
Dopo i racconti e i problemi derivanti dal ritenere la minaccia ransomware come inevitabile, c’è un altro problema quanto mai ricorrente all’interno delle narrazioni di queste categorie di cyberattacchi: il senso di incredibile. E qui si spazia dall’incredulità di fronte alle conseguenze disastrose da parte del management, al più generale racconto che – nonostante la profusione e l’esercizio di enfatiche fantasie – rappresenta panorami e scenari confortanti ma tutt’altro che credibili. Infatti, chiunque è in possesso di una quota minima di senso della realtà e cognizione di causa riesce facilmente a superare le cortine di fumo scoprendo che il sottotesto altro non è che un relax, nothing is under control. Il problema non riguarda tanto l’analisi dell’incidente bensì le comunicazioni relative all’evento di violazione svolte sia all’interno che all’esterno dell’organizzazione.
La linea comunicativa interna non si esaurisce nel flusso informativo del reporting e valutazione dell’accaduto, ma anche di una corretta informazione che possa coinvolgere tutti gli operatori al fine di consentire di comprendere la portata della violazione e, soprattutto, le misure di mitigazione che si è scelto di implementare. I motivi che giustificano tale scelta? Un investimento sul futuro dell’organizzazione per avere maggiore consapevolezza, migliore reattività, diffusa sensibilizzazione e responsabilizzazione. Ovverosia il vettore concreto ed operativo richiesto dall’approccio lesson learned che altrimenti rimarrebbe solo sulla carta o ad appannaggio di pochi soggetti all’interno dell’organizzazione.
Nel novero delle comunicazioni esterne più ricorrenti e di maggiore rilevanza rientrano l’annuncio dell’incidente e la comunicazione di data breach, e la loro credibilità riguarda tanto la forma che i contenuti. L’impiego di comunicazioni eccessivamente difensive e che all’apparenza sembrano un voler scansare ogni responsabilità è il sintomo di gravi e sistematici ammanchi di trasparenza e, inoltre, ha un significativo impatto negativo anche a livello reputazionale. Se non percezione di trasparenza, dopotutto, come si può ottenere la fiducia da parte di chi conferisce i propri dati personali?
La credibilità innanzitutto deriva da un’assunzione di responsabilità dei vertici direzionali, da una chiara indicazione delle vulnerabilità riscontrate da cui è derivato l’attacco e, soprattutto, da una spiegazione puntuale dell’accaduto. A nulla giova celare evidenze, ripetere “i sistemi sono sicuri” o che “non sono stati compromessi dati sensibili” o che “è garantita la continuità dei servizi” quando la realtà è pronta a smentire.
Ancor meno infine giova ripetere che “le investigazioni sono in corso” sperando che ci si dimentichi dell’accaduto con il trascorrere del tempo, omettendo ogni ulteriore comunicazione ed approfondimento.
La credibilità gioca pertanto un ruolo fondamentale. Senza, c’è solo vuota narrazione. Con buona pace di tutele effettive e rimedi efficaci.