prepararsi all`impatto nazioni, tensioni e Cyber war siCurezza e norm

A N N O 3 N U M E R O 1 //
AGOSTO / SETTEMBRE 2015
SOLUZIONI E STRATEGIE PER LA SICUREZZA INFORMATICA
Cybercrime,
fenomeno
multidimensionale
Cyber resilience:
prepararsi
all’impatto
Nazioni, tensioni
e cyber war
Sicurezza e
normative: tendenze
in atto
A N N O 3 N U M E R O 1 //
AGOSTO / SETTEMBRE 2015
SOLUZIONI E STRATEGIE PER LA SICUREZZA INFORMATICA
Editoriale
ANNO 3 NUMERO 1 //
AGOSTO / SETTEMBRE 2015
Bimestrale di sicurezza informatica
Registrazione tribunale di Bologna
numero 8280 del 5/12/2012
ROC n. 9559
Direttore responsabile
Rossella Lucangelo
Caporedattore
Enrico Salsi
Redazione
Chiara Soverini
Coordinamento redazionale
Daniela Fioramonti
Ha collaborato a questo numero:
Gabriele Faggioli
Progettazione grafica
e impaginazione
Tecnostudi srl
Immagini: Shutterstock
e archivio G Data
L
a sensazione di svuotare il mare con un cucchiaio è sempre
più forte quando si parla di gestione della sicurezza
informatica. Crescono esponenzialmente gli attacchi,
mutano gli obiettivi, le tecniche, le alleanze nel mondo del
cyber-crime. Ancora più complicato poi trovare un sistema di
norme che possano regolare un fenomeno mutante che assume
sembianze totalmente nuove con una rapidità elevatissima.
È sempre più evidente che la prevenzione e il contrasto al
fenomeno della criminalità digitale sia da giocarsi ad un livello
internazionale vista la globalità che ormai caratterizza questo
tipo di minaccia.
Cercare un quadro normativo organico a livello nazionale, che
assuma gli indirizzi strategici che si determinano in ambito
extra-nazionale ed extra-continentale, è l’unica strada che
deve essere intrapresa con la consapevolezza che si tratta di un
percorso costantemente in costruzione e ridefinizione.
L’Italia, pur essendo tremendamente al palo su molte questioni
che riguardano l’ICT, ha almeno evidenziato una consapevolezza
della centralità del problema.
Nell’ambito del Quadro Strategico Nazionale (QSN), nel
dicembre 2013 è stato presentato il “Piano Nazionale per la
protezione cibernetica e la sicurezza informatica” che mira a
sviluppare, per il biennio 2014- 2015, alcuni indirizzi strategici
che accanto al potenziamento delle capacità di intelligence,
all’ottimizzazione del coordinamento tra soggetti pubblici e
privati e all’implementazione di un sistema di risk management
nazionale, pongono grande rilevanza proprio su un intenso
coordinamento a livello extra Paese e su opportuni interventi
legislativi e la compliance con la normativa internazionale.
Rossella Lucangelo
SECURITY
SECURITY
market
Dall’interessante lettura del Rapporto Clusit
2015 se ne esce con un misto di sgomento e
disorientamento.
Le analisi sul passato e i trend tratteggiati per il
futuro ci raccontano di uno scenario infinitamente
più pericoloso, oscuro e complicato di quello che
esisteva solo fino a pochi anni fa.
Non solo crescono i volumi degli attacchi ma,
ancora più preoccupante, iniziano a diventare armi
prevalenti non solo della criminalità economica,
sempre più esperta e internazionalizzata, ma
anche del terrorismo globale.
A un incremento delle risorse di contrasto investiti
nel 2014 (+8%) ha corrisposto un aumento del
numero e della gravità degli attacchi. Nove miliardi
stimati la perdita in Italia lo scorso anno dovuta al
cyber-crime.
