Gestione di crisi: Panama Papers e audit delle vulnerabilità

Dal 3 aprile il caso Mossack Fonseca, meglio conosciuto come Panama Papers, tiene banco sui media del mondo intero. Diversi esperti di gestione di crisi hanno preso spunto dagli eventi per analizzare la strategia adottata dallo studio legale per cercare di limitare i danni o per fornire suggerimenti su come gestire la crisi reputazionale.

L’ENISA, (Agenzia europea per la sicurezza delle reti e dell’informazione) ha colto l’occasione per sensibilizzare i decision maker europei circa la necessità di stabilire a livello comunitario un “cyber crisis management framework” e ha invitato gli stati membri a dotarsi di piani di cyber crisis management in grado di mitigare le crisi causate dagli attacchi informatici. Non a caso. Si apprende infatti da un sito specializzato che i 4,5 milioni di e-mail, 3 milioni di dati da database, 2,1 di file in formato PDF, 1,1 milioni di immagini e 320.000 documenti di testo sono stati sottratti a Mossack Fonseca proprio tramite un attacco informatico.

Gli hacker hanno infatti sfruttato diverse vulnerabilità di WordPress e di alcuni plug in utilizzati sul sito www.mossfon.com per entrare nel sistema informatico della società e accedere ai dati. Se pensiamo che oggi qualsiasi impresa o gestore di infrastruttura strategica (ferrovie, reti elettriche, reti di telecomunicazione ecc..) governa i propri processi tramite reti informatiche, l’allarme lanciato dall’Enisa appare di assoluta attualità. Questo anche alla luce di quanto recentemente dichiarato dal vice segretario del Tesoro Usa Sarah Bloom Raskin nel corso del Cybersecurity Docket’s Incident Response Forum.

[pullquote align=”left”]“Dato il numero crescente e la natura mutevole degli attacchi cibernetici, dobbiamo prepararci per l’eventualità di significativi incidenti informatici”.[/pullquote]

Se vi è quindi la necessità di dotare l’Unione europea e gli Stati Membri di piani specifici di gestione di crisi volti a gestire gli attacchi informatici vi è anche l’esigenza da parte delle aziende di riflettere seriamente su come fronteggiare questo nuovo tipo di minaccia. In questo contesto, risulta particolarmente importante nell’ambito dei programmi di formazione alla gestione di crisi,  focalizzare molta attenzione sulla fase di Audit delle Vulnerabilità che deve oggi prevedere un’approfondita analisi delle vulnerabilità dei sistemi informatici aziendali condotta da esperti del settore.

Se Mossack Fonseca avesse seguito un percorso di preparazione alla gestione di crisi, l’Audit delle Vulnerabilità avrebbe quasi sicuramente permesso di identificare la “falla” nell’architettura informatica. Questo avrebbe permesso all’azienda di intervenire tempestivamente per ridurre l’elemento di “rischio”.

 

Share this