Ransomware: cosa fare nelle prime 72 ore dopo un attacco

Immagina di arrivare in ufficio lunedì mattina e trovare tutti i computer bloccati con un messaggio che chiede un riscatto in Bitcoin. È lo scenario da incubo di ogni imprenditore, e purtroppo è sempre più frequente. In Italia, un'azienda su tre ha subito almeno un tentativo di ransomware nell'ultimo anno.

Le prime 24 ore: contenere e isolare

La prima cosa da fare è NON pagare il riscatto. Pagare non garantisce il recupero dei dati e finanzia le organizzazioni criminali. Invece, disconnetti immediatamente tutti i dispositivi dalla rete per evitare la propagazione. Non spegnere i computer — le prove forensi in memoria RAM sono preziose.

Contatta immediatamente il tuo partner di sicurezza informatica o un team di incident response. Ogni minuto conta per limitare i danni e preservare le prove.

24-48 ore: analizzare e comunicare

Nelle ore successive è fondamentale capire l'entità del danno: quali sistemi sono stati compromessi, quali dati sono stati cifrati o esfiltrati, e qual è stato il vettore d'attacco (come sono entrati). Questa analisi è cruciale per il ripristino.

Se sono stati compromessi dati personali, il GDPR richiede la notifica al Garante Privacy entro 72 ore dalla scoperta della violazione. Prepara anche una comunicazione per clienti e partner se i loro dati potrebbero essere stati esposti.

48-72 ore: ripristinare e rafforzare

Con l'analisi completata, si procede al ripristino dai backup (se disponibili e non compromessi). Si reinstallano i sistemi da zero, si cambiano tutte le credenziali e si implementano le misure di sicurezza che avrebbero potuto prevenire l'attacco.

La lezione più importante

Il 60% delle PMI che subisce un attacco ransomware grave chiude entro 6 mesi. La prevenzione costa una frazione del ripristino. Un sistema di backup testato, un EDR su tutti i dispositivi e la formazione del personale sono le tre misure che possono fare la differenza tra un incidente gestibile e una catastrofe.