regno Unito è stato tra i primi a dare la notizia del massiccio attacco su Twitter. A seguire, innumerevoli colleghi hanno mostrato foto dei loro schermi di computer bloccati, tutti con lo stesso messaggio: "Ooops, your files have been encrypted!"
All'epoca, i dipendenti del NHS non avevano idea che l'attacco avrebbe infine causato 70.000 dispositivi infetti e la chiusura totale di un terzo di tutti gli ospedali NHS. L'impatto di WannaCry sul NHS e su altri ospedali nel mondo è stata la prova che il crimine informatico può causare gravi danni nell'era dell'Internet of Medical Things (IoMT). Fortunatamente, i ricercatori sulla sicurezza clinica hanno stabilito in via definitiva che il caos causato dal criptoworm non ha causato la morte di alcun paziente.
Anche chi non era al computer si è reso conto molto rapidamente che stava succedendo qualcosa di grosso:
Sulla segnaletica digitale che annunciava gli arrivi e le partenze dei treni in Germania è apparsa una richiesta di bitcoin.
La stessa identica dicitura è apparsa anche su decine di schermi cinematografici in Corea del Sud.
A Jakarta, in Indonesia, i pazienti ospedalieri hanno dovuto attendere diverse ore mentre i medici passavano dai sistemi informatici ai documenti cartacei.
Whitmore, che all'epoca lavorava come partner globale e responsabile della risposta agli incidenti con X-Force Threat Intelligence, dice che quasi subito dopo l'inizio dell'attacco, il suo team ha iniziato a grattarsi la testa e a dire ad alta voce: "È strano."
In particolare, il team di Whitmore capì di trovarsi di fronte a qualcosa di diverso quando scoprì che era letteralmente impossibile far rilasciare i file infetti. Il ransomware non ha fornito agli hacker alcun modo per sapere chi ha pagato il riscatto.
Una delle sue prime priorità era procurarsi copie del malware. Sapeva che non puoi fermare qualcosa finché non sai esattamente come funziona. Ma procurarsi le copie e analizzarle è stato difficile, soprattutto sotto la pressione di sapere che il mondo si stava rapidamente fermando.
WannaCry è stato l'attacco di crimine informatico che si diffonde più rapidamente mai vissuto. I computer connessi a Internet senza patch potrebbero cadere vittima nel giro di pochi minuti e iniziare rapidamente a diffondere il worm attraverso la rete. Molti articoli di cronaca descrivono team IT che si affrettano a cercare di contenere i danni mentre i colleghi avviano i loro PC di lavoro.
Quando ho chiesto a Laurance Dine, global lead di X-Force Threat Intelligence (che all'epoca lavorava per un provider di servizi gestiti globale), quale fosse il suo più grande ricordo della giornata, mi ha risposto che il telefono squillava continuamente. Ogni persona all'altro capo era un cliente in preda al panico che aveva bisogno di aiuto. Ha riassunto la giornata come "una follia assoluta".
Molto rapidamente, tutto il suo team, inclusi altri esperti di sicurezza che non facevano parte del team di risposta agli incidenti, si è ritrovato in prima linea.
"Era tutto urgente e sembrava che tutti fossero coinvolti. "Il cittadino medio sapeva cosa stava succedendo con il ransomware", afferma Dine. "Capivano le notizie e cosa stava succedendo, non potevano andare in ospedale, e la loro vita ne è stata influenzata".
Durante la giornata, gli operatori della risposta agli incidenti hanno collettivamente annullato i loro piani e si sono allacciati per un lungo weekend di duro lavoro. Tutti osservavano sbalorditi le aziende globali colpite dal worm WannaCry.
Quello che nessuno di noi sapeva all'epoca era che il cryptoworm che distruggeva ogni sistema che toccava proveniva in realtà da una vulnerabilità di due mesi fa nota come EternalBlue. Una volta che "Wanna Decryptor" è riuscito a infettare un singolo computer su una singola rete, WannaCry ha iniziato a diffondersi ad altri computer sulla stessa rete, mentre scansionava Internet alla ricerca di altri computer non aggiornati. La vulnerabilità sfruttata da EternalBlue ha lasciato le macchine Windows non patchate esposte all'infezione e ha diffuso il virus WannaCry.
Di solito i cryptoworm possono essere rilevati rapidamente sulle reti aziendali. Ma WannaCry è rimasto nascosto fino a quando non è esploso. Il rilevamento è qualcosa che molti attori delle minacce cercano di evitare a tutti i costi, soprattutto durante un attacco altamente mirato, ma WannaCry non è stato un attacco mirato. È stato un attacco globale accuratamente pianificato, progettato per attirare quanta più attenzione possibile, ed è esattamente quello che è successo.
