Il 20 maggio alle ore 16.45 una telefonata, da fonti ufficiali, informava il gruppo Schmersal che alcuni criminali informatici stavano pianificando un attacco mirato alla rete aziendale. I responsabili IT si sono consultati e hanno preso rapidamente una decisione di grande portata: spegnere l’intera rete aziendale. L'attacco ha portato la società in uno stato di emergenza durato quattordici giorni.
Storia di un attacco informatico
In dieci minuti, la connessione a Internet è stata interrotta e dopo 90 minuti tutte le apparecchiature IT erano state spente, in tutto il mondo. Nulla era più attivo, dalla centralina telefonica all’intera infrastruttura del sistema ERP, dalla produzione al magazzino completamente automatizzato, in tutte le sedi. Era l’unica cosa giusta da fare e la decisione è stata presa al momento giusto. I professionisti IT sono così stati in grado di identificare e isolare il malware particolarmente aggressivo. Apparentemente, l’attacco era ancora in una fase preparatoria quando i sistemi sono stati spenti. Ora bisognava impedire a tutti i costi che l’attacco andasse a segno.
È stato quindi necessario, in via cautelativa, mantenere i sistemi scollegati finché non sarebbe stato possibile ripulirli da ogni traccia di malware. Lo stato off-line è così perdurato per diversi giorni: l’intera produzione era ferma, mentre l’amministrazione e le vendite hanno lavorato intensamente per informare clienti, fornitori e altri partner commerciali.
Philip Schmersal, socio amministratore: “In situazioni come questa ci si rende conto di quanto un’impresa dipenda oggigiorno dall’IT. Telefonate, mail, accettazione degli ordini. Per ogni operazione abbiamo dovuto trovare dei canali alternativi. Per questo motivo, abbiamo fatto tutto il possibile per mantenere il contatto con i nostri clienti e tenerli aggiornati sugli sviluppi della situazione. Dovevamo cercare di ridurre al minimo l’impatto di quanto accaduto sulla catena logistica dei nostri clienti. E' stato necessario sottoporre ogni computer a una routine di pulizia individuale. In parallelo, tramite un server sostitutivo, abbiamo mantenuto attiva la comunicazione, stampato ed elaborato manualmente migliaia di e-mail con ordini e riavviato i programmi software".
Dopo una settimana...
Dopo una settimana di intensissimo lavoro, il sistema ERP, e quindi anche il magazzino centrale di Wuppertal, era di nuovo in funzione. Anche la rete di comunicazione mondiale tra i sette stabilimenti produttivi e le 64 sedi regionali internazionali e i rappresentanti commerciali è stata riattivata con successo. Per poter riprendere a pieno regime la produzione negli stabilimenti tedeschi è stato necessario attendere un’altra settimana.
Secondo Philip Schmersal, una delle lezioni apprese da questo incidente, che ha portato la società in uno stato di emergenza durato quattordici giorni, è la seguente: “In primo luogo, siamo stati fortunati a essere stati avvertiti e ad aver potuto agire precocemente. Mi ha colpito molto l’impegno del personale, che ha fatto di tutto per mantenere l’operatività in stato di emergenza senza la rete aziendale, indipendentemente dall’orario di lavoro e dal reparto, lavorando anche durante il fine settimana. La situazione di crisi ha dimostrato chiaramente che la nostra missione aziendale è messa in pratica ogni giorno – agiamo uniti, in perfetta intesa. Questo è ciò che i dipendenti hanno fatto con grande impegno nella pratica, contribuendo così a ripristinare la nostra capacità operativa in modo rapido, rispetto alla gravità dell’attacco”.
La collaborazione con le aziende vicine e i partner nella regione
Un altro aspetto positivo percepito dai responsabili è stata l’ottima collaborazione con le aziende vicine e i partner di rete nella regione. “È solo grazie al supporto delle piccole e medie imprese di Bergisch Gladbach che si è potuto realizzare i necessari lavori di più ampia portata sulle infrastrutture informatiche", ha commentato Philip Schmersal. "Ringraziamo anche alcune aziende del settore dell’automazione, che erano state vittime in passato di un simile attacco, per il sostegno che ci hanno dato in modo disinteressato. Dobbiamo essere grati anche ai clienti per la loro comprensione e un ringraziamento particolare va a tutti i nostri dipendenti per il loro grande impegno in questa difficile fas".
L’attacco ha mostrato che la normale protezione standard con programmi antivirus e firewall è impotente di fronte ad attacchi mirati con software maligni fino ad allora sconosciuti. Schmersal ha immediatamente fornito le informazioni sul software nocivo ai fornitori di programmi antivirus, che hanno così potuto estendere la protezione offerta, in modo che questo virus, si spera, non possa più causare danni. Philip Schmersal ha infine aggiunto: “Abbiamo tuttavia imparato che l’IT aziendale delle piccole e medie imprese deve essere ridefinito e constatato quanto rapidamente il tema ‘Security’ possa diventare una questione di massima priorità”.
