Settembre 2025. Immagina di essere in aeroporto: voli cancellati, code infinite, check-in improvvisamente “a mano” come trent’anni fa. È quello che è successo davvero qualche giorno fa. Un attacco informatico — probabilmente ransomware — ha bloccato la piattaforma Muse, usata in decine di aeroporti europei per gestire check-in e bagagli.
In poche ore, il sistema informatizzato moderno si è fermato di colpo. Sapete qual è stato il risultato? Danni enormi, ritardi, perdita di fiducia, e gestori costretti a improvvisare (per chi volesse approfondire, abbiamo pubblicato un articolo con la storia dell’evoluzione del sistema di gestione direttamente sulla nostra pagina Globalan su LinkedIn, che invito tu􀆫 a visitare).
________________________________________
Cos’è un ransomware (spiegato semplice)
Il ransomware è come un “lucchetto digitale” messo da criminali sui dati o sui sistemi aziendali.
Non gliene frega niente di rubare: quello che vogliono è bloccare. Fino a quando non viene pagato un riscatto, nulla si muove: file, software, servizi, tuto fermo → soldi persi, tempo perso, lavoro perso!
Nel caso Muse, non era possibile neppure stampare le etichete dei bagagli: l’intera catena logistica aeroportuale si è inceppata, lasciando dipendenti e passeggeri senza strumenti di lavoro.
________________________________________
Visto da vicino: com’è avvenuto l’attacco a Muse
Vettore d’ingresso
Il cuore di Muse non è stato attaccato direttamente. La breccia sembra essere passata da un servizio integrato (“supply chain compromise”, ne parleremo nella prossima pillola): in pratica, un anello esterno, apparentemente secondario, ha aperto la porta al danno. È il classico scenario: anche il sistema più sicuro può cadere se lo indebolisce chi lavora attorno (o dentro).
Tecniche osservate
Progressivamente, il malware ha iniziato a cifrare dati e bloccare servizi. Diversi segnali suggeriscono l’uso di “command & control” evoluti, quindi comunicazioni tra i sistemi colpiti e il server degli attaccanti su canali cifrati e porte “normali” (come quelle usate per navigare), rendendo la difesa e l’analisi più complicate.
Recovery
Le compagnie più pronte, con soluzioni alterna􀆟ve o backup locali (British Airways & co.), hanno saputo riprendere il controllo, almeno parzialmente.
Per chi si affidava solo ai servizi centralizzati, invece, è stato blackout totale. È qui che la resilienza vera fa la differenza.
Lezione per i SOC (futuri)
Avere buoni log e telemetrie sui propri ambienti serve, ma non basta. Se chi ti fornisce servizi non monitora e aggiorna come te, la catena è debole. Bisogna lavorare insieme, standardizzare e investire anche sulla sicurezza dei partner.
________________________________________
Perché riguarda tutti
Nessuna azienda, nemmeno i “giganti”, è immune. Quando si lavora con piattaforme esterne, si condividono i loro rischi, non solo i servizi, e, se si bloccano, ne risente ogni collega, cliente e progetto.
________________________________________
Che cosa Globalan (e tutti noi) impariamo
• Resilienza pratica
Bisogna testare davvero i piani di emergenza: non bastano slide e procedure, serve esercitarsi in condizioni reali.
• Continuità manuale
È fondamentale sapere come lavorare anche senza i sistemi chiave per più giorni. Serve metodo, lucidità, spirito di squadra.
• Controllo dei fornitori
La nuova normativa NIS2 ci dice chiaramente: vanno analizzati tutti i rischi, anche quelli nei sistemi integrati e di terzi, non solo nei fornitori principali.
• Incident response “corale”
I piani vanno condivisi e coordinati tra clienti, fornitori, autorità. Serve sapere chi chiamare, come comunicare, e avere escalation chiare e pronte.
________________________________________
La domanda da farsi
Se domani un ransomware bloccasse un nostro servizio critico, sapremmo lavorare “alla vecchia maniera” per tuto il tempo necessario?
Abbiamo davvero backup e procedure che coprono anche le dipendenze esterne?
________________________________________
Il messaggio chiave
Il ransomware non è materia solo da IT. È un problema che riguarda ogni reparto, ogni processo, la continuità stessa del lavoro.
Il caso Muse ci lancia un messaggio chiaro: la resilienza va allenata e condivisa.
Essere preparati significa pensare davvero a tuta la filiera — tecnica, umana, operativa e di fornitura — e non solo “difendere i computer”.
Appendice 1 – Check-list, ovvero il kit d’emergenza
Cosa fare in caso di sospetto ransomware
• Scollega il PC dalla rete (Wi-Fi/cavo).
• Non spegnerlo: può servire per l’analisi forense.
• Avvisa immediatamente l’IT o l’Helpdesk.
• Non pagare e non rispondere ai criminali.
• Non tentare restore “fai da te”.
________________________________________
Appendice 2 – Buone pratiche quotidiane
Regole di prevenzione valide per tutti
• Non aprire allegati né cliccare link sospetti, anche se sembrano provenire da conta􀆫 interni.
• Usa password diverse, forti e aggiornate periodicamente.
• Mantieni sempre aggiornati sistemi operativi e programmi.
• In caso di dubbio, segnala: meglio un falso allarme che un rischio reale.
________________________________________
Appendice 3 – Domande per i manager
Auto-valutazione di resilienza
• Le procedure di emergenza vengono testate su scenari reali?
• Possiamo garantire la continuità delle attività cri􀆟che senza i sistemi core?
• I fornitori critici applicano controlli di sicurezza pari ai nostri standard?
• Esiste un piano di comunicazione interna ed esterna in caso di attacco?