Come cercare un ago in un pagliaio digitale. Quando si verifica un incidente di sicurezza, non è semplice risalire alle cause della violazione o alle modalità con cui è stato portato a segno un attacco informatico. Per questa ragione, sempre più organizzazioni sono oggi alla ricerca di competenze specifiche in materia e strumenti ad hoc, capaci di esaminare i sistemi informatici e indagare sull’origine dell’incidente o della violazione.
È la cosiddetta Digital Forensics, una branca della scienza forense che si occupa di recuperare, indagare, esaminare e analizzare il materiale presente nei dispositivi digitali, soprattutto in caso di incidenti di cybersecurity: furto di credenziali, accesso non autorizzato e danni ai sistemi informatici sono tutte fattispecie che possono essere indagate dagli esperti di Digital Forensics.
Difatti, grazie all’analisi forense dei dati e delle loro tracce digitali, è possibile identificare l’autore di una violazione e verificare i movimenti avvenuti all’interno della rete, in modo da prevenire e contrastare un attacco hacker. Gli strumenti, messi oggi a disposizione delle aziende dagli esperti del settore permettono non solo di identificare la causa principale di un attacco informatico, ma anche di definire misure preventive per evitare incidenti futuri sia sul piano della sicurezza che a livello di compliance.
Indagare in maniera approfondita significa infatti anche mitigare gli effetti dell’incidente e rimettere in sicurezza i dati, evitando all’azienda di incorrere nelle sanzioni previste dal GDPR.
Cos’è e come funziona la Digital Forensics
Nata come Computer Forensics, oggi il più ampio concetto di Digital Forensics fa riferimento soprattutto alle analisi forensi sul dato digitale, che riguardano sempre meno il personal computer e sempre di più altre tipologie di supporti, risorse hardware e software distribuiti anche in remoto. Gli esperti di informatica forense svolgono perciò un ruolo fondamentale nel trovare ed esaminare le prove relative all’incidente cyber.
Alla stregua delle impronte rinvenute sulla scena del delitto, anche i crimini informatici lasciano tracce su registri di attività e metadati: difatti, il National Institute for Standard and Technology (NIST) distingue quattro fasi della Digital Forensics, che riguardano tutte il reperimento della prova digitale – dall’identificazione all’acquisizione fino all’analisi e presentazione.
In prima battuta, gli investigatori forensi digitali analizzano i dati rinvenuti per individuare gli strumenti utilizzati dal cybercriminale e il metodo scelto per sferrare l’attacco informatico. Una volta acquisiti e identificati, le informazioni vengono poi sottoposte a un processo di valutazione: l’analisi consiste nella verifica dei risultati di questo esame, che permettono di ottenere risposte e capire come si è svolto l’incidente o la violazione.
Infine, la presentazione dei risultati comprende la descrizione delle attività compiute e degli strumenti utilizzati, oltre all’individuazione delle ulteriori operazioni necessarie ad esempio per ripristinare l’operatività.
Digital Forensics, i benefici per il business
La Digital Forensics è utile, dunque, a individuare l’entità e la natura del danno prodotto da un attacco informatico o dal mancato rispetto delle normative in materia di sicurezza e protezione dei dati. Gli esperti di informatica forense aiutano il team di incident response a individuare l’autore dell’attacco, a ricostruire il modo in cui questo è stato portato avanti e a quantificare i danni che ha causato all’ambiente aziendale.
Oltre a comprendere l’intento dell’attaccante, la Digital Forensics permette di mappare gli accessi, rilevare la durata della violazione e preservare le prove acquisite. Così facendo, aiuta anche a determinare l’origine dell’esfiltrazione o dell’accesso non autorizzato ai dati, fornendo alla direzione aziendale informazioni utili sulle vulnerabilità dell’organizzazione che la espongono a un maggiore rischio in materia di sicurezza.
Inoltre, in base al GDPR, le aziende sono tenute a garantire un pronto intervento in caso di data breach e a notificare l’avvenuta violazione al Garante per la protezione dei dati personali, fornendo tutti i dettagli sulla natura della compromissione, sui dati oggetto di violazione, sulle conseguenze della stessa e sulle misure adottate per porvi rimedio. Per adempiere a questi obblighi ed evitare le sanzioni connesse al mancato rispetto del regolamento, l’azienda deve dotarsi di strumenti utili a raccogliere, esaminare e conservare le prove digitali del data breach.
Affidarsi a partner esperti in materia di Digital Forensics si rivela, dunque, cruciale anche nel momento successivo alle indagini vere e proprie, ovvero quando l’azienda è chiamata ad affrontare le conseguenze dell’attacco. Consente infatti di comprendere l’impatto della compromissione dei dati e di implementare le necessarie misure di mitigazione. Ciò aiuta i leader aziendali a fornire informazioni complete alle autorità competenti e a prendere decisioni ragionate sui passi successivi, per riportare in sicurezza l’intera organizzazione.