Esistono studi internazionali che dichiarano che il
90% delle aziende verificate ha subito un attacco
e, in alcuni settori (Legal, Healthcare e Pharma,
Retail) il tasso di compromissione sale addirittura
al 100%.
Il terreno di confronto tra “attaccanti” e
difensori” si sono moltiplicati. È come se la
difesa di una squadra di calcio dovesse giocare
contemporaneamente in più stadi e impedire agli
avversari di fare goal. Impossibile. Se cerco di
difendere il perimetro del mio sistema informativo
map
aziendale, mi si apre il fronte dei social network,
già oggi utilizzati (ma lo saranno sempre di più)
come uno dei principali veicoli per la diffusione
del malware. Se metto delle policy stringenti
(non senza problemi) ai dipendenti dell’azienda
sull’utilizzo dei canali social, devo poi guardare al
tema della mobilità. Tablet e smartphone, device
oggi essenziali per il business, sono sempre più al
centro dell’attenzione dei criminali informatici. E
via di questo passo, passando per l’e-commerce,
il cloud e l’Internet of Things (IoT), fenomeni
che non possono essere tralasciati se si intende
operare in un contesto economico in modo
competitivo.
Che gli strumenti tecnici di contrasto e, a
maggior ragione, i vari legislatori, facciano
tremenda fatica a rincorrere questi fenomeni è
assolutamente lapalissiano. Ciò non toglie che il
contrasto sia un dovere di tutti, dalle istituzioni
internazionali e nazionali, alle aziende fino ad
arrivare al singolo utente.
Prevenzione, protezione ma anche un cambio
sostanziale di paradigma che dovrà essere
adottato perché il problema non è più se saremo
soggetti ad attacchi informatici, ma quando
questo avverrà.
E.S.
La conclamata impossibilità di eliminare
totalmente il rischio implica, come accennato
in Security Market, l’adozione di un nuovo
paradigma che sposta il focus sulla gestione
del rischio stesso. Arriviamo quindi al
concetto di Cyber Resilience che si confronta
direttamente con la definizione di ciò che per
ciascuna organizzazione può essere un livello di
vulnerabilità accettabile.
Tra gli hot topic evidenziati nel rapporto Clusit
per il 2015 vi è proprio questo punto: “La parola
d’ordine del 2015 è “prepararsi all’impatto”,
adottando logiche di Cyber Resilience, ciascun
soggetto in base alle proprie esigenze e
capacità ma nell’ambito di una regia istituzionale
forte, innanzi tutto applicando l’antica massima
“conosci te stesso” (e quindi le proprie
vulnerabilità e criticità), e poi predisponendo
un modello di rischio accurato, costantemente
aggiornato, stimando le perdite potenziali
tramite lo studio di un certo numero di scenari
realistici per determinare correttamente gli
investimenti necessari”.
uno sforzo dal punto organizzativo, di
policy e di coordinamento e gestione delle
risorse. Governance, risk management, cyber
intelligence, cyber security e crisis management
devono convergere in una gestione unitaria
che richiede necessariamente l’apporto di
professionalità multidisciplinari di alto livello.
Certamente questo è l’orizzonte che abbiamo
di fronte visto la crescente gravità degli impatti
legati al cyber-crime.
Che questa sia la strada che si sta prospettando
è sottolineato anche dalle iniziative che, in
verità da qualche tempo, stanno adottando le
istituzioni.
Già dal 2009, per esempio, l’Unione Europea
sta elaborando il progetto dell’ENISA “European
Public-Private Partnership for Resilience”.
Il percorso è dunque tracciato. Prima si
acquisiranno consapevolezza, predisponendo
risorse e strumenti, meglio si riuscirà a creare un
forte movimento pubblico-privato di contrasto
alla guerra digitale che stiamo già vivendo.
E.S.
