Storia già vista e rivista.

Mesi fa vengo chiamato in un’azienda per un sopralluogo. Volevano una valutazione dell’attuale situazione informatica.

Trovo un mezzo disastro. Segnalo un po’ di criticità, tra le quali alcune molto gravi a mio modo di vedere, e spiego che potrebbero sfociare in catastrofe.

Il podio comunque era questo:

  • Backup eseguito si un disco USB attaccato al server e accessibile dal server stesso;
  • Porta RDP aperta su internet tramite NAT sul router della connettività;
  • Nessun firewall.

Spiego che il rischio ransomware è elevato e che, in caso di infezione tramite attacco sulla porta desktop remoto, sarebbero stati compromessi anche i backup.

Mi chiedono un’offerta per sistemare il tutto e per avere un sistema di disaster recovery affidabile, così da poter stare tranquilli in ogni circostanza.

Non confermano l’offerta e decidono di rimanere così, visto che “il fornitore attuale dice che possiamo stare tranquilli, e in effetti non è mai successo niente”.

Due settimane fa subiscono l’attacco.

Viene bucato il desktop remoto, vengono criptati tutti i file del server, vengono criptati anche i backup.

Mi richiamano, ma spiego che non c’è modo di recuperare i dati, visto che non esistono copie di sicurezza oltre a quella compromessa. Devono pagare il riscatto.

Pagano 1.500 Euro in BitCoin. I cibercriminali incassano e spariscono.

Ad oggi, dopo quasi due settimane, l’azienda non ha più i dati e ha pure pagato il riscatto. Oltre il danno, la beffa, come si suol dire.

La domanda che mi pongo ora è questa:

Come si sentirà l’imprenditore al quale avevo descritto per filo e per segno il possibile scenario, ma che ha deciso di non fare nulla per correre ai ripari?

In passato qualcuno mi ha detto: “beh, se attivo i servizi di protezione sono sicuro di spendere, mentre se non li attivo dovrò spendere solo se, per sfortuna, mi dovessero attaccare. Mi costa meno il riscatto rispetto alla protezione.”

A parte il ragionamento da malato mentale, oggi vorrei chiedere a quel qualcuno: “Bene, come ti dicevo, il pagamento del riscatto non garantisce il recupero dei file, e ho un caso di studio proprio sotto le mani”.

Come pensi di poter gestire l’impatto di una perdita totale dei tuoi dati?

E come pensi di poter gestire una prolungata inaccessibilità dei dati? Giorni, o magari settimane?

Sono certo che al solo pensiero ti ballano le ginocchia, ma che nemmeno col twist.

Sì, perché il rischio che corri è quello di sbattere via tutto. Devi capire che i dati sono la chiave del tuo business. Senza i dati non hai in mano niente. In caso di problemi puoi comprare macchinari nuovi, computer nuovi, uffici nuovi. Puoi rimpiazzare il personale. Tutto ciò che gira negli uffici può essere sostituito, tranne i dati. Quelli sono indispensabili, più delle fondamenta del capannone.

Proteggere i dati deve essere un tuo chiodo fisso, perché non ti puoi permettere di pensarci solo a latte versato. Una volta fatto il danno, potrebbe essere troppo tardi.

Io lo ribadisco di continuo, e anche oggi, parlando con un imprenditore illuminato, ho visto il terrore nel suo sguardo quando ha capito che le sue fondamenta erano a rischio.

Ha capito che risparmiare sulla protezione del business non è un risparmio sensato. Anzi, non è proprio un risparmio, perché prima o poi verrà presentato un conto da saldare, molto salato e senza possibilità di ottenere sconti.

E quindi lo ribadisco di nuovo, anche a te!