Un asciugamano per gestire le crisi informatiche

In questa rubrica cerchiamo sempre di affrontare i vari problemi che impattano sulla sicurezza informatica, alla luce delle minacce che nel tempo si fanno sempre più complesse e potenzialmente dannose, cercando di offrire spunti e idee per escogitare una strategia di difesa adeguata alla propria struttura. In questo numero vi voglio raccontare invece cosa possiamo fare quando tutte le nostre difese sono crollate, i nostri sistemi e servizi non rispondono, ed è a rischio di catastrofe (informatica) tutta la nostra organizzazione.

Mi riferisco alla gestione della crisi informatica, o Cyber Crisis Management, una disciplina che sta diventando sempre più importante, sia alla luce dei trend normativi nazionali ed internazionali, penso per esempio alla NIS2, che dal punto di vista strategico per la sopravvivenza e la limitazione dei danni in una organizzazione.

Per crisis management si intende l’attuazione di un piano, di azioni e di procedure da attivare nel momento in cui scoppia una crisi nella propria struttura.

Lo spazio su queste pagine non ci consente di esaminare ogni questione nel dettaglio, ma uno degli aspetti fondamentali da valutare è proprio la definizione stessa della parola “crisi”, che non è banale: quando è il momento in cui si passa da normale amministrazione, a gestione di un problema o di un incidente grave, ad una vera e propria crisi? Come si fa a decidere quando passare alla modalità “crisi”? Chi può spingere il bottone rosso che decreta lo stato di crisi?

La definizione operativa e concreta dello stato di crisi è variabile per ogni struttura, poiché ogni organizzazione ha una propria scala di valori e priorità. Sicuramente non è “crisi” quando non funziona un servizio, o uno o più servizi non essenziali, quando il danno è grande, oneroso e lungo da sistemare, ma lo abbiamo circoscritto e sappiamo cosa dobbiamo fare per ripararlo. Ecco alcune linee generali per orientarsi su quello che potrebbe essere definito come crisi:

• impossibilità per l’ente di svolgere la propria missione (es. didattica, esami),
• impatto molto grave su più dimensioni delle organizzazioni: IT, aspetti finanziari, reputazione, fiducia degli utenti, complicanze legali e penali,
• impossibilità di capire rapidamente la causa del problema per intervenire, e conseguente imprevedibilità del corso degli eventi,
• escalation: sono state già adoperate tutte le procedure previste per la gestione di incidenti, per il piano di resilienza, per il piano di business continuity, e il problema ancora persiste,
• situazione in rapidissima evoluzione con servizi che cadono in successione per cause sconosciute,
• caos totale.

Per non soccombere in situazioni così tremende e caotiche serve sangue freddo, una piccola squadra di persone competenti che assuma il controllo e responsabilità e un piano di emergenza, cioè un manuale scritto dove sono riportate tutte le persone da chiamare e le procedure da attuare quando arriva una crisi.

Un altro aspetto fondamentale da curare è la costante comunicazione con i propri utenti, stakeholder ed eventualmente con la stampa per garantire trasparenza e mantenere la reputazione.

Il piano di emergenza crisi: alcuni dettagli

Come già detto, la prima cosa che il piano dovrebbe contenere è la definizione che la struttura dà alla parola “crisi”, chi ne decreta lo stato e in che modalità. In seguito, dobbiamo metterci nell’ordine di idee che con tutto il caos che ci sarà, è necessaria estrema velocità sia nel prendere decisioni, anche di enorme impatto, sia nelle azioni da intraprendere, non ci sarà tempo per valutare con calma ogni possibile aspetto, non avremo di sicuro tutte le informazioni necessarie per decidere. Per questo deve essere formata una unità di crisi composta da poche persone, ma tutte quelle necessarie a prendere le decisioni e a compiere determinate azioni. Al minimo la composizione prevede: una persona del board (Rettore/Direttore Generale/Presidente), una persona IT e/o CERT, una persona per il DPO, una persona per l’ufficio comunicazione. Queste persone devono essere profondamente competenti nella propria materia, resistere a situazioni di stress, capaci di mantenere la calma e avere potere decisionale per quanto di propria competenza. In molti casi a questo nucleo si aggiungono persone di operation management, sistemisti, CERT/SOC/NOC, un legale, e nel caso si dovesse spendere con estrema rapidità del denaro, un contabile. Sono necessari inoltre due ruoli, da ricoprire con le persone già inserite o con altre: il segretario, che verbalizzerà le discussioni, le decisioni finali e le azioni eseguite, e il Cyber Crisis Manager, che in caso di disputa o discordanza fra i membri, assuma decisioni e responsabilità: in relazione alla diversa risposta allo stress, al carattere dei singoli membri e alla necessaria velocità di azione, non vogliamo certo che all’interno del gruppo si crei schismogenesi.