Certamente non è facile per le imprese, in
particolare quelle medio-piccole, adottare un
approccio di Cyber Resilience che richiede
G
N
I
K
BREA
NEWS
COVER ory
st
Per comprendere l’estrema difficoltà che i diversi
Legislatori hanno nello sviluppare norme efficaci
a contrasto della criminalità informatica, basta
considerare gli scenari sempre più complessi ed
allargati legati alla cosiddetta cyber-war.
Ad armamenti, corsa allo spazio, intelligence, si è
aggiunta una sorta di guerra digitale, strisciante
e silenziosa, che vede molteplici soggetti, anche di
natura istituzionale, utilizzare tecniche di hacking
e cyber-spionaggio per conseguire vantaggi
strategici, siano essi di natura politica o economica.
Non solo dunque gruppi legati all’estremismo e al
terrorismo, ma interi stati sono costantemente attivi
nell’intervenire, anche in modo illegale, sui patrimoni
di dati e i flussi di informazioni sensibili non solo di
stati palesemente “nemici” ma anche di paesi alleati:
i casi Wikileaks e Datagate sono i casi più eclatanti in
questa direzione.
È evidente che di fronte a questo scenario
internazionale le singole legislazioni nazionali
possano fare ben poco per definire i contesti
giuridici e, ancor meno, per attribuire responsabilità
precise considerando che il confronto si sposta
sempre più spesso nell’ambito delle delicate
relazioni internazionali. I casi sono molteplici. Tra i
Paesi maggiormente impegnati a sviluppare questa
battaglia a colpi di codici malevoli vi sono gli Stati
Uniti e la Cina, ciascuna fortemente impegnata
nella corsa alla nuova frontiera della supremazia
digitale. Uno dei casi più recenti che ha visto
coinvolte queste due super-potenze mondiali
è stata l’accusa mossa dagli Stati Uniti verso
il gruppo di hacker conosciuto con il nome
Putter Panda, presumibilmente controllato
dall’esercito di Pechino. Questi hacker
avrebbero condotto attacchi informatici contro
le agenzie della difesa e l’industria satellitare
e aerospaziale degli Stati Uniti, del Giappone
e dell’Europa. Certo nessuno sta a guardare.
Stati Uniti versus Iran è stato un altro caso
famoso in cui l’apparizione del worm Stuxnet,
capace potenzialmente di mandare in tilt le
centrali nucleari bloccando il raffreddamento
dei reattori, è stata attribuita alle attività
dell’intelligence americana. Ma il tutti contro
tutti pare realmente la condizione di questi
ultimi anni. In un contesto che richiama il
caos, la consapevolezza che il lavoro dei
Legislatori a livello internazionale e locale
sia solo all’inizio non è mai stata così alta.
E.S.
G DATA: un nuovo programma
per valorizzare la
partnership con il canale
G DATA BENEFITS AND SERVICES
Questo è il nome del nuovo programma di canale
che l’azienda tedesca dedica ai propri rivenditori
e che prevede l’erogazione di supporto e
consulenza mirati per ognuno dei livelli di
partnership commerciale previsti. Oltre ad un
listino dedicato, il livello BASIC (G DATA Security
Partner) comprende le prestazioni sinora offerte
ai partner che propongono le soluzioni G DATA
presso la clientela aziendale: l’assistenza tecnica
viene prestata attraverso i distributori certificati,
i partner beneficiano di licenze NFR, di corsi
di certificazione, promozioni dedicate e lead
protection. A questa categoria si aggiungono i
livelli SILVER, GOLD e SPECIALIST.
I rivenditori che optano per questi nuovi livelli di
partnership godono di servizi aggiuntivi, interlocutori tecnici diretti presso il vendor a supporto
dei servizi di assistenza tecnica già erogati dai
distributori a valore (third level support), informazioni proattive riguardanti minacce “in the wild”,
priorità nell’invio di campioni di malware e, in caso
di necessità, di interventi programmati on site. I
partner SPECIALIST possono contare inoltre su
formule commerciali, servizi consulenziali e attività di marketing specifiche per il mercato verticale
in cui operano. Infine, i rivenditori che convogliano sul marchio G DATA il business realizzato sia in
ambito consumer sia presso la clientela aziendale,
beneficiano di interessanti incentivi.
