Una simulazione di crisi di successo rafforza le capacità di cybersecurity in Svizzera

Andrea Thäler, Cybersecurity e Data Science, armasuisse Scienza e Tecnologia

Giovedì 16 maggio 2024, presso il Cyber-Defence Campus di Zurigo, si è svolto il «Cyber-Defence Campus, Cyber Crisis Simulation». All'evento, durato tutto il giorno, hanno partecipato 20 persone provenienti da infrastrutture critiche, unità di polizia, autorità cantonali e federali e i loro fornitori di servizi. La simulazione è stata supportata per tutta la durata dai dipendenti del Cyber-Defense Campus e da due ufficiali di milizia della Unità di comando Cyber dell'Esercito svizzero.

L'evento è iniziato con un discorso del Dr. Vincent Lenders, Responsabile del Cyber-Defense Campus, e con una panoramica di Cédric Aeschlimann, Responsabile Scientifico del Cyber-Defense Campus, che ha spiegato gli obiettivi dell'esercitazione. I partecipanti sono stati poi divisi in quattro gruppi, ognuno dei quali era supervisionato dagli organizzatori e disponibile per domande e supporto.

Simulazione di crisi informatica

Durante la simulazione, i partecipanti si sono confrontati con uno scenario fittizio: La Zurich Energy Company, un'azienda fittizia responsabile della fornitura di energia alla città di Zurigo e interamente di proprietà del Cantone e della città, doveva affrontare una crisi. L'azienda gestisce centrali elettriche, dighe e parchi eolici, e gestisce anche le linee elettriche per i clienti. Poiché non esistevano linee guida preesistenti per la gestione delle crisi, i partecipanti hanno dovuto svilupparle durante l'esercitazione. Il team di crisi dell'azienda era composto da cinque dipartimenti: Relazioni con i clienti, Produzione di energia elettrica, Gestione della rete, Relazioni pubbliche e IT.

In questo scenario fittizio, il numero di incidenti informatici segnalati è aumentato nel 2023, in particolare le e-mail fraudolente, il phishing e gli attacchi ransomware. Gli attacchi ai sistemi di controllo industriale e alle tecnologie operative rappresentano la minaccia maggiore per le aziende energetiche.

I partecipanti hanno ricevuto vari eventi, noti come iniezioni, a cui dovevano rispondere. Queste iniezioni si presentavano sotto forma di e-mail provenienti da persone fittizie all'interno e all'esterno dell'organizzazione, nonché da rappresentanti dei media. I partecipanti dovevano decidere a quali iniezioni rispondere, creare e implementare un piano di comunicazione e sviluppare un piano di continuità per gestire la crisi. Nel corso dell'esercitazione, i partecipanti dovevano presentare i seguenti risultati:

• Valutazione della situazione
• Piano di comunicazione e riepilogo delle azioni intraprese (due volte al giorno)
• Piano di continuità aziendale

I coach del Cyber-Defence Campus e gli strumenti, come i modelli, erano disponibili durante tutta la giornata per fornire consigli, supporto e guida ai partecipanti che lavoravano in gruppo.

Lezioni apprese

Alla fine della giornata, si è svolto un rapporto post-azione e un debriefing congiunto. Tutti i partecipanti si sono riuniti per riflettere sulla giornata e dare un feedback. Il feedback è stato estremamente positivo. Molti partecipanti hanno sottolineato che l'esercitazione ha chiarito loro dove le loro organizzazioni hanno delle lacune e cosa deve essere migliorato internamente. Hanno anche menzionato l'importanza della pratica regolare in queste situazioni.

I modelli utilizzati durante l'esercitazione sono stati evidenziati in modo particolarmente positivo, così come l'opportunità di identificare le conoscenze mancanti e di capire su cosa bisogna lavorare. I partecipanti hanno anche elogiato la composizione diversificata dei gruppi di lavoro, gli scenari realistici e le iniezioni. Inoltre, è stato notato che il lavoro di squadra ha un valore significativo e che è fondamentale capire la necessità di comunicare con persone specifiche in momenti specifici.

Dal punto di vista degli ufficiali di milizia della Unità di comando Cyber dell'Esercito svizzero è stato determinato che una struttura precisa e una divisione dei compiti sono essenziali. In situazioni di crisi, è fondamentale non fare supposizioni. Bisogna anche assicurarsi che una persona sia responsabile della documentazione della situazione. I risultati più significativi dell'esercitazione sono stati riassunti come segue:

• La pratica regolare è essenziale: «esercizio, esercizio, esercizio».
• Tutti i membri dell'organizzazione devono conoscere i propri punti di forza, le proprie debolezze e le proprie risorse,
• ed è importante conoscere le persone giuste per il supporto.

Le Linee guida per la comunicazione di crisi e le Linee guida per la gestione delle crisi dell'Esercito svizzero sono state messe a disposizione dei partecipanti durante l'esercitazione. Questi materiali di supporto si sono rivelati utili. Le Linee guida sulla comunicazione di crisi dell'Esercito svizzero includono una comunicazione chiara e precisa durante una crisi, la definizione dei canali e dei percorsi di comunicazione, nonché l'assegnazione delle responsabilità per la comunicazione.

L'evento «Cyber-Defence Campus, Cyber Crisis Simulation» è stato un grande successo. I partecipanti hanno potuto acquisire un'esperienza preziosa e importanti intuizioni su come migliorare i loro processi interni. Il feedback positivo e le lezioni apprese sottolineano l'importanza di tali esercizi per rafforzare le capacità di sicurezza informatica nell'industria e nelle infrastrutture critiche.

Un ringraziamento speciale va ai dipendenti del BACS e dell'Esercito svizzero, che hanno partecipato attivamente alla preparazione e all'organizzazione di questo evento.

Ulteriori informazioni:

• Cyber-Defence Campus: Rafforzare la difesa informatica della Svizzera (admin.ch)
• Aggruppamento Difesa (admin.ch)
• Pagina iniziale UFCS (admin.ch)
• armasuisse Scienza e tecnologia S +T (admin.ch)
• Ciberstrategia nazionale CSN (admin.ch)
• Cyber Training (admin.ch)