Attacchi informatici in Italia: la situazione dal Rapporto 2015 OAI

Attacchi informatici in Italia:
la situazione dal
Rapporto 2015 OAI
Marco R.A. Bozzetti
CEO Malabo Srl
Ideatore e curatore OAI
Consiglio Direttivo e Communication Officer AIPSI
1
Marco R.A. Bozzetti
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano
• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete
europea di ricerca (tipo ARPA) a commutazione di pacchetto
• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network Environment, e
comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS)
• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 1982-84 Italtel
Telematica : responsabile pianificazione strategica
• 1984-87 Arthur Andersen Management Consultants
• 1987-91 fondatore e Partner Ibimaint System Engineers
• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza
• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET
• 1995-2000 CIO Gruppo ENI
• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab
• Dal 2001 Fondatore e Amministratore Unico Malabo Srl
• FTI, Forum delle Tecnologie dell’Informazione (fondatore)
• EITO, European Information Technology Observatory ( Co-ideatore e
Chief Scientist)
• ClubTI di Milano (Past President)
• FidaInform, Federazione Italiana delle Associazioni Professionali di
Information Management (Past President)
• AIPSI-ISSA, Consiglio Direttivo – Comms Officer
2
AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
http://www.aipsi.org/
•
Capitolo italiano di ISSA, Information Systems Security Association,
(www.issa.org)
• 13.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT
• ISSA Journal, Webinar, Conferenze, …
•
AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i
professionisti della sicurezza, sia dipendenti sia liberi professionisti ed
imprenditori del settore
•
Primari obiettivi AIPSI
• diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli
utenti digitali,
• offrire ai propri Soci qualificati servizi per la loro crescita professionale
•
Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce
•
Collaborazione con varie associazioni ICT ed Enti per eventi, progetti ed
iniziative congiunte: AICA, Anorc, ClubTI Milano e Roma, CSA Italy, FidaInform,
Inforav, Polizia Postale, Smau, ecc.
3
OAI, Osservatorio Attacchi Informatici in Italia
•
Obiettivi iniziativa
– Fornire informazioni sulla reale situazione degli attacchi informatici in Italia
– Contribuire alla creazione di una cultura della sicurezza informatica in Italia
– Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
•
Che cosa fa
– Indagine annuale condotta attraverso un questionario on-line indirizzato a CIO,
CISO, CSO, ai proprietari/CEO per le piccole aziende
– Rubrica mensile OAI sulla rivista Office Automation di Soiel da marzo 2010
– Gruppo OAI su Linked
•
Come
– Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i costi di
realizzazione)
– Stretto anonimato dei rispondenti al questionario on line via web
– Collaborazione con numerose associazioni (Patrocinatori) per ampliare il bacino
dei rispondenti e dei lettori
4
5
Sponsorizzazioni e patrocini OAI 2015
con la collaborazione di
Patrocinatori
6
Indice Rapporto OAI 2015
•
•
•
•
•
•
•
•
•
•
•
•
•
1. Executive Summary
1En. Executive Summary in English
2. Introduzione
–
2.1 Le motivazioni dell’Osservatorio sugli Attacchi Informatici in Italia
–
2.2 Aspetti metodologici dell’indagine OAI
3. Le tipologie di attacco considerate
4. Gli attacchi informatici rilevati
–
4.1 Gli impatti degli attacchi rilevati
–
4.2 I dati dalla Polizia Postale e dal Cnaipic
–
4.3 Nuovi e vecchi attacchi
•
4.3.1 Vulnerabilità e codici maligni
– 4.3.1.1 Heartbleed
– 4.3.1.2 Antivirus insicuri
•
4.3.2 Il rischio Malvertising
•
4.3.3 Targeted Attack e Advanced Persistent Threat
– 4.2.3.1 Gli attacchi Watering Hole
•
4.3.4 Gli attacchi per l’Internet delle Cose (IoT, Internet of Thinks)
•
4.3.5 La situazione a livello europeo secondo ENISA
5. L’individuazione e la gestione degli attacchi
6. Strumenti e misure di sicurezza ICT adottate
–
6.1 Sicurezza fisica
–
6.2 Sicurezza logica
–
6.3 Gli strumenti per la gestione della sicurezza digitale
–
6.4 Le misure organizzative
•
6.4.1 Conformità a standard e a “buone pratiche”
•
6.4.2 Audit ICT
•
6.4.3 La struttura organizzativa interna per la sicurezza ICT
7. Gli attacchi più temuti nel futuro
Allegato A - Il campione emerso dall’indagine
–
A.1 Chi ha risposto: ruolo e tipo di azienda/ente
–
A.2 Macro caratteristiche dei sistemi informatici del campione emerso dall’indagine
Allegato B - Profili Sponsor
Allegato C - Riferimenti e fonti
–
C.1 Dall’OCI all’OAI: un po’ di storia... e di attualità
–
C.2 Le principali fonti sugli attacchi e sulle vulnerabilità
Allegato D - Glossario dei principali termini ed acronimi sugli attacchi informatici
Allegato E - Profilo dell’Autore
• 62 pagine A4
• 11 Tabelle
• 63 Grafici
7
OAI 2009-2015: la crescita del numero di rispondenti
4500
4500
4000
3500
3500
3000
3000
2500
2000
1500
1000
500
Rispondenti
1800
Contattati
1000
105
130
206
299
424
0
Rapporto OAI Rapporto OAI Rapporto OAI Rapporto OAI Rapporto OAI
2009-10
2011
2012
2013
2015
8
Attacchi rilevati nel 2013 e nel 2014
62,5%
% rispondenti
55,3%
34,7%
28,9%
8,6%
Mai
Meno di 10 casi
2013
2014
10,0%
Più di 10 casi
© OAI 2015
9
Attacchi rilevati dal 2007 nei vari Rapporti OAI
80,0%
% rispondenti
70,0%
60,0%
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%
2007
2008
2009
2010
Mai
Meno di 10
2011
Più di 10
2012
2013
2014
© OAI 2015
10
R
ng
.
