All'inizio di quest'anno, OPSWAT informata da uno dei nostri fornitori di servizi di comunicazione esterni in merito a un incidente di sicurezza verificatosi presso la loro sede, che avrebbe potuto comportare la divulgazione di alcune informazioni di contatto aziendali relative al nostro cliente. La notifica è stata inviata direttamente dal fornitore ed è stata seguita da un'intensa collaborazione tra il loro team e il nostro.
Al momento della segnalazione non sono state riscontrate tracce di attività dannose all'interno OPSWAT , né prove di esfiltrazione di dati dal nostro tenant, né minacce in corso. Ciononostante, abbiamo affrontato la situazione con la serietà che meritava.
In qualità di CISO, episodi come questo mettono in luce una serie di realtà che sono facili da discutere in teoria, ma molto più difficili da gestire nella pratica.
Innanzitutto, il rischio legato a terze parti non è più una preoccupazione secondaria. Le aziende moderne sono profondamente interconnesse. Le piattaforme di gestione delle identità, le integrazioni SaaS e i sistemi di coinvolgimento dei clienti creano un reale valore aziendale, ma ampliano anche la superficie di esposizione quando si verificano problemi al di fuori del proprio controllo diretto. Anche quando il proprio sistema di sicurezza regge, l'impatto può comunque ripercuotersi sulla propria organizzazione.
In secondo luogo, la trasparenza all'interno dell'azienda è importante tanto quanto il contenimento. Una volta chiariti la portata e l'impatto della situazione, abbiamo deciso di comunicare direttamente con i nostri dipendenti. Non l'abbiamo considerata una minaccia concreta, ma sapevamo che le persone prendono decisioni migliori quando sono informate. Anziché alimentare l'incertezza con il silenzio, abbiamo deciso di rafforzare la fiducia attraverso la comunicazione.
In terzo luogo, la qualità della risposta dipende dalla preparazione, non dal panico. I nostri team addetti alla sicurezza, all'IT e alle applicazioni aziendali sono stati in grado di agire rapidamente perché erano già stati definiti i ruoli, i percorsi di escalation e le procedure di gestione delle prove. I registri sono stati conservati. I percorsi di accesso sono stati esaminati. Le informazioni sulle minacce sono state utilizzate per individuare eventuali rischi secondari. Tale disciplina è stata sviluppata nel tempo, prima ancora che l'incidente si verificasse, proprio perché sapevamo che la disciplina non può emergere durante un incidente senza un lavoro preparatorio.
Infine, episodi come questo sono spesso seguiti da tentativi di phishing o di ingegneria sociale. Anche quando i sistemi rimangono sicuri, le persone possono comunque diventare bersaglio di attacchi. Rafforzare la vigilanza, verificare le richieste inattese e segnalare le attività sospette rimangono alcune delle difese più efficaci a nostra disposizione.
Propongo questa prospettiva per sottolineare un principio più ampio, piuttosto che per mettere in evidenza un caso specifico riguardante un fornitore. La sicurezza informatica non si limita alla prevenzione delle violazioni, ma comprende anche il modo in cui un'organizzazione reagisce agli incidenti che colpiscono il proprio ambiente, la chiarezza della sua comunicazione e il continuo rafforzamento della fiducia tra le parti interessate.
Noi di OPSWAT continueremo a considerare la sicurezza come una responsabilità operativa, non come una funzione secondaria. Ciò significa imporre standard elevati a noi stessi e ai nostri partner, comunicare in modo trasparente quando è necessario e rimanere con i piedi per terra, consapevoli che la resilienza si costruisce attraverso la preparazione e le persone, non attraverso la perfezione.
- Mike Barker
, CISO e COO di OPSWAT
