Il cyber attacco dalla prospettiva del birrificio Rugenbräu
È stato come un fulmine a ciel sereno: dopo un attacco hacker al fornitore di servizi IT, tutto ha smesso di funzionare. E-mail, contabilità, stampanti, sistemi di registrazione degli orari: l’intera rete si è trovata paralizzata. Il birrificio Rugenbräu AG ha subito attivato misure di emergenza.
«In un attimo mi sono sentito catapultato negli anni Novanta». È così che Remo Kobluk, CEO della Rugenbräu AG, descrive l’attacco hacker che ha interessato il fornitore di servizi IT con cui il birrificio ha un rapporto contrattuale. Insieme a Christian Schneiter, responsabile delle finanze e delle risorse umane, Remo Kobluk si è trovato di fronte a sistemi informatici completamente fuori uso. «Quel giorno si poteva lavorare solo con carta e penna», racconta Remo Kobluk. Nemmeno il telefono funzionava poiché necessita della rete.
Tornare a lavorare con solo carta e penna
Attivare il piano di emergenza
Il team di crisi della direzione verifica quali attività possono essere svolte manualmente o senza rete. Ad esempio attiva un cellulare di emergenza sul quale deviare le chiamate per mantenere almeno un contatto con l’esterno. Gli interventi immediati prevengono le perdite economiche, e nonostante il guasto ai sistemi, l’azienda può continuare ad accettare ordini e consegnare la merce.
Dobbiamo imparare la lezione da questo caso ed essere sempre pronti.
Comunicare perdita di dati
Finora non è chiaro se l’attacco abbia riguardato anche dati personali. Poiché alla Rugenbräu lavora anche personale proveniente dall’UE, si applica il diritto europeo sulla protezione dei dati e quindi vige l’obbligo di informare l’Incaricato federale della protezione dei dati e della trasparenza qualora fossero coinvolti dati personali. «Durante la liquidazione del sinistro la Mobiliare ci ha informato espressamente su questo aspetto».
Violata la sicurezza dei dati? Bisogna comunicarlo!
Il 1° settembre 2023 è entrata in vigore la revisione della legge sulla protezione dei dati (LPD). Ora anche in Svizzera la legge prevede l’obbligo di comunicazione in caso di perdita di dati potenzialmente lesivi della personalità. Se la sicurezza viene violata, è necessario informare l’Incaricato federale della protezione dei dati e delle informazioni (IFPDT).
Sensibilizzare i collaboratori
Da quando la Rugenbräu, tre anni fa, ha stipulato una cyber assicurazione, la direzione organizza corsi di formazione per il personale. Il training di sensibilizzazione fornito dalla Mobiliare comprende l’invio di e-mail finte al personale. «Finora siamo soddisfatti. Quasi nessuno ha cliccato sui link falsi», afferma Christian Schneiter.
In seguito all’attacco hacker ai sistemi del fornitore, il CEO Remo Kobluk ha maturato alcune riflessioni: «Questo attacco ci ha insegnato che tutti possono cadere in una trappola». Non intende però mettere in discussione la digitalizzazione, che ha reso più semplici ed efficienti i processi anche nella sua azienda.
Noi siamo al suo fianco
Con il training di sensibilizzazione ai cyber rischi vi offriamo, oltre alle sessioni di training online, anche la simulazione di attacchi di phishing. Dopo lo svolgimento di tale simulazione ricevete una valutazione in cui è riportato come potete migliorare ulteriormente le vostre competenze e quelle del vostro personale.