e
di
sp
.
tti
rto
.r
is
or
se
lE
ica
Fu
tu
ra
z
cia
wa
r
2013
2014
AP
T
e
TA
Al
tri
IC
T
At
ta
cc
Sf
hi
ru
re
t.
ti
vu
ln
er
ab
ilit
Fu
à
rto
in
Fr
fo
od
da
i
Pd
L
Ac
m
ob
c
.n
Ac
ili
on
c.
no
au
n
t.
au
Da
t.
ti
Pr
og
Ac
ra
m
c.
Fu
m
no
rto
i
n
in
a
fo
ut
.S
da
is
ris
.
or
s
At
e
ta
fis
cc
se
hi
si
c.
fis
ica
Sa
So
M
al
% rispondenti
Diffusione tipologia attacchi subiti 2013 - 2014
(risposte multiple)
80,0%
70,0%
60,0%
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%
© OAI 2015
11
Ordinamento attacchi per variazione % tra 2014 e 2013
Classifica
5
16
13
7
10
3
6
11
2
8
9
12
1
14
15
4
Tipologia attacchi
Ricatti ICT
APT e TA
Acc. non aut. Sis.
Attacchi reti
Acc. non aut. Programmi
Saturaz. risorse
Sfrut. vulnerabilità
Acc. non aut. Dati
Malware
Frodi
Furto info da PdL mobili
Furto info da risorse fisse
Social Eng.
Attacchi sic. fisica
Altri
Furto disp.
2013
8,7%
3,3%
8,3%
14,5%
9,3%
38,8%
15,8%
11,2%
65,1%
12,4%
11,9%
10,5%
65,8%
10,4%
11,4%
30,3%
2014
Variazione
28,9%
20,2%
8,9%
5,6%
13,4%
5,1%
19,2%
4,7%
13,4%
4,2%
42,5%
3,7%
19,1%
3,3%
14,0%
2,8%
67,9%
2,8%
15,1%
2,8%
14,2%
2,3%
12,7%
2,3%
67,1%
1,4%
11,8%
1,4%
11,5%
0,1%
29,2%
-1,1%
© OAI 2015
12
Impatto dell’attacco
>10 casi impatto molto
significativo
2,7%
2,5%
>10 casi impatto poco
significativo
1-10 casi impatto molto
significativo
17,3%
17,1%
10,9%
7,8%
1-10 casi impatto poco
significativo
0,0%
69,1%
72,5%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0%
% rispondenti
2013
2014
© OAI 2015
13
Tempi medi di ripristino dopo un attacco
Non lo so
Oltre un mese
Meno di un mese
Meno di una settimana
Meno di 3 giorni
4,1%
0,0%
4,1%
9,0%
17,9%
Meno di un giorno
64,8%
% rispondenti
© OAI 2015
14
Attacchi 2014 per macro settore
Più di 10 casi
10,5%
10,9%
8,8%
Pubblica Amministrazione
31,6%
Meno di 10 casi
Terziario
39,6%
41,2%
Primario e secondario
57,9%
Mai
49,5%
50,0%
% rispondenti
© OAI 2015
15
Attacchi 2014 per dimensione dell’azienda/ente
40,0%
% rispondenti
35,0%
30,0%
25,0%
Più di 10 casi
20,0%
Meno di 10 casi
15,0%
Mai
10,0%
5,0%
0,0%
< 10
10 - 100
101 - 250
251 - 1000 1001 - 5000
numero dipendenti
> 5000
© OAI 2015
16
Azioni dopo un attacco
(risposte multiple)
Intervento legali
Indagini da esterni
Rimpiazzo sistemi
Eliminati sistemi infrast. Vuln.
5,38%
9,23%
20,00%
30,77%
Corsi formazione
39,23%
Modifiche alle Policy e proc. organiz.
