IBM: security e crisis management si imparano con un gioco di ruolo

Breve storia di un attacco informatico che avrebbe potuto davvero mettere in ginocchio un'azienda finta, vissuta dall'interno

Sono le prime ora di una mattinata importante in ufficio: la banca per cui lavoriamo sta per firmare una importante acquisizione e gli occhi della comunità finanziaria sono puntati sul valore dell’azione in borsa. All’improvviso, squilla il telefono dell’ufficio stampa: “Sono un giornalista informatico e sto per uscire con un articolo in cui diciamo che state subendo un attacco informatico. Su Pastebin è stato pubblicato un elenco con informazioni perosnali su decine di migliaia di vostri correntisti. Devo pubblicare l’articolo tra pochi minuti: confermate la situazione? Avete dichiarazioni da rilasciare?”.

Neanche il tempo di chiamare l’ufficio ICT per avere informazioni, che alle operation arrivano telefonate dai direttori di filiale che dicono di avere i sistemi bloccati. Sui social media compaiono foto di bancomat che mostrano la schermata di un ransomware, e un ospite sta twittando dall’ascensore degli uffici della sede, bloccato dall’attacco ai sistemi. La notizia arriva ai media manistream, il valore delle azioni comincia a scendere, i risparmiatori si preoccupano di cosa accadrà ai propri conti correnti, in un turbinio di telefonate, email, contatti sui social da gestire.

A quali azioni bisogna dare priorità? Come si organizza la risposta? Chi è autorizzato a comunicare con l’esterno, e qual è il messaggio che deve fare passare?

Ho vissuto da protagonista questa situazione, che si è svolta in modo frenetico nell’arco di un’ora e mezza, da dentro la situation room dell’azienda, circondato dai colleghi di tutte le funzioni aziendali: da ICT a legal, dall’ufficio stampa alla security, alle relazioni con gli investitori.

Un camion per la formazione sul campo

Fortunatamente, ci trovavamo tutti all’interno di una simulazione, una sorta di LARP (gioco di ruolo dal vivo), svoltosi a bordo dell’X-Force Command Cyber Tactical Operations Center di IBM (C-TOC). Si tratta di un autoarticolato con vano espandibile che è rimasto parcheggiato per un paio di settimane di fronte al Politecnico di Milano in Piazza Leonardo da Vinci, e che oltre a molti studenti ha visto passare dirigenti e responsabili di numerose aziende per dimostrazioni e sessioni di training.

Il C-TOC ospita venti postazioni di lavoro con PC e telefono rivolte verso la parete lunga del truck, completamente occupata da un mega schermo su cui scorrono le informazioni rilevanti per la simulazione. Dietro le quinte, le postazioni degli attori (in carne e ossa) che fanno le telefonate o mandano messaggi che dettano il ritmo dell’esperienza, e un data center che coordina tutte le diverse simulazioni, ma che può anche essere configurato per replicare i sistemi informativi di una singola azienda cliente che desidera impegnare il proprio personale in una sessione formativa davvero immersiva.

Prepararsi al prossimo incidente di security. Che ci sarà.

Secondo Alessandro La Volpe, Vice President Cloud & Cognitive Software di IBM Italia “PMI e grandi imprese vedono adozione delle cosiddette tecnologie esponenziali, con la IA che – dopo un periodo di sperimentazione e prototipazione, viene finalmente messa in produzione entrando nei processi di business, abilitate dal paradigma tecnologico del cloud. Ma più le aziende si aprono e si interconnettono le architetture, più la cybersecurity diventa importante. Deve diventare il fondamento su cui costruire tutto il resto”.

Francesco Teodonno, Security Unit Leader di IBM Italia, sottolinea che la cybersecurity è un tema che “viaggia con i tempi e la geografia della rete. Da questo punto di vista, IBM è privilegiata da un reach a livello globale che le permette di avere visibilità su 70 miliardi di eventi di cyber security al giorno in 130 paesi”. Un numero di eventi enorme, anche per via dell’esplosione del numero dei dispositivi e delle connessioni, e che richiede algoritmi di IA per poter identificare le minacce.

“L’incidente accade – dice Teodonno – Devo essere preparato a gestirlo. Il criminale ha mesi di tempo per preparare un attacco, chi si difende ha poche ore o pochi minuti per rispondere con risposte di tipo tecnico, legale, di comunicazione verso clienti e pubblico. Bisogna imparare a lavorare in modo interdisciplinare tra le varie funzioni. Questo tipo di risposta è quello che mostriamo nel training fatti nel CTOC, con simulazioni fatte in ambiente teorico o in una replica dei sistemi di produzione dei clienti”. Come dicevamo, il truck permette infatti di andare dal cliente per erogare giornate di formazione a domicilio, e può potenzialmente essere impiegato come vero Security Operations Center per gestire situazioni di emergenza, anche in caso di calamità naturali, visto che è dotato di infrastrutture di comunicazione autonome e generatori elettrici.

Milano è stata la diciassettesima location di un tour partito dagli USA nel 2017, con più di 1000 persone che hanno partecipato alle esperienze. È possibile che il tour torni in Italia nei primi mesi del prossimo anno, probabilmente a Roma.