I primissimi minuti successivi al verificarsi di un incidente informatico sono cruciali per contenere i danni ma anche per garantire prove forensi di qualità che saranno poi preziose sia per provare la conformità alle normative sulla cybersecurity, sia per eventuali segnalazioni alle autorità di vigilanza, ma anche in caso di investigazioni e contenziosi.
La rapidità nella risposta è infatti fondamentale, e nella gestione organizzativa di un incidente cyber l’attività di analisi forense deve essere integrata fin dall’inizio della gestione dell’incidente. Va quindi subito osservato che, al verificarsi di un evento di sicurezza, che si tratti della rilevazione di un malware, della compromissione di credenziali o di un comportamento sospetto, il tempo è un fattore critico. Un sistema informatico è infatti un ecosistema vivo, che evolve ed è in continuo mutamento con il passare dei minuti, per cui la raccolta di prove forensi non può avvenire a posteriori, ma deve essere avviata subito al primo sentore di un evento di attacco o di una violazione. La volatilità è una caratteristica intrinseca dei sistemi informativi, nei quali i processi si avviano e si arrestano continuamente, le connessioni cambiano stato e i dati possono essere sovrascritti.
A tale riguardo, l’analisi forense del mondo digitale si fonda su un principio fondamentale, spesso ignorato o sottovalutato, che è l’ordine di volatilità dei dati. Vi sono infatti dati più volatili, che risiedono nella memoria e nello stato operativo del sistema (RAM, cache, connessioni attive, processi in esecuzione). A seguire, vengono i dati temporanei su disco, come log e configurazioni, che possono venire sovrascritti in automatico. Infine, ci sono dati su storage permanente, backup e archivi. Questa gerarchia di dati deve essere utilizzata come un indicatore operativo guida di ogni decisione e azione delle persone nelle fasi iniziali di un incidente informatico.
In questa fase, l’errore più comune — e assolutamente da evitare — è quello di spegnere tutto, scelta in cui spesso si incorre per effetto del panico, nella convinzione di limitare i danni e contenere l’impatto dell’attività malevola. Lo spegnimento immediato dei sistemi è invece tra i comportamenti più dannosi a livello di analisi forense in un incidente informatico, in quanto ha un effetto distruttivo sui dati più volatili che vengono persi allo spegnimento del sistema: dati di memoria, interruzione dello stato delle connessioni e cancellazione di informazioni sui processi in corso. Si pensi solo all’esempio che la chiave crittografica utilizzata dai ransomware per cifrare i dati potrebbe risiedere ancora in memoria.
L’inerzia però è altrettanto dannosa, in quanto anche attendere troppo e tardare nella risposta all’incidente equivale a lasciare che il sistema modifichi da sé il proprio stato. Il comportamento corretto è allora quello di isolare il sistema attaccato, senza distruggere i dati: ovvero, provvedere immediatamente a disconnettere dalla rete il dispositivo, disabilitare il wi-fi e scollegare i cavi. Azioni che permettono sì di contenere l’incidente, ma anche di preservare i dati di stato relativi a quanto accaduto.
Chi per primo entra dunque in contatto con un sistema compromesso è il primo custode dell’evidenza forense, e le sue azioni, o anche le sue omissioni, possono essere determinanti nel fornire un’evidenza che potrà essere utilizzata, oppure che viene compromessa senza alcun rimedio né possibilità di recupero e ripristino. In un contesto normativo e regolatorio come quello della NIS2, quindi, dove la corretta gestione delle prove e delle evidenze in caso di incidente informatico è un elemento importante per la diligenza e l’affidabilità di un’organizzazione, la formazione del personale non tecnico nella gestione dei primi istanti di un incidente cyber diventa una componente strutturale della responsabilità organizzativa. Proprio data la natura effimera di molte tracce digitali, le aziende devono capire che l’integrità delle prove forensi dipende dalla capacità del personale non tecnico di attivare immediatamente la giusta risposta in caso di incidente; e che le prove forensi non sono qualcosa da demandare in una fase successiva a esperti e analisti di cybersecurity e incident response.
Il personale non tecnico deve quindi concentrarsi su poche ma cruciali indicazioni operative: non improvvisare, evitare di intervenire senza autorizzazione, non modificare lo stato dei sistemi e, soprattutto, documentare ogni azione e segnalare tempestivamente. Date, orari, identità dei presenti, condizioni del sistema, fotografie degli schermi o degli ambienti possono quindi essere determinanti e componenti essenziali della documentazione relativa all’incidente cyber.
Disporre di un quadro completo, senza perdita di dati essenziali relativi allo stato del sistema al momento dell’incidente, grazie all’attivazione di corrette procedure di raccolta e conservazione delle evidenze forensi, è fondamentale per diversi motivi: consente all’organizzazione di ricostruire e comprendere quanto accaduto, di soddisfare i requisiti normativi previsti da disposizioni come la NIS e di disporre di elementi utili in caso di segnalazione alle autorità competenti o nell’ambito di eventuali indagini e contenziosi legali. Nel contesto delineato dalla NIS2, la prova forense non rappresenta più un ambito specialistico riservato a tecnici IT e analisti della sicurezza, ma diventa una componente strutturale della responsabilità organizzativa. La sua efficacia nel dimostrare la diligenza dell’azienda e la collaborazione con le autorità dipende infatti dagli investimenti effettuati in cultura della sicurezza, procedure, formazione del personale e, naturalmente, in tecnologia. Perché senza prova forense non può esserci verità, e perché la sicurezza va oltre il ripristino dei sistemi, in quanto consta anche della capacità di comprendere e dimostrare ciò che è accaduto e di eliminare qualsiasi forma di persistenza creata nei sistemi dall’attaccante. Ragion per cui una gestione corretta delle primissime fasi che seguono un attacco è determinante.