L’aspetto tipico del ransomware è la richiesta di riscatto collegata all’attacco informatico subito, che prende la forma di una ransom note spesso con tanto di proof of keeping ovverosia l’evidenza dei file esfiltrati e di cui si minaccia la diffusione. Non è infatti detto che l’unica leva estorsiva consista nella chiave per sbloccare i sistemi, ma anche la minaccia di diffusione di dati – personali o non – che l’organizzazione desidera mantenere riservati.
Una corretta pianificazione delle strategie di ripristino toglie forza al cybercriminale limitatamente all’ambito della perdita di disponibilità, ma utilizzando un vecchio adagio di internet what has been seen cannot be unseen e dunque l’eventuale minaccia di compromettere la confidenzialità impone misure ulteriori. Fra queste rientrano ad esempio una corretta comunicazione all’interno di un più ampio piano di gestione dell’incidente, così come l’adozione di alcuni sistemi di DLP. Se la scelta poi è non pagare il riscatto, tutte le contromisure devono saper contenere efficacemente gli impatti negativi dell’incidente anche e soprattutto a tutela degli interessati coinvolti.
Soprattutto a livello istituzionale, e dunque nelle frequenti ipotesi in cui tali tipi di attacco coinvolgono enti e organizzazioni della Pubblica Amministrazione, la decisione annunciata ancor prima del chiarimento della portata dell’incidente è quella di non dar seguito ad alcuna richiesta di riscatto. C’è da domandarsi se il cittadino e utente dei servizi, spesso a malapena informato circa le possibili conseguenze del data breach, possa pretendere maggiore trasparenza. Dal punto di vista normativo, gli obblighi si limitano – nell’ipotesi di rischio elevato – ad una corretta comunicazione della violazione e non del fornire alcuna evidenza ulteriore circa la richiesta di riscatto.
Proposta: perché non rendere pubblica la ransom note, con evidenza soprattutto del wallet di destinazione presso cui versare l’importo richiesto in bitcoin? Dal momento che il sistema di pagamento tramite blockchain è basato su un registro pubblico condiviso, le transazioni possono essere visualizzate e dunque si può andare a verificare che effettivamente chi ha richiesto il riscatto non ha ottenuto la somma indicata. E questo più che a fornire una prova negativa (cosiddetta diabolica) del non aver provveduto al pagamento, può essere un segnale prima di tutto sul fronte della trasparenza istituzionale e, in parte, utile a consolidare la fiducia nei confronti della presa posizione di un ente che si rifiuta di cedere ad alcun ricatto.
