Ransomware: il costo reale dipende dalla risposta, non solo dall'attacco. Allineare IT, security e business riduce i tempi di ripristino e dimezza i costi di inattività.
Autore: Edwin Weijdema
Non è un segreto che il recupero da un attacco ransomware possa essere estremamente costoso. Lo scorso anno, gli attacchi ransomware sono costati alle organizzazioni a livello globale una cifra stimata di 57 miliardi di dollari, e questo dato già impressionante è destinato a salire fino a 275 miliardi di dollari entro il 2031. Purtroppo, per le aziende, gli attacchi ransomware non sono più una questione di “se” o “quando”, ma piuttosto di quante volte si verificheranno.
Tuttavia, se non è sempre possibile prevenire completamente gli attacchi ransomware in arrivo, ciò che le organizzazioni possono controllare in modo costante è il modo in cui rispondono. Ed è proprio questa risposta ad avere un impatto significativo sul “conto finale” del ransomware, una volta superata l’emergenza. Tra i numerosi fattori economici da considerare rientrano: la presenza di backup immutabili (o, in alternativa, la necessità di valutare il pagamento del riscatto), la durata dell’interruzione delle operazioni e l’eventuale perdita permanente di dati. Non si tratta quindi solo di chiedersi “è possibile recuperare?”, ma piuttosto “quanto efficacemente si è in grado di farlo?”. Come affrontare quindi questa sfida e ridurre l’impatto economico complessivo?
Innanzitutto, le organizzazioni devono capire come si è arrivati a questo punto. Tradizionalmente, la responsabilità della cyber resilience e della gestione del ransomware ricadeva principalmente sul team di sicurezza. Ma nel mondo odierno, sempre più interconnesso digitalmente, la responsabilità della protezione e del recupero dal ransomware deve estendersi ben oltre.
Nonostante ciò, molte aziende non hanno ancora colto il messaggio. Infatti, oltre la metà delle organizzazioni ha dichiarato lo scorso anno di aver bisogno di una revisione significativa dell’allineamento tra le operazioni IT e il team di sicurezza. Continuano a concentrare tutta la pianificazione del recupero dal ransomware all’interno del solo team di sicurezza, il che significa che, quando si verificano attacchi, si trovano a dover coordinare in fretta e furia il resto dell’organizzazione. Il risultato? Un disallineamento critico che prolunga i tempi di ripristino - e i costi.
Basti pensare alla serie di attacchi ransomware di alto profilo che hanno colpito il settore retail nel Regno Unito lo scorso anno. A emergenza conclusa, i costi stimati hanno sfiorato il mezzo miliardo. E non si è trattato solo di costi IT: l’impatto è stato amplificato dai lunghi periodi di inattività, con servizi aziendali interrotti o fortemente ridotti per mesi. Non solo le aziende colpite hanno perso ricavi preziosi, ma si sono generati effetti a catena anche sui fornitori, con ripercussioni sulle loro attività. Non è che queste organizzazioni non avessero piani di ripristino; è che non sono riuscite a implementarli abbastanza rapidamente. E in un attacco ransomware, il tempo è letteralmente denaro: il costo diretto più elevato dell’inattività è rappresentato dalla perdita di fatturato.
I team IT, di sicurezza e infrastrutturali possono avere piani interconnessi, ma se è solo il team di sicurezza a testarli e perfezionarli regolarmente, questi collegamenti sono destinati a fallire. Nella pratica, i team possono anche cercare di collaborare, ma spesso il team di sicurezza finisce per doversi fare carico della maggior parte del lavoro - e c’è un limite a ciò che può gestire. Nonostante i migliori sforzi, questo si traduce inevitabilmente in un aumento dei tempi di inattività e del tempo complessivo di ripristino.
Questo disallineamento è già stato riconosciuto da normative come NIS2 e DORA nell’Unione Europea, che attribuiscono una responsabilità crescente in materia di resilienza e capacità di recupero al top management, e non solo ai team di sicurezza.
Allineare il recupero dal ransomware tra tutti i team aziendali coinvolti è più facile a dirsi che a farsi. Ma è uno sforzo che vale la pena intraprendere. Si può investire molto nelle migliori soluzioni di sicurezza e ripristino disponibili sul mercato, ma non sono queste, da sole, a determinare la resilienza: tutto dipende da come vengono utilizzate. La tecnologia deve essere allineata alla strategia aziendale complessiva, così come alle persone e ai processi. È importante investire in strumenti di alta qualità, ma senza trascurare la formazione e la preparazione. Non si tratta di spendere di più, bensì di investire nel modo giusto.
Distribuire gli investimenti in modo più equilibrato potrebbe comportare un costo leggermente maggiore nel breve periodo, ma se fatto correttamente, diventa un investimento che non solo si ripaga da solo, ma genera anche ricavi aggiuntivi. Abbiamo già osservato che le organizzazioni più resilienti, caratterizzate da questo approccio, non solo si comportano meglio sulla carta, ma registrano anche performance migliori in termini di profitti, con un tasso di crescita media del fatturato superiore del 10%. Le aziende con una resilienza matura non solo recuperano dal ransomware il 30% più velocemente, ma i costi dovuti all’inattività sono in media dimezzati. La strada da seguire è chiara: alle organizzazioni resta solo da compiere il primo passo.
Se le organizzazioni non cambiano il loro approccio al recupero dal ransomware, questi costi continueranno a crescere. In fin dei conti, anche la migliore infrastruttura di sicurezza ha i suoi limiti se non è supportato da team responsabilizzati e da un’esecuzione standardizzata delle misure di resilienza. Altrimenti, nei momenti di crisi, ci si ritroverà a correre per reagire quando invece bisognerebbe agire con decisione.
Può essere difficile capire da dove cominciare, ma strumenti come i Data Resilience Maturity Models possono fare la differenza. Essi valutano il livello attuale di preparazione e forniscono linee guida pratiche per trasformare gli strumenti a disposizione e i team di talento in una strategia di recupero ransomware pienamente allineata. Collegando la resilienza direttamente alla strategia aziendale, si anticipano le minacce, si applica correttamente la governance e si garantisce il rispetto della compliance. E, soprattutto, si evita di spendere più del necessario per il recupero dal ransomware.