Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Italia non aver paura del ransomware. Andiamo tutti a scuola di Crisis Management

Massimiliano Brolli : 14 Luglio 2022 07:00

Autore: Massimiliano Brolli

Contrariamente a quanto succede in Italia, molte aziende estere non hanno paura degli incidenti informatici e riescono a diffondere all’interno delle proprie pagine web dei comunicati che informano passo passo gli utenti su come l’azienda sta affrontando una crisi informatica, senza alcuna paura.

Con trasparenza.

Il caso di APETITO

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Questo caso che analizzeremo è molto recente e parla dell’azienda APETITO in Gran Bretagna, la quale si occupa di fornire pasti ad organizzazioni (ospedali, case di cura, mense scolastiche e anziani), la quale ha diffuso fin dal 26 giugno informazioni sull’attacco informatico che si è palesato oggi, esattamente 20 giorni dopo con una pubblicazione fatta nelle underground da Hive ransomware.

    Il comunicato emesso, ha avuto ben 5 aggiornamenti dall’azienda, che ha raccontato fin dal giorno successivo all’attacco informatico cosa stava facendo per rispondere alla crisi.

    Oggi, 13 luglio (mentre sto scrivendo), viene pubblicato per la prima volta da Hive Ransomware un post sul suo data leak site (DLS), dove si evince che l’azienda era stata violata e rimasta vittima del ransomware.

    Pubblicazione effettuata sul DLS di Hive Ransomware il 13 luglio 2022 alle 16:07

    Ora invece vediamo il primo comunicato emesso da APETITO. Si tratta del 26 giugno del 2022, ovvero ben 20 giorni prima che Hive ransomware avesse pubblicato il suo post sul suo DLS.

    Inoltre, tale comunicato è stato aggiornato con cadenza, fornendo ben 5 aggiornamenti verso i propri clienti, tutti firmati del suo CEO.

    Sono tutti matti?


    Non hanno paura della web & brand reputation?

    Comunicato emesso il 26 giugno da APETITO con 5 successivi aggiornamenti firmati dal suo CEO

    Cosa ha fatto APETITO

    Come abbiamo avuto modo di osservare, l’azienda, ha allertato gli utenti appena si è accorta dell’incidente, 20 giorni prima che venisse pubblicato da Hive ransomware la news sul suo data leak site. La pubblicazione da parte dei cyber criminali avviene generalmente quando l’organizzazione non vuole pagare il riscatto.

    Inoltre APETITO ha riportato chiaramente nella sua Home Page che l’azienda era rimasta vittima di un attacco informatico riportando: “apetito Victim of International Criminal Cyber Attack – Statement” dove al click sul link si viene rimandati al PDF dei comunicati.

    Home page del sito di APETITO dove viene riportato in evidenza il link al comunicato e la notizia dell’attacco cyber

    Alcune riflessioni sulla crisis management

    A questo punto prendiamo in esame due approcci completamente divergenti:

    • Primo approccio: approccio trasparente (Approccio APETITO) : immediatamente, dopo l’incidente informatico, l’azienda emette dei comunicati stampa cadenzati, informando i propri clienti dell’avvenuto incidente informatico. Vengono quindi informati i clienti di quali sono gli impatti immanenti e successivi sull’erogazione del servizio, quali sono stati i danni, cosa sta facendo l’azienda per rispondere all’attacco informatico. Inoltre vengono fornite indicazioni sui successivi aggiornamenti relativi all’evoluzione della crisi che si succederanno che saranno su base giornaliera.
    • Secondo approccio: approccio “in preda al panico” (Approccio classico italiano): Non si emette alcun comunicato relativo all’incidente informatico nemmeno dopo la pubblicazione nelle underground della violazione e nemmeno dopo che la stampa ha pubblicato informazioni in anteprima sul possibile incidente informatico. Dopo una settimana dalla pubblicazione della violazione nelle underground, a ridosso della pubblicazione dei dati, viene emesso un comunicato che minimizza la fuoriuscita delle informazioni e che riporta il difficile approvvigionamento di questi dati e che non sono di natura sensibile (anche se lo sono).

    Ore pensiamo che entrambi gli approcci vengono messi in atto da due aziende che vendono lo stesso prodotto e tu sei il cliente di una delle due.

    Se tu fossi un cliente di queste due aziende, quale ti darebbe più fiducia?

    A quale delle due aziende affideresti i tuoi dati personali?

    Ovviamente la prima, oppure mi sbaglio?

    Imparare la crisis management prima che sia troppo tardi

    Spesso dimentichiamo che ogni azienda privata deve dar conto ai propri clienti, mentre una pubblica amministrazione deve dar conto ai suoi cittadini e ai suoi elettori. Tutto questo deve avvenire prima di dar conto al proprio consiglio di amministrazione, al top management e alle successive guerre di palazzo.

    Il secondo approccio che abbiamo visto, significa che in Italia non sappiamo fare “Crisis Management” negli incidenti di sicurezza informatica e la dobbiamo imparare.

    Ma senza inventarci nulla di nuovo e di trascendentale, si potrebbe impararla osservando chi riesce a farla meglio di noi e magari riesce a trarre un vantaggio dalla crisi stessa e tornare in pista più forte che mai.

    Non pensate che voi non rimarrete vittima di un incidente informatico e che nessuno è interessato ai vostri dati.

    Oggi tutti avranno il proprio incidente di sicurezza informatica. L’unica incognita è solo quando.

    Pertanto impariamo la “crisis management”, in quanto oggi questa “materia”, è uno tra i pilastri portanti nella risposta agli incidenti informatici e soprattutto nella risposta al ransomware e prima o poi capiterà che dovremo metterla in atto.

    E che questo articolo sia uno spunto di riflessione per tutti.

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006