SPECIAL
guest
LA SICUREZZA INFORMATICA
E GLI OBBLIGHI NORMATIVI:
LE LINEE DI TENDENZA
Gli ultimi anni sono stati estremamente rilevanti
sotto il profilo dell’evoluzione normativa in materia
di sicurezza informatica se si analizza il tema
normativo in quanto diverse sono state le novità
che si sono succedute nel tempo e non tutte sono
andate nella medesima direzione.
Ed infatti, a fronte di alcuni interventi normativi
mirati a aumentare gli obblighi di sicurezza
all’interno delle imprese e della pubblica
amministrazione italiana, si è assistito ad alcune
scelte che hanno portato invece a una diminuzione
degli obblighi e quindi, potenzialmente, a una
riduzione dell’attenzione sul problema degli
attacchi informatici interni e esterni.
Nel Rapporto Clusit 2015 si legge ”Come
interpretare il fatto che in Italia i danni complessivi
derivanti da attacchi informatici (stimati in 9
miliardi di euro, inclusi i costi di ripristino3) siano
ormai pari alla somma delle perdite dovute a
crash dell’hardware, del software ed alla perdita
di alimentazione elettrica?” ed ancora “In uno
studio condotto nel corso del 2014 sono state
monitorate su scala globale 1.600 aziende
appartenenti a 20 diversi settori merceologici,
osservando che nel periodo conside¬rato, in media,
la percentuale di organizzazioni compromesse
è stata superiore al 90%, con alcuni particolari
settori (Legal, Healthcare e Pharma, Retail) che
hanno avuto un tasso di compromissione del
100%” a testimonianza del fatto che l’attenzione
Gabriele Faggioli
Legale, Partners4innovations, Adjunct Professor
MIP-Politecnico di Milano, Presidente CLUSIT
(Associazione Italiana per la Sicurezza Informatica)
sui rischi informatici, indipendentemente dagli
obblighi normativi, deve sempre essere altissima.
Fatte queste premesse vediamo allora quali sono
le linee di tendenza del legislatore e dell’Autorità
Garante per la protezione dei dati personali che è
possibile cercare di individuare in tale evoluzione
normativa.
In prima battuta è sempre possibile intravedere la
scelta di passare da una normativa tendenzialmente
identica per tutti i settori di mercato alla
introduzione di provvedimenti settoriali mirati a
imporre maggiori oneri e adempimenti in tema
di sicurezza informatica per quelle categorie di
operatori economici che sono più esposti a rischi
e rispetto ai quali una violazione della sicurezza
potrebbe maggiormente impattare sul cittadino.
Nella direzione della semplificazione sono andati
per esempio i provvedimenti che hanno portato
alla abrogazione del cosiddetto Decreto Pisanu,
alla eliminazione dal perimetro di tutela della
normativa in materia di trattamento dei dati
personali dei dati inerenti le persone giuridiche,
enti, associazioni, alla scelta di eliminare del tutto
e per tutti l’obbligo di stendere annualmente
il documento programmatico sulla sicurezza e,
infine, l’individuazione per legge dei trattamenti
con finalità amministrativa-contabile che hanno
di fatto portato alla limitazione del perimetro
di applicazione del Provvedimento del Garante
per la protezione dei dati personali in materia di
amministratori di sistema del 27 novembre 2008
oggi confinato, nel suo ambito di obbligatorietà, a
un perimetro estremamente ridotto.
Di contro, i provvedimenti emanati ad hoc
per specifici settori di mercato sono stati
estremamente rilevanti e se ne citano qui solo due
di maggior rilievo:
- Provvedimento del Garante per la protezione
dei dati personali in materia di tracciamento
degli accessi ai dati bancari (Provvedimento nç
192/2011)
-Decreto legislativo n° 69/2012 che ha
introdotto per le società di telecomunicazione
l’obbligo della segnalazione dei data breach.