46,92%
Nuovi strumenti
48,46%
Patch sul software
52,31%
Indagini interne
53,85%
% rispondenti
© OAI 2015
17
Effettuazione analisi dei rischi ICT
11,6%
41,6%
22,0%
NO
SI
E' prevista nel prossimo futuro
Non lo so
24,9%
© OAI 2015
18
Richiesta conformità standard/best practice e certificazioni
da OAI 2015
•
Famiglia ISO 27000
interesse/attuato, con o senza certificazioni: 62,4%
– All’interno
– Dai Fornitori
interesse/attuato, con o senza certificazioni: 37,5%
•
ITIL e ISO 20000
– All’interno
interesse/attuato, con o senza certificazioni: 38,2%
interesse/attuato, con o senza certificazioni: 14,5%
– Dai Fornitori
•
COBIT
– All’interno
interesse/attuato, con o senza certificazioni: 26,3%
– Dai Fornitori
interesse/attuato, con o senza certificazioni: 5,1%
•
Certificazioni personali per la sicurezza ICT
– All’interno
interesse/attuato, con o senza certificazioni: 11,6%
– Dai Fornitori
interesse/attuato, con o senza certificazioni: 34,6%
© OAI 2015
19
Attacchi maggiormente temuti nel futuro
(risposte multiple)
Altro
1,8%
Frodi tramite software
13,8%
Modifiche non autorizzate programmi
14,2%
Accesso e uso non autorizzato sistemi ICT
17,9%
Attacchi sic. fisica
20,2%
TA e APT
20,6%
Acc.e modifiche non autorizzate dati
21,1%
Attacchi alle reti e ai DNS
22,0%
Sfruttamento vulnerabilità software
23,9%
Saturazione risorse ICT
23,9%
Ricatti
26,1%
35,3%
Furto di apparati informatici
39,0%
Codici maligni (malware)
Furto info da dispostivi mobili e fissi
40,4%
Social Engineering incluso Phishing
40,8%
% rispondenti
© OAI 2015
20
Possibili motivazioni per i futuri attacchi temuti
(risposte multiple)
Altro
Terrorismo
Azione Dimostrativa
Spionaggio
Hacktivism
Vandalismo
Ricatto o ritorsione
Sabotaggio
6,9%
8,7%
17,4%
17,9%
22,9%
26,6%
28,0%
28,4%
Frode informatica
47,7%
% rispondenti
© OAI 2015
21
Il campione dei rispondenti emerso
22
0,6%
Settore
primario
Sanità
3,8%
BancheAssicurazioni
5,1%
TurismoTrasportiLogistica
5,7%
PAC
Utility
8,2%
Istruzione
PAL
20,9%
ServiziCommercio
22,2%
Industria
TelecomMedia e
Servizi ICT
% rispondenti
Settore merceologico di appartenenza
20,9%
8,2%
3,8%
0,6%
© OAI 2015
23
Alta affidabilità del sistema informatico
(risposte multiple)
35,4%
Architettura alta affidabilità (>
99,9%)
50,0%
Piano Business Continuity per
ICT attivo
© OAI 2015
24
Uso della terziarizzazione
(risposte multiple)
Non si è terziarizzato
Gestione sicurezza ICT terziarizzata
Gestione e/o governance ICT terziarizzata
Hosting o housing totale
37,7%
7,8%
13,0%
13,6%
Hosting o housing parziale
47,4%
% rispondenti
© OAI 2015
25
Come proteggersi ?
26
La sicurezza globale ICT
Sicurezza fisica
Sicurezza
Globale
ICT
Sicurezza logica
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
27
Fonte: dal volume “Sicurezza Digitale” ed. 2007 di Marco Bozzetti
Le misure tecniche
•
Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione possono non
essere sufficienti per individuare e contrastare attacchi come TA e APT
– ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
•
Analisi e gestione dei rischi sistematiche
•
Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale, fuzzy
logic, statistica bayesiana, ecc.
– Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni), del loro
utilizzo ed analisi di eventuali anomale variazioni rispetto alla “normale” media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
•
Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
•
Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
•
Tecniche euristiche per “problem solving”
28
Le misure organizzative
•
•
•
•
Non sono burocrazia
Non sono solo per le grandi strutture
Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed
internazionali
Includono:
– Chiara e pubblica definizione di ruoli e competenze
• organigramma
• separazione dei ruoli (SoD, Separation of Duties)
matrici RACI
– Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
– Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
– Radiazione dei sistemi obsoleti
– Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
29
D. Lgs. 16 gennaio 2013, n. 13
certificazione delle competenze
Da professionista a Professionista Certificato
•
•
Art. 3 Sistema nazionale di certificazione delle competenze
Art. 17 Riordino della formazione professionale
•
UNI 11506: Attività professionali non regolamentate - Figure professionali
operanti nel settore Ict - Definizione dei requisiti di conoscenza, abilità e
competenze
e-CF
– In vigore da settembre 2013
EUCIP
3.0
UNI
11506
e-CFPlus
(AICA)
30
OAI 2016: prossimi passi …
• Si stanno già impostando tutte le iniziative del prossimo Rapporto
2016
• Chi fosse interessato a sponsorizzarlo è pregato di contattarmi:
– [email protected]
– [email protected]
31
Riferimenti
www.malaboadvisoring.it
www.sla-watch.com
www.riesko.com
www.aipsi.org
www.issa.org
32