Ricordo quel giorno come se fosse ieri: Il nostro CEO mi ha chiamato nel suo ufficio, chiedendomi di lasciare smartphone e portatile sulla mia scrivania.
“Siamo stati hackerati”, mi ha detto senza mezzi termini. “Stiamo ancora indagando, ma possiamo confermare che abbiamo un cybercriminale estremamente sofisticato e sponsorizzato da un governo attivo all’interno del nostro perimetro”.
A essere sinceri, non è stato del tutto inaspettato. I nostri specialisti già da tempo avevano a che fare con le violazioni della sicurezza dei nostri clienti e noi, come azienda di sicurezza, eravamo un obiettivo particolare. Tuttavia, è stata una spiacevole sorpresa: qualcuno era riuscito a penetrare nelle cyber-difese di un’azienda di sicurezza informatica. Qui troverete maggiori informazioni. Oggi voglio parlare di una delle domande chiave che sono emerse immediatamente: “In che modo lo comunichiamo?”
Cinque fasi per imparare a conviverci: negazione, rabbia, negoziazione, depressione e accettazione
Poiché è accaduto prima del GDPR (Regolamento generale sulla protezione dei dati), ogni azienda aveva in realtà due opzioni: comunicarlo pubblicamente o negare che si sia verificato un incidente. Quest’ultima non era un’opzione per Kaspersky Lab, azienda di sicurezza informatica trasparente che promuove una divulgazione responsabile. Abbiamo ottenuto il consenso da parte dei dirigenti e abbiamo iniziato a prepararci per annunciarlo pubblicamente. Avanti tutta!
Era la cosa giusta da fare, soprattutto perché stavamo osservando la crescente spaccatura geopolitica e avevamo notato chiaramente che le alte sfere che si celavano dietro il cyberattacco avrebbero sicuramente usato la violazione di sicurezza contro di noi. Gli unici elementi sconosciuti erano come e quando. Comunicando proattivamente la violazione di sicurezza, non solo li abbiamo privati di questa opportunità, ma abbiamo anche usato il caso a nostro favore.
Dicono che ci sono due tipi di aziende, quelle che sono state hackerate e quelle che non sanno nemmeno di essere state hackerate. In questo caso, il paradigma è semplice: un’azienda non dovrebbe nascondere una violazione di sicurezza. L’unica cosa di cui vergognarsi sarebbe quella di nascondere l’incidente all’opinione pubblica e mettere a repentaglio la sicurezza informatica di clienti e partner.
Torniamo al nostro caso. Una volta stabilite le parti coinvolte, team di sicurezza legale e informatica, comunicazione, vendite, marketing e assistenza tecnica, abbiamo iniziato il noioso lavoro di preparazione dei comunicati ufficiali e delle domande e risposte, e lo abbiamo fatto contemporaneamente all’indagine in corso da parte degli esperti GReAT (Global Research and Analysis Team) di Kaspersky; i membri del team coinvolti hanno portato tutte le comunicazioni su canali cifrati per escludere la possibilità di compromettere l’indagine. Solo quando abbiamo avuto le risposte alla maggior parte delle domande ci siamo sentiti pronti rendere tutto pubblico.
Come risultato, svariati canali mediatici hanno pubblicato quasi 2 mila articoli sulla base di una notizia che abbiamo creato noi stessi. La maggior parte di essi (il 95%) era neutrale, e abbiamo visto una quantità notevolmente ridotta di articoli negativi (meno del 3%). L’equilibrio della cronaca è comprensibile; i media hanno appreso la storia da noi, dai nostri partner e da altri ricercatori della sicurezza che lavorano tutti con le informazioni giuste. Non dispongo delle cifre esatte, ma dal modo in cui i media hanno reagito alla storia dell’ attacco ransomware che ha colpito il gigante norvegese dell’alluminio Hydro all’inizio di quest’anno, sembra che la gestione di queste notizie non sia stata ottimale. Morale della favola: non tenere mai gli scheletri nell’armadio.
Abbiamo imparato la lezione e andiamo avanti
La buona notizia è che dal cyberattacco del 2015 abbiamo conosciuto non solo le capacità tecniche dei protagonisti più sofisticati della minaccia informatica, ma abbiamo imparato anche a reagire e comunicare l’accaduto.
Abbiamo avuto il tempo di indagare a fondo sull’attacco e imparare da esso. Abbiamo avuto il tempo di superare le fasi della rabbia e della negoziazione, voglio dire, per preparare l’azienda a quello che stavamo per dire pubblicamente e sempre in costante comunicazione con gli esperti di sicurezza informatica e gli esperti di comunicazione aziendale.
Oggi, i tempi per prepararsi a un annuncio pubblico si sono drasticamente ridotti: ad esempio, il GDPR richiede che le aziende che operano con i dati dei clienti non solo informino le autorità sulle violazioni della sicurezza, ma lo facciano entro 72 ore, e una società sottoposta a un cyberattacco deve essere pronta a renderla pubblica dal momento in cui si informano le autorità.
“Con chi dovremmo comunicare all’interno dell’azienda? Quali canali possiamo utilizzare e quali evitare? Come dobbiamo agire?”. Abbiamo risposto a queste e tante altre domande durante l’indagine. Potreste non avere poter la possibilità di rispondere a queste domande da soli nel breve tempo che avete a vostra disposizione: queste informazioni e la nostra preziosa esperienza sono alla base di Kaspersky Incident Communications Service.
Oltre alla formazione standard di specialisti di comunicazione certificati che riguardano la strategia e la consulenza sulla comunicazione esterna, il servizio offre l’opportunità di imparare dai nostri esperti del GReAT. Dispongono di informazioni aggiornate sugli strumenti e i protocolli di comunicazione e possono consigliarvi su come comportarvi in una situazione del genere.