Proprio per evitare qualsiasi perdita di tempo dovranno essere note a tutti le modalità di convocazione dei membri, il tipo di riunioni previste, le modalità con cui i membri dell’unità di crisi possono comunicare fra di sé, tenendo presente anche che la mail, i telefoni o sistemi di messaggistica potrebbero non funzionare. Per le riunioni in presenza dovrà essere predisposta una stanza da adibire allo scopo, che contenga il materiale necessario, fra cui copie cartacee del piano; inoltre è stato appurato che sono utili generi di conforto a disposizione, sia per gestire lo stress che come rinforzo se le riunioni durassero a lungo. Dovranno essere stabilite procedure anche per riunioni da remoto, considerando la possibile assenza di connettività.

Dovrà inoltre essere implementata una procedura di gestione degli input esterni (si chiamano “injection”) per stabilire come si devono comportare i membri nel caso ricevessero delle telefonate o pressioni sui dispositivi e account personali. Di solito viene individuata una persona “addetta alle comunicazioni” per prendere tutti gli input esterni, filtrarli e riportarli all’unità di crisi, in modo che i membri non possano distrarsi, perdere tempo, o dire cose che il responsabile della comunicazione non avrebbe mai detto!

L’aspetto comunicativo è una delle questioni più importanti da curare a fondo durante una crisi, sia nella comunicazione interna, verso dipendenti, utenti e stakeholder, che nella comunicazione esterna verso la stampa, social network, altri enti e forze dell’ordine. È necessario informare tramite comunicati concisi e precisi, senza dettagli superflui, a cadenza regolare. In questo modo chiunque, ma soprattutto la stampa, può cercarsi le informazioni con i propri tempi, senza chiamare e fare pressione. Con i dipendenti e utenti dovremmo essere più precisi e dettagliati, dato che la catastrofe si sta abbattendo sui loro dati personali, ma bisogna bilanciare perché pur informando che questo tipo di comunicazioni sono strettamente confidenziali, è quasi impossibile che qualcuno non divulghi i comunicati verso l’esterno.

La formazione dell’unità di crisi

Alla luce dell’immenso lavoro e difficoltà che l’unità di crisi deve essere capace di affrontare, è necessario che i membri, oltre alle proprie qualità personali, debbano essere formati per lavorare in situazioni di forte pressione, magari con persone con cui non abbiano mai lavorato prima e non conoscono bene. Risulta quindi utile formare il gruppo al team building e alla gestione dello stress, oltre alla formazione di competenze specifiche, per esempio in crisis communication.

Le esercitazioni

Una volta stilato il piano, prima che arrivi una vera e propria crisi, è necessario testarlo, in modo da poterne valutare la qualità ed eventualmente apportare delle modifiche migliorative. Per testare il piano si sottopone l’unità di crisi a esercitazioni, di solito annuali, che constano nel creare scenari apocalittici che i nostri eroi dovranno superare attenendosi al piano. A volte si fanno delle vere e proprie simulazioni, dove i personaggi interpretano ruoli e compiono azioni, ma non è sempre necessario, possiamo anche iniziare dal testare piccole cose, per esempio la comunicazione, o l’adeguatezza degli spazi adibiti alla gestione della crisi, o semplicemente a come rispondere alle varie injection

Quando finisce una crisi?

Per alcuni le crisi sono come il primo amore, non finiscono mai. Invece le crisi devono finire nel più breve tempo possibile, è quindi necessario stabilire a priori quando togliere la mano dal bottone rosso. La fine della crisi è conseguenza di come è stata definita nel piano, ma in generale la crisi finisce nel momento in cui abbiamo capito il problema e abbiamo una linea di azione, pur generica e incerta, per risolverlo. In altre parole la crisi non finisce quando abbiamo risolto il problema ma quando sappiamo come risolverlo. Solo allora si potranno sistemare le cose, con calma, si potranno calcolare i danni e fare eventuali acquisti per la remediation.

L’ultima cosa da fare dopo aver risolto il problema è scrivere un bel report con tutto quello che si è fatto e la learning lesson da tenere fra le cose preziose per eventuali crisi future.

Conclusioni

Alla luce delle minacce sempre più pericolose, e dei disastri che potrebbero capitare nei nostri enti, il piano di crisis management a cui attenersi è la nostra bussola per gestire il caos con la razionalità, è il nostro asciugamano da portare sempre con noi, autostoppisti dell’imprevedibile.

Riferimenti

Douglas Adams, Guida galattica per autostoppisti

Elementi di un piano di crisis management

• Definizione di “crisi” per la struttura
• Definizione di “unità di crisi”: persone, ruoli, responsabilità
• Individuazione di una persona che sarà unica responsabile di decretare lo stato di crisi
• Modalita’ di convocazione riunioni, materiale, generi di conforto
• Gestione delle injection
• Comunicazione interna ed esterna
• Formazione
• Esercitazioni
• Fine della crisi

Formazione

GÉANT ogni anno propone due simulazioni per crisis management, una online e una in presenza.
Info su security.geant.org/claw-workshop