In molti casi, spiega Scott, la diffusione è stata resa possibile anche da quella che lui chiama una "rete M&M". In un caso come questo, la struttura della rete è dura all'esterno e morbida all'interno. Questo era un ambiente accogliente per gli attori delle minacce e i cryptoworm. Fa notare che una volta che il cryptoworm ha superato il guscio duro all'edge della rete, WannaCry ha trovato molta libertà di spostare nell'ambiente.
Nelle sette ore successive, il "grande worm" ha scatenato il caos a livello globale, finché i ricercatori di cybersecurity Marcus Hutchins e Jamie Hankins non hanno scoperto un kill switch. Sono stati poi scoperti altri due kill switch che hanno reso il ceppo ransomware per lo più inerte.
Ma il lungo processo di bonifica era appena iniziato per 300 organizzazioni in tutto il mondo, e nessuno di noi si rendeva conto dell'entità del danno e del processo per risolverlo. Eravamo ancora in territorio non mappato, compresa la squadra di Scott, che si affrettava ad applicare una correzione.
"Avevo bisogno di riportare gli ambienti alla capacità operativa", afferma Scott. "Ma come facciamo a effettuare i test per essere certi che una soluzione sia corretta? Come possiamo farla accettare da parte degli utenti? E poi, come possiamo metterla in produzione?"
In molti casi, il team di Scott ha dovuto bypassare i tradizionali processi di test e correre il rischio che la fretta avrebbe "rotto qualcosa". WannaCry non offriva opzioni alle persone, e questa è stata una delle principali ragioni della distruzione di massa che ne seguì.
La maggior parte dei professionisti della cybersecurity sa che WannaCry non è stato certo un successo finanziario, e i dati sul suo profitto netto mostrano che è stato molto inferiore al previsto. I dati della blockchain rivelano che, tra maggio 2017 e dicembre 2019, WannaCry ha guadagnato agli attaccanti un totale di circa 386.000 USD, anche se il totale fluttua in base alla valutazione del bitcoin. Si tratta di una cifra irrisoria, pari a 1,08 dollari o meno per computer infetto.
Rispetto ai virus di e-mail molto precedenti, in termini puramente economici, era quasi un affare. Symantec ha stimato perdite finanziarie pari a 4 miliardi di dollari nel 2018 a causa di WannaCry, una cifra probabilmente più alta oggi. Il virus Conficker ha causato danni per oltre 9,1 miliardi di dollari nel 2007 e ha infettato milioni di computer in tutto il mondo. Nel 2004, MyDoom ha causato circa 38 miliardi di dollari in danni e ha influenzato circa il 25% delle e-mail inviate nel corso dell'anno.
Questo cryptoworm era destinato a fare molto rumore, piuttosto che a trarre profitto da un singolo bersaglio. Secondo Dine, gli attori delle minacce dietro WannaCry hanno utilizzato specificatamente il software di contabilità fiscale ucraino, un software che il governo ha imposto a tutte le organizzazioni che operano in Ucraina. Con l'invio di un aggiornamento del software, gli attori delle minacce sono riusciti a distruggere un'enorme fetta dell'infrastruttura nazionale ucraina.
La stragrande maggioranza della criminalità informatica è mossa da motivi finanziari. È raro imbattersi in un ransomware progettato per scatenare una devastazione di massa con poca preoccupazione per i riscatti effettivi.
Quando le è stato chiesto quale fosse secondo lei la parte più significativa di WannaCry, Whitmore ha risposto che tutto era significativo.
"È stato sicuramente un enorme campanello d'allarme", afferma Whitmore. "Quindi, per qualsiasi organizzazione che ha visto questi conglomerati globali... che avevano buoni programmi e protocolli di sicurezza che sono stati colpiti [dal virus], ciò ha aumentato la consapevolezza".
"È stato sicuramente un enorme campanello d'allarme", afferma Whitmore.
Secondo lei, dopo WannaCry le campagne mirate si sono fatte più frequenti. Anche se gli attacchi non riguardano sempre un singolo cliente, ora gli attori delle minacce possono inviare molte e-mail di phishing e ottenere accesso a 10 clienti. Da lì, secondo lei, gli attori delle minacce impiegano da sei a 12 mesi per eseguire un'attenta ricognizione sui potenziali obiettivi, evitando il rilevamento all'interno della rete.
Alla fine, dice Whitmore, lanciano il ransomware dove sanno o sospettano di avere maggiori possibilità di essere pagati.
