Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Scimpanzè informatico italiano

Data Breach Italia: cosa succede nelle prime ore dopo la scoperta della compromissione

Sandro Sana : 26 Ottobre 2023 07:53

Gli incidenti informatici, come i data breach, sono eventi sempre più comuni nel panorama digitale odierno. Quando si scopre una compromissione dei dati, è fondamentale agire tempestivamente per limitare i danni e ripristinare la sicurezza del sistema.

La prima cosa da fare nella gestione di un incidente informatico è identificare rapidamente l’accaduto. Questo potrebbe avvenire attraverso segnali di allarme come avvisi di sicurezza, anomalie nel comportamento del sistema o segnalazioni da parte degli utenti. Nel momento in cui si sospetta un data breach, è essenziale agire prontamente. L’attività principale e fondamentale è quella di NON SPEGNERE ma isolare e proteggere i sistemi colpiti per evitare ulteriori danni. Questo può comportare la disconnessione dei sistemi compromessi dalla rete, l’arresto dei servizi interessati o l’implementazione di misure di sicurezza aggiuntive per prevenire ulteriori accessi non autorizzati.

Successivamente va coinvolto il Team di Risposta agli Incidenti. Questo step è il primo step da fare prima di qualsiasi tentativo di ripristino in quanto il team di risposta agli incidenti (IRT) è fondamentale per affrontare un data breach in modo efficace. Questo team dovrebbe essere composto da professionisti esperti in sicurezza informatica, legali, comunicazione e rappresentanti delle parti interessate. Il team di IRT si occupa di coordinare le attività di risposta, gestire la comunicazione interna ed esterna e dirigere gli sforzi per risolvere l’incidente.

Il team IRT provvederà a raccogliere le Prove e ad una Analisi Forense


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Questo momento è fondamentale soprattutto durante le prime ore della scoperta della compromissione, è cruciale raccogliere prove e condurre un’analisi forense per comprendere l’entità e l’origine dell’incidente. Questo può includere l’esame dei log di sistema, l’analisi del traffico di rete, la scansione dei sistemi colpiti e la ricerca di eventuali indicatori di compromissione. L’obiettivo è ottenere una comprensione chiara delle azioni degli attaccanti e delle possibili vulnerabilità del sistema.

Nel caso di un data breach, potrebbe essere necessario notificare le autorità competenti, come l’Autorità Garante per la Protezione dei Dati Personali, in conformità con le leggi vigenti sulla privacy. Inoltre, potrebbe essere utile coinvolgere esperti esterni, come investigatori forensi digitali o consulenti legali specializzati in incidenti informatici, per supportare l’indagine e fornire consulenza sulla gestione dell’incidente.

Un aspetto che viene spesso evitato soprattutto in Italia è quello della Comunicazione Interna ed Esterna

La comunicazione è un aspetto critico nella gestione di un incidente informatico. Durante le prime ore dalla scoperta della compromissione, è fondamentale informare tempestivamente il personale interno interessato e coinvolgere le parti interessate esterne, come i clienti e i partner commerciali. Una comunicazione chiara, trasparente e tempestiva può aiutare a mantenere la fiducia delle persone coinvolte e a gestire l’impatto reputazionale dell’incidente. La condivisione dell’esperienza e dell’attacco non deve essere vista come una denuncia di incompetenza o negligenza ma bensì un momento di confronto e di condivisione di esperienze in modo tale che altre realtà possano imparare e quindi giovare di questo evento.

Spesso sento parlare di “ripristinare il prima possibile”, questo concetto ritengo sia sbagliato ma andrebbe cambiato con “ripristinare il meglio possibile”, spesso non si fanno analisi e si tende a ripristinare il primo salvataggio più vicino, questo comporta l’elevata possibilità di ripristinare una situazione già compromessa e quindi ritrovarsi a breve nella medesima situazione. Quindi, una volta che l’incidente è stato gestito e i sistemi colpiti sono stati isolati e protetti, è importante avviare il processo di ripristino. Ciò implica la rimozione di eventuali backdoor o malware presenti, la correzione delle vulnerabilità di sicurezza, l’implementazione di misure di sicurezza aggiuntive e la revisione dei processi interni per prevenire futuri incidenti.

In conclusione, affrontare un incidente informatico, come un data breach, richiede un’azione tempestiva e una risposta coordinata. Le prime ore dalla scoperta della compromissione sono cruciali per limitare i danni e ripristinare la sicurezza del sistema. Identificare l’incidente, isolare e proteggere i sistemi colpiti, coinvolgere un team di risposta agli incidenti, raccogliere prove e condurre un’analisi forense, notificare alle autorità competenti, comunicare internamente ed esternamente e infine ripristinare i sistemi sono tutte fasi fondamentali nella gestione di un incidente informatico.

È importante affrontare gli incidenti informatici in modo proattivo, adottando misure preventive come la sicurezza dei dati, l’implementazione di sistemi di rilevamento delle intrusioni e la formazione del personale sulla sicurezza informatica. Inoltre, è consigliabile creare un piano di gestione degli incidenti informatici per essere preparati in caso di compromissione dei dati.

Ricorda che ogni incidente informatico è unico e richiede una risposta adattata alla situazione specifica. L’articolo sopra fornisce una panoramica generale delle azioni da intraprendere nelle prime ore dalla scoperta dell’incidente, ma è consigliabile consultare esperti in sicurezza informatica e legali per una gestione completa e personalizzata.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Il kernel Linux verso il “vibe coding”? Le regole per l’utilizzo degli assistenti AI sono alle porte
Di Redazione RHC - 26/07/2025

Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...