In particolare, il Provvedimento del Garante 2011
ha imposto che le Banche, oltre alle misure minime
di sicurezza, già prescritte dal Codice nel caso
di trattamento di dati personali effettuato con
strumenti elettronici, debbano implementare
misure idonee che permettano un efficace e
dettagliato controllo anche in ordine ai trattamenti
condotti sui singoli elementi di informazione
presenti nei diversi database utilizzati. Tali soluzioni
devono comprendere la registrazione dettagliata,
in un apposito log, delle informazioni riferite alle
operazioni bancarie effettuate sui dati bancari,
quando consistono o derivano dall’uso interattivo
dei sistemi operato dagli incaricati, sempre che non
si tratti di consultazioni di dati in forma aggregata
non riconducibili al singolo cliente.
Tali file di log devono tracciare, per ogni
operazione di accesso ai dati bancari effettuata
da un incaricato, almeno le seguenti informazioni:
il codice identificativo del soggetto incaricato che
ha posto in essere l’operazione di accesso, la data
e l’ora di esecuzione, il codice della postazione di
lavoro utilizzata, il codice del cliente interessato
dall’operazione di accesso ai dati bancari da parte
dell’incaricato, la tipologia di rapporto contrattuale
del cliente a cui si riferisce l’operazione effettuata
(es. numero del conto corrente, fido/mutuo,
deposito titoli).
Trattasi in tutta evidenza di un obbligo
estremamente oneroso che le Banche sono
state costrette a implementare essendo oggi il
Provvedimento a regime dal primo ottobre 2014.
Nel settore delle società di telecomunicazione,
invece, è stato introdotto con il d.lgs 69/2012
il concetto di “violazione dei dati personali” che
si sostanzia nella violazione della sicurezza che
comporta anche accidentalmente la distruzione, la
perdita, la modifica, la rivelazione non autorizzata o
l’accesso ai dati personali trasmessi, memorizzati o
comunque elaborati nel contesto della fornitura di
un servizio di comunicazione accessibile al pubblico.
È stato prescritto quindi che il fornitore di un servizio
di comunicazione elettronica accessibile al pubblico
debba adottare misure tecniche e organizzative
adeguate al rischio esistente, per salvaguardare la
sicurezza dei suoi servizi e debba anche informare
i contraenti e, ove possibile, gli utenti, se sussiste
un particolare rischio di violazione della sicurezza
della rete, indicando, quando il rischio è al di fuori
dell’ambito di applicazione delle misure che il
fornitore stesso è tenuto ad adottare. Inoltre,
in caso di violazione di dati personali, il fornitore
comunica senza indebiti ritardi detta violazione
al Garante e quando la violazione di dati personali
rischia di arrecare pregiudizio ai dati personali o alla
riservatezza del contraente o di altra persona, il
fornitore debba comunicare anche agli stessi senza
ritardo l’avvenuta violazione.
In parallelo a tali previsioni l’Autorità Garante ha
emesso una serie di altri provvedimenti e prescrizioni che, sempre in alcuni settori o casistiche specifiche, hanno previsto l’obbligo di raccolta di log
(si pensi ad alcune specifiche prescrizioni dettate
a seguito di istanza preliminari nel settore del fashion e luxury) o l’invito (non sanzionato in quanto
norma di moral suasion) a segnalare le violazioni di
dati personali (ad esempio nel settore bancario).
L’attuale panorama normativo che, come detto
sopra, sta mutando a seguito di tali scelte del legislatore e della Autorità Garante, subirà probabilmente nel corso dell’anno 2016 uno stravolgimento in quanto, presumibilmente, verrà adottato
il Regolamento UE sostitutivo della Direttiva n°
45/96 dalla quale promana anche la legislazione
italiana in materia di privacy e sicurezza dei dati
personali. Se così