WannaCry è probabilmente almeno in parte responsabile dell'attuale vettore di minaccia e della crescente popolarità degli attacchi ransomware commerciali. Secondo il Data Breach Investigations Report (DBIR) del 2018, nel 2017 il ransomware ha rappresentato il 39% di tutti gli incidenti di malware con violazione dei dati. Da allora, gli attacchi si sono evoluti, diventando molto più sofisticati e costosi per le vittime. Inoltre, il ransomware commerciale è spesso in grado di eludere i metodi di rilevamento.
Molte organizzazioni che furono impattate disponevano di numerosi data backup, ma non sempre era possibile recuperarli. In molti casi, i backup erano connessi alla rete e vulnerabili al blocco da parte di WannaCry. In altri casi, le organizzazioni disponevano di backup off-site e non li avevano testati per facilitarne il ripristino.
L'incidente crypto-ransomware di maggio 2017 è stato un punto di svolta per il landscape. WannaCry ha avuto un impatto positivo sulla cultura della cybersecurity aziendale, ma ha anche fatto sì che il ransomware entrasse nella coscienza degli attori delle minacce globali. Molti attori delle minacce ransomware commerciali ora effettuano una ricerca sul valore dei dati di una vittima nel caso in cui vengano persi o venduti a un concorrente.
Un esempio: Whitmore ha appena assistito a un attacco ransomware contro un'organizzazione nelle ultime sei settimane. Gli aggressori hanno chiesto 25 milioni di dollari di riscatto. "Non si trattava affatto di una grande azienda", afferma Whitmore.
Prima di WannaCry, la maggior parte dei leader aziendali sembrava avere un atteggiamento del tipo "figuriamoci se può succedere a noi", specialmente al di fuori del settore sanitario. Ora, quando parlo di ransomware, la gente mi ascolta. I leader aziendali spesso sono i primi a parlare del ransomware con me e altri esperti di cybersecurity. Dal mio punto di vista, uno degli effetti più significativi del trauma e della distruzione di WannaCry è stato il modo in cui i dirigenti aziendali hanno capito che il ransomware era una minaccia significativa.
L'evento ha avuto anche un impatto profondo sul ruolo della cybersecurity all'interno di un'azienda e sul ruolo del CISO nel consiglio di amministrazione. Ora i dirigenti si rendono conto che è possibile affrontare una grave violazione informatica e ottenere in realtà risultati migliori dal punto di vista della reputazione.
Un marchio di logistica con sede nell'UE mostra come abbia subito pochi danni reputazionali da WannaCry. Il CEO ha assunto un ruolo pubblico e ha parlato direttamente al pubblico e ai clienti nei giorni successivi all'attacco. La combinazione tra il cryptoworm e un CEO sicuro di sé e comunicativo ha rappresentato un primo passo fondamentale verso una cultura aziendale di cybersecurity basata sulla responsabilità condivisa.
Innumerevoli imitazioni e scosse di assestamento sono arrivate dopo il primo attacco di WannaCry. ESET ha rivelato a maggio 2020 che WannaCry rappresentava il 40,5% di tutti i rilevamenti di ransomware nel primo trimestre del 2020. Alcuni paesi sono ancora colpiti in modo sproporzionato dalle scosse di assestamento di WannaCry perché i principali ISP bloccano i domini kill switch. Alcune di queste infezioni persistenti sono dovute a scarse pratiche di igiene informatica. Altre infezioni persistono su endpoint non tradizionali che per molte aziende sono difficili da rilevare, figuriamoci gestire.
È difficile dire se le aziende sarebbero significativamente meglio preparate a un attacco globale di cryptoworm nel 2020 rispetto a quanto lo fossero nel 2017. Tuttavia, la maggior parte degli esperti con cui ho parlato concorda che l'elemento umano della cybersecurity si sia evoluto drasticamente, il che dovrebbe dare speranza ai professionisti della risposta agli incidenti.
Tuttavia, secondo ESET, i dati del motore di ricerca Shodan hanno rivelato che quasi 1 milione di dispositivi erano ancora vulnerabili e non aggiornati contro la vulnerabilità EternalBlue a maggio 2019. Dalla fine di maggio 2017, la variazione di questa cifra è stata minima, il che è molto preoccupante.
Un recente sondaggio mostra che il 27% delle organizzazioni globali ha attribuito un incidente di violazione dei dati a vulnerabilità non corrette. Ancora più preoccupante è che un'enorme percentuale non ha idea di quali siano gli endpoint della propria rete che presentano rischi. Nel frattempo, il 39% delle organizzazioni ammette di effettuare scansioni delle vulnerabilità meno di una volta al mese. Secondo CA Veracode, oltre il 70% delle vulnerabilità rimane non risolto dopo 30 giorni.
