Con la firma da parte del presidente Biden su una legge sugli stanziamenti omnibus da 1,5 trilioni di dollari il mese scorso, il governo federale è pronto a spendere miliardi di dollari per rafforzare la cybersicurezza e l’informatica all’interno delle sue agenzie.
Ma il pacchetto di spesa affronta inoltre una delle sfide più persistenti per identificare e mitigare i cyberattacchi ad ampio raggio nell’infrastruttura della nazione, compreso il ransomware: condivisione dei dati e notifica di una violazione informatica.
Incluso nel disegno di legge omnibus vi è il Cyber Incident Reporting for Critical Infrastructure Act, che richiede ai proprietari e agli operatori di infrastrutture critiche di segnalare alcuni incidenti informatici alla Cybersecurity and Infrastructure Security Agency (CISA) e qualsiasi pagamento di ransomware entro 24 ore.
Mentre l’ulteriore regolamentazione della CISA delineerà il modo in cui la nuova legge deve essere applicata, sottolinea comunque l’importanza di condividere le informazioni quando si verifica un attacco informatico, tra cui dove le entità sono vulnerabili, ciò che gli attaccanti sono stati in grado di accedere, come la minaccia è stata mitigata e altro ancora.
Questa legge aiuterà a fornire un’intelligence azionabile sulle minacce, per aiutare a prevenire l’emergere di ransomware e altre minacce. Essa mostra anche la necessità di incorporare strumenti di gestione e recupero dei dati negli ambienti IT, sia per salvaguardare le informazioni che per preservarle in caso di attacco.
Il ruolo del reporting nel mitigare il ransomware
Ci si aspetta che i requisiti di segnalazione del Cyber Incident Reporting for Critical Infrastructure Act entrino pienamente in vigore una volta che la CISA determina come definire le entità coperte dalla legge, ma è probabile che le politiche precedenti limitino l’applicazione alle industrie di infrastrutture critiche.
Le entità in questi settori saranno tenute dalla legge a segnalare un incidente informatico coperto non più di 72 ore dopo che uno “crede ragionevolmente” di essere stato attaccato. Devono anche segnalare qualsiasi pagamento di ransomware effettuato entro 24 ore.
Ma la legge richiede anche che le entità conservino le informazioni chiave sul cyberattacco stesso, ed è qui che entra in gioco una solida strategia di protezione dei dati.
Secondo la nuova legge, qualsiasi entità che subìsce un attacco informatico dovrà fornire alla CISA informazioni sui sistemi informativi, le reti o i dispositivi colpiti, così come “le vulnerabilità sfruttate e le difese di sicurezza che erano in atto, così come le tattiche, le tecniche e le procedure pertinenti a tale incidente”, e quali informazioni si ritiene siano state accessibili da individui non autorizzati.
Queste misure permetteranno alle entità di ricevere precocemente informazioni critiche sulle minacce, permettendo loro di rafforzare e applicare patch ai sistemi software per aiutare a prevenire la diffusione di un attacco, generando anche discussioni strategiche su come limitare e mitigare il danno attuale causato dalla violazione.
In un momento in cui gli ambienti IT stanno diventando più complessi, con entità che perseguono un mix di multi-cloud, cloud ibrido e tecnologia tradizionale on-prem, le soluzioni di gestione e protezione dei dati sono diventate più essenziali.
Salvaguardare i vostri dati dalle minacce informatiche
Secondo il Veeam® Data Protection Trends Report 2022, su più di 3.000 responsabili IT e imprese globali, l’89% riferisce un divario tra la quantità di dati che possono permettersi di perdere in caso di interruzione e la frequenza con cui viene eseguito il backup dei dati.
Un altro 18% degli intervistati riferisce che i loro dati non sono sottoposti a backup. Con gli attacchi ransomware in aumento, assicurarsi che i dati non siano solo sottoposti a backup, ma completamente recuperabili è diventato più critico che mai.
Mentre il Cyber Incident Reporting for Critical Infrastructure Act fornirà ai leader tecnologici informazioni preziose su dove gli aggressori stanno colpendo e su cosa i loro obiettivi possono cercare, le entità avranno ancora bisogno di avere salvaguardie in atto per garantire che i loro dati siano protetti e recuperabili in caso di una violazione informatica.
Per coloro che sono stati violati in un attacco ransomware, pagare il riscatto o fare affidamento sui backup esistenti potrebbe non essere sufficiente a limitare i danni inflitti a un’entità dalla violazione informatica.
Secondo il Data Protection Trends Report, il 64% degli intervistati ha dichiarato di essere in grado di recuperare meno dell’80% dei propri dati dopo un attacco informatico, con circa un terzo dei dati non recuperabili.
Una buona pratica che un’entità può utilizzare per affrontare queste sfide è la regola del 3-2-1-1-0 quando si tratta della sua strategia di gestione dei dati. Assicurandosi di mantenere tre copie dei dati importanti, su almeno due diversi tipi di supporti, con almeno una di queste copie fuori sede; un backup dei dati fuori sede deve essere air-gapped, offline o immutabile, e che siano presenti zero errori a seguito di test automatizzati di backup e verifica della recuperabilità, i manager IT possono aiutare a proteggere meglio i loro dati da potenziali minacce ransomware.
Il Cyber Incident Reporting for Critical Infrastructure Act è un passo importante per aiutare a salvaguardare i settori istituzionali più importanti della nazione, aiutando ad avvertirli di minacce imminenti prima di un attacco. Ma queste entità devono anche prendere misure per salvaguardare i loro dati ora per aiutare a mitigare i danni di una violazione informatica di successo.
A cura di Rick Vanover, Senior Director of Product Strategy, Veeam
