
“Cosa hai?” / “Niente”. Un grande classico. Peccato che sia permeato anche nelle strategie – spesso improvvisate – di risposta agli incidenti che coinvolgono un attacco ransomware. In questo caso si va oltre la scusa dell’inevitabilità, dal momento che trovandosi di fronte all’evidenza di un blocco dei sistemi e dei servizi la risposta alle segnalazioni da parte degli utenti è un imbarazzante silenzio. A volte questo silenzio viene spezzato da una sintetica nota tutt’altro che credibile, ma le informazioni fornite agli interessati sono ridotte anche sotto la soglia di conformità agli obblighi riguardanti la comunicazione di un data breach. E poi più nulla: né un aggiornamento, né un riscontro. E ogni ricerca rinvia ad un comunicato stampa risalente in cui vengono promessi “successivi aggiornamenti” che mai si realizzeranno.
Si potrebbe fare non poca fatica a comprendere questa scelta se non fosse una pratica fin troppo diffusa. Si tenta di far salva la reputazione dell’organizzazione colpita dall’attacco scommettendo sulla memoria da pesce rosso del pubblico e sul diluvio di informazioni che in poco tempo fa precipitare la notizia nei feed.
Funziona? In alcuni casi sì. Ma quali sono i costi più o meno evidenti di questa scelta?
C’è il rischio che la strategia sia inefficace e che l’organizzazione colpita dall’attacco sia indicata fra gli esempi di worst practicesnella gestione della sicurezza, con tutti gli effetti reputazionali del caso. Dopodiché c’è il problema che deriva dalla violazione degli obblighi di comunicazione di data breach agli interessati e l’esposizione a sanzioni da parte del Garante Privacy. Senza contare che i soggetti coinvolti dall’attacco sono esposti ad ulteriori pericoli cui sono maggiormente suscettibili in quanto sono meno informati a riguardo, ad esempio in conseguenza ad un’esfiltrazione dei propri dati.
Andando invece a valutare l’impatto sul piano della corretta gestione dell’incidente, la mancanza di comunicazione nei confronti dei soggetti coinvolti causa dei costi operativi non indifferenti dal momento che a fronte del riscontro di impossibilità di accesso ai servizi le richieste di feedback circa l’accaduto non possono che aumentare. E così l’incertezza diffusa appesantisce il lavoro degli operatori interni, aumentando il rischio da burnout e apre ad ulteriori vulnerabilità.
I costi così rappresentati possono variare, ma emergono a prescindere dall’efficacia della strategia del silenzio. Il problema è che sono in tutto o in parte indebitamente “scaricati” sugli interessati. Dunque tutti gli eventuali vantaggi che possono essere realizzati sono tutt’altro che sostenibili sotto un profilo di tutela di diritti e libertà fondamentali.