Il costo per recuperare da un attacco altamente distruttivo è stato di 239 milioni di dollari, ovvero 61 volte più costoso di un incidente medio con perdita di dati.
Scott ha notato importanti cambiamenti positivi nel modo in cui le organizzazioni affrontano gli ambienti e i punti di controllo per evitare le condizioni di "guscio di caramella dura" che hanno permesso al worm di diffondersi così rapidamente. I client ora pensano alla containerizzazione e ai microservizi invece di fornire agli attaccanti il tipo di target di rete morbido e appiccicoso che era comune nel 2017 e prima. Questo potrebbe essere parzialmente legato a WannaCry, ma è anche probabile che sia dovuto al fatto che i perimetri delle reti aziendali si sono spostati.
Nelle reti odierne, non è raro imbattersi in molti server che potrebbero non avere accesso alle postazioni di lavoro. Gli utenti possono invece accedere ai dati cloud tramite agenti. Il cloud aggiunge un po' di complessità alle politiche di sicurezza e complica alcuni workflow, ma ha anche migliorato il livello di sicurezza sotto molti aspetti. L'isolamento guidato dal cloud significa che le organizzazioni non operano più su una grande rete.
Il passaggio dalle reti di ieri ha avuto un impatto anche sui privilegi degli utenti. Scott ritiene che questo sia un aspetto molto positivo nella difesa contro le minacce persistenti avanzate (APT) e gli account privilegiati. Soprattutto, molte organizzazioni stanno passando a modelli di accesso basati su trust e bisogni, invece di designare super utenti e ristrutturare privilegi.
Tuttavia, tre anni dopo il worm WannaCry, il costo per riprendersi da ransomware e APT altamente mirati ha raggiunto il massimo storico. Questo è sconcertante. Lo scorso anno, il costo medio di recupero per una violazione dei dati è stato di 3,92 milioni di USD, secondo il report Cost of a Data Breach del 2019. Il costo per recuperare da un attacco altamente distruttivo è stato di 239 milioni di dollari, ovvero 61 volte più costoso di un incidente medio con perdita di dati.
Gli attori delle minacce stanno diventando più audaci e più calcolati nel chiedere esattamente la quantità di denaro che pensano valgano i dati di una vittima. Il ransomware commerciale nel 2020 non è pensato per diffondersi viralmente nelle reti o per colpire centinaia di migliaia di endpoint non patchati. Invece, gli attori delle minacce prendono di mira le aziende che probabilmente pagheranno riscatti per milioni.
Gli attori delle minacce si concentrano sulle vittime per assicurarsi che invadano tutti i sistemi giusti e creare un ambiente di terrore, spesso arrivando persino ai server di backup per cercare di costringere la vittima a pagare il riscatto.
L'aumento della collaborazione è stato uno degli impatti più positivi degli ultimi tre anni. WannaCry potrebbe essere stato in qualche modo un catalizzatore per una maggiore collaborazione tra industrie, settore pubblico e responsabili politici internazionali.
Ho parlato con Mike Barcomb, direttore di programma presso X-Force Incident Command, per conoscere il suo punto di vista sul cambiamento.
"È stato l'obiettivo delle aziende costruire questi programmi di risposta agli incidenti, ma anche lavorare insieme ai loro colleghi e ad altre imprese dei settori", afferma Barcomb. "Costruiscono energia dove possono condividere best practice e informazioni sugli attori delle minacce, sulle cose che hanno visto e che hanno vissuto.
"Creano energia dove possono condividere best practice e informazioni sugli attori delle minacce, cose che hanno visto e cose che hanno sperimentato."
"È molto incoraggiante vedere le aziende collaborare per costruire difese contro le minacce".
L'elemento umano della preparazione è importante quanto la prontezza tecnologica per garantire una corretta igiene informatica, afferma Kurt Rohrbacher, responsabile di IBM X-Force Threat Intelligence North America. Il modo migliore in cui un'organizzazione può essere preparata a qualsiasi incidente globale è pensare a cosa succede quando i controlli falliscono, e considerare il peso di ogni decisione.
"Le persone non pensano spesso a come le prime ore di un incidente possano spesso determinare se dovrete affrontare questo per un giorno, una settimana, un mese o, in alcuni casi, un anno", dice Rohrbacher. "Identificare i passi che compirai molto presto in un incidente determinerà o non farà la tua risposta finale."
"Identificare i passaggi da intraprendere il più presto possibile in caso di incidente determinerà il successo o il fallimento della risposta finale."
