La chiamata è arrivata il 20 maggio alle ore 16.45. Il gruppo Schmersal è stato informato da fonte ufficiale che alcuni criminali informatici stavano pianificando un attacco mirato alla rete aziendale. Dopo aver verificato la chiamata – dopo tutto avrebbe potuto trattarsi di una ‘fake news’ – i responsabili IT si sono consultati e hanno preso rapidamente una decisione di grande portata: spegnere l’intera rete aziendale. In dieci minuti, la connessione a Internet è stata interrotta e dopo 90 minuti tutte le apparecchiature IT erano state spente, in tutto il mondo. Nulla era più attivo, dalla centralina telefonica all’intera infrastruttura del sistema ERP, dalla produzione al magazzino completamente automatizzato, in tutte le sedi.
Una lunga pulizia
Come ci si è presto resi conto, era l’unica cosa giusta da fare e la decisione è stata presa al momento giusto. I professionisti IT sono così stati in grado di identificare e isolare il malware particolarmente aggressivo. Apparentemente, l’attacco era ancora in una fase preparatoria quando i sistemi sono stati spenti. Ora bisognava impedire a tutti i costi che l’attacco andasse a segno.
È stato quindi necessario, in via cautelativa, mantenere i sistemi scollegati finché non sarebbe stato possibile ripulirli da ogni traccia di malware. Lo stato ‘off-line’ è così perdurato per diversi giorni: l’intera produzione era ferma, mentre l’amministrazione e le vendite hanno lavorato intensamente per informare clienti, fornitori e altri partner commerciali. Philip Schmersal, socio amministratore:
“In situazioni come questa ci si rende conto di quanto un’impresa dipenda oggigiorno dall’IT. Telefonate, mail, accettazione degli ordini. Per ogni operazione abbiamo dovuto trovare dei canali alternativi. Per questo motivo, abbiamo fatto tutto il possibile per mantenere il contatto con i nostri clienti e tenerli aggiornati sugli sviluppi della situazione. Dovevamo cercare di ridurre al minimo l’impatto di quanto accaduto sulla catena logistica dei nostri clienti. Al contempo c’era tantissimo “lavoro manuale” da svolgere: poiché questo specifico software nocivo che ha colpito Schmersal non era stato inizialmente rilevato da nessuno scanner antivirus standard, è stato necessario
sottoporre ogni computer a una routine di pulizia individuale. In parallelo, tramite un server
sostitutivo, abbiamo mantenuto attiva la comunicazione, stampato ed elaborato manualmente migliaia di e-mail con ordini e riavviato i programmi software.
Dopo una settimana di intensissimo lavoro, il sistema ERP, e quindi anche il magazzino centrale di Wuppertal, era di nuovo in funzione. Anche la rete di comunicazione mondiale tra i sette stabilimenti produttivi e le 64 sedi regionali internazionali e i rappresentanti commerciali è stata riattivata con successo. Per poter riprendere a pieno regime la produzione negli stabilimenti tedeschi è stato necessario attendere un’altra settimana.
Tutti compatti contro l’attacco
Secondo Philip Schmersal, una delle lezioni apprese da questo incidente, che ha portato la società in uno stato di emergenza durato quattordici giorni, è la seguente: “In primo luogo, siamo stati fortunati a essere stati avvertiti e ad aver potuto agire precocemente. Mi ha colpito molto l’impegno del personale, che ha fatto di tutto per mantenere l’operatività in stato di emergenza senza la rete aziendale, indipendentemente dall’orario di lavoro e dal reparto, lavorando anche durante il fine settimana. La situazione di crisi ha dimostrato chiaramente che la nostra missione aziendale è messa in pratica ogni giorno – agiamo uniti, in perfetta intesa. Questo è ciò che i dipendenti hanno fatto con grande impegno nella pratica, contribuendo così a ripristinare la nostra capacità operativa in modo rapido, rispetto alla gravità dell’attacco”.
Un altro aspetto positivo percepito dai responsabili è stata l’ottima collaborazione con le aziende vicine e i partner di rete nella regione. Philip Schmersal: “È solo grazie al supporto delle piccole e medie imprese di Bergisch Gladbach che si è potuto realizzare i necessari lavori di più ampia portata sulle infrastrutture informatiche. Ringraziamo anche alcune aziende del settore dell’automazione, che erano state vittime in passato di un simile attacco e che negli ultimi quattordici giorni ci hanno sostenuto in modo disinteressato. Dobbiamo essere grati anche ai clienti per la loro comprensione e un ringraziamento particolare va a tutti i nostri dipendenti per il loro grande impegno in questa difficile fase.
Non bastano antivirus e firewall
L’attacco ha mostrato che la normale protezione standard con programmi antivirus e firewall è impotente di fronte ad attacchi mirati con software maligni fino ad allora sconosciuti. Schmersal ha immediatamente fornito le informazioni sul software nocivo ai fornitori di programmi antivirus, che hanno così potuto estendere la protezione offerta, in modo che questo virus, si spera, non possa più causare danni. Philip Schmersal ha infine aggiunto: “Abbiamo tuttavia imparato che l’IT aziendale delle piccole e medie imprese deve essere ridefinito e constatato quanto rapidamente il tema ‘Security’ possa diventare una questione di massima priorità”.