Come qualcuno ricorderà, nel gennaio del 2023, la Royal Mail Britannica è stata colpita da un sofisticato attacco ransomware che ha paralizzato i suoi servizi internazionali di spedizione. Gli hacker, appartenenti al gruppo noto come LockBit, hanno richiesto un riscatto per sbloccare i sistemi e restituire il controllo all’azienda. Questo attacco ha messo in luce i gravi limiti nel sistema di disaster recovery della Royal Mail e ha evidenziato quanto sia cruciale un’adeguata pianificazione per affrontare queste emergenze.
Backup e Disaster Recovery. Il caso Royal Mail del 2023 (finito male)
L’attacco ransomware ha bloccato completamente i suoi sistemi di gestione delle spedizioni internazionali. I pacchi in entrata e in uscita non potevano essere processati, con migliaia di spedizioni internazionali bloccate nei centri di smistamento. L’azienda, che processa milioni di pacchi al giorno, ha dovuto affrontare un’interruzione prolungata delle operazioni, con conseguenti ritardi e perdite economiche significative. Le ripercussioni si sono fatte sentire rapidamente non solo nel Regno Unito, ma in tutta Europa, con aziende e privati che si sono trovati impossibilitati a spedire o ricevere pacchi per giorni, se non settimane. Il fallimento di un sistema adeguato di disaster recovery e backup ha ritardato il ripristino delle operazioni, costringendo la Royal Mail a cercare soluzioni alternative in fretta e furia.
Il fallimento del Backup e del Disaster Recovery
Mentre l’attacco ransomware in sé rappresenta una minaccia sempre più comune nel mondo degli affari, la vera problematica per la Royal Mail è stata la mancata implementazione di un sistema di backup isolato e un piano di disaster recovery aggiornato.
Ecco i principali fallimenti del sistema:
- Backup non isolati: Come in molti attacchi ransomware, i criminali sono riusciti a crittografare anche i backup aziendali. Poiché i backup non erano isolati o “air-gapped” (cioè fisicamente separati dal sistema principale), gli hacker sono stati in grado di bloccare anche i dati di riserva, rendendo inutile la possibilità di ripristinare rapidamente i sistemi.
- Test inadeguati del Disaster Recovery: Anche se disponeva di un piano di disaster recovery, non era stato testato in modo sufficiente o regolarmente aggiornato. Quando il team IT ha cercato di implementarlo, si sono trovati di fronte a ritardi operativi e inefficienze che hanno ulteriormente prolungato i tempi di inattività.
- Tempi di ripristino lenti: La Royal Mail ha impiegato diverse settimane per tornare a un livello operativo normale. Questo ritardo è stato in gran parte dovuto alla lentezza nel ripristino dei sistemi, poiché non esisteva un’infrastruttura di backup abbastanza rapida ed efficiente da rispondere a un attacco così massiccio.
- Danni alla reputazione e perdite finanziarie: L’interruzione ha costretto migliaia di clienti, inclusi grandi partner commerciali, a cercare soluzioni alternative per le spedizioni, danneggiando la reputazione di affidabilità costruita dalla Royal Mail nel corso di secoli. Anche le perdite economiche dirette sono state elevate, con costi associati al fermo delle operazioni, alla gestione dell’emergenza e al ripristino dei dati.
Cosa si Poteva fare
Molte aziende non sono ancora adeguatamente preparate a fronteggiare attacchi di questo tipo. Ecco alcune misure che avrebbero potuto prevenire o attenuare gli effetti devastanti dell’attacco:
- Backup Air-Gapped: I backup sono fisicamente separati dal sistema principale e non accessibili attraverso la rete. Questo avrebbe garantito alla Royal Mail la possibilità di recuperare i dati critici da una fonte sicura e incontaminata.
- Backup multilivello: con copie dei dati su cloud, sistemi locali e supporti esterni. Questa strategia avrebbe garantito una maggiore ridondanza e aumentato la probabilità di recupero dei dati in tempi rapidi.
- Test regolari del piano di Disaster Recovery: Un piano di recovery non serve solo a esistere sulla carta, ma deve essere testato regolarmente per verificare la sua efficacia. Simulazioni e prove pratiche avrebbero permesso al team IT della Royal Mail di scoprire eventuali punti deboli prima dell’attacco e di risolverli.
- Implementazione di sistemi di sicurezza avanzata: L’adozione di tecnologie di intelligenza artificiale per il rilevamento proattivo delle minacce avrebbe potuto consentire alla Royal Mail di identificare i segnali dell’attacco ransomware nelle fasi iniziali e bloccare l’infezione prima che si diffondesse. Tecnologie come intrusion detection systems (IDS) e endpoint detection and response (EDR) possono svolgere un ruolo cruciale nella protezione contro attacchi ransomware.
- Formazione del Personale: L’attacco ha probabilmente avuto origine da un errore umano, come spesso accade in casi di attacchi ransomware, tramite e-mail di phishing o vulnerabilità note nei sistemi aziendali. Un programma di formazione continua per il personale avrebbe potuto ridurre la probabilità di un simile errore.
- Collaborazione con le autorità di sicurezza: Infine, la collaborazione tempestiva con le autorità nazionali e internazionali di sicurezza informatica è stata cruciale. La Royal Mail, nonostante i problemi iniziali, è riuscita a contenere ulteriori danni grazie alla cooperazione con il National Cyber Security Centre (NCSC) britannico e altre agenzie di sicurezza. Le aziende dovrebbero costruire relazioni con le autorità competenti prima di un incidente, per poter ricevere un aiuto rapido ed efficace in caso di attacco.
Conclusione
Il caso della Royal Mail è un chiaro esempio di come anche le aziende più grandi e strutturate possano cadere vittime di attacchi informatici devastanti se non dispongono di sistemi di backup e disaster recovery adeguati. Le perdite finanziarie e reputazionali subite dall’azienda dimostrano quanto sia cruciale investire in soluzioni di backup avanzate, test periodici e formazione continua del personale.