Questa affermazione mi ha colpito molto, perché spesso sottovalutiamo l'impatto dello stress e del panico sul nostro processo decisionale. Queste decisioni apparentemente piccole possono fare la differenza tra milioni di dollari e anni o mesi di recupero.
Scott mi ha detto che gli dà speranza vedere l'inizio di un cambiamento nelle prestazioni (KPI), un ambito che lo appassiona particolarmente. Spesso chiede al suo team: "Come possiamo monitorare e incentivare davvero le persone a svolgere il lavoro correttamente?"
Nel caso degli analisti SOC, le metriche che si concentrano sulla velocità di risoluzione e sui tempi possono essere controproducenti. Gli analisti SOC possono distrarsi se operano in un ambiente troppo focalizzato sull'efficienza. Potrebbero chiudere i ticket prima di completare un'indagine e perdere il quadro generale, come il punto di infiltrazione di un attacco.
Le abitudini di igiene informatica e patch del settore potrebbero non essere migliorate in modo misurabile da maggio 2017, ma la maggior parte degli esperti concorda che oggi saremmo meglio preparati rispetto a prima, anche al di fuori delle organizzazioni che hanno già subito attacchi ransomware. Si tratta di un cambiamento nell'elemento umano della cybersecurity.
Rohrbacher ride quando chiedo come le aziende e i professionisti della cybersecurity si preparano all'imprevisto. Lui alza le spalle e dice: "Beh, non c'è niente di meglio della realtà".
Mi ha detto che un incidente reale, come WannaCry, aumenta sia la consapevolezza che la preparazione. Oltre a questo, quasi tutti gli esperti di risposta agli incidenti con cui ho parlato concordano sul fatto che la simulazione sia fondamentale, così come gli esercizi trimestrali da tavolo e i test regolari degli strumenti di comunicazione sono fondamentali per costruire la memoria muscolare.
Ha indicato le simulazioni di phishing e le attività di cyber-range come due modi in cui le organizzazioni possono prepararsi a risultati imprevisti. Rohrbacher afferma che se un esercizio o una esercitazione coinvolge davvero le persone nella situazione e le incoraggia a divertirsi, è più probabile che traggano spunto da esse per reagire meglio.
Rimango costantemente colpito dalla somiglianza tra l'attuale pandemia di COVID-19 e l'attacco di WannaCry. Le prime ore dell'attacco sono sembrate molto simili a marzo 2020, mentre tutti entravano in modalità crisi cercando di gestire una situazione mai vista prima. Ora, con il protrarsi della pandemia, la sensazione è simile a quella che proviamo ancora oggi quando riscontriamo infezioni da WannaCry. La pandemia probabilmente colpisce la maggior parte di noi a livello più personale. Ma entrambe le crisi hanno influenzato la nostra vita quotidiana in modi che nessuno avrebbe potuto immaginare o prevedere.
Le lezioni più importanti da trarre da entrambi gli eventi si riducono alla preparazione. Sia WannaCry che la pandemia hanno colto tutti di sorpresa. Si pone quindi l'annosa questione di come prepararsi a qualcosa che non si è mai nemmeno avvicinato ad accadere prima.
Quando si pensa alla preparazione, la maggior parte delle persone ha in mente piani strategici, simulazioni, formazione e utilizzo di strumenti, come i backup per il ripristino. Tuttavia, queste misure hanno un effetto limitato quando si verifica un nuovo attacco e non esiste un piano preciso per affrontare ciò che sta accadendo. Penso che si tratti di adottare una nuova prospettiva e un nuovo approccio.
"Quando sei nel mezzo di una crisi, tutto, tranne la memoria muscolare, va a farsi benedire."
Mi torna sempre in mente una frase di Rohrbacher: "Quando sei nel mezzo di una crisi, tutto, tranne la memoria muscolare, va a farsi benedire".
Naturalmente, dobbiamo essere in grado di distribuire la tecnologia, creare piani e supportare le opzioni di recupero. Ma dobbiamo anche concentrarci sulla creazione di fiducia e memoria muscolare per ogni operatore addetto alla risposta agli incidenti.
La fiducia non è qualcosa che si ottiene con una singola sessione di allenamento o una casella da spuntare il giovedì pomeriggio. È un cambiamento sottostante nella cultura e nei processi. La preparazione si riduce a dare alle persone la sicurezza necessaria per assumersi la responsabilità. Vuoi che il tuo team faccia un respiro profondo e dica: "E va bene, ce la posso fare", anche quando accade l'imprevisto.
Jasmine Henry ha contribuito alla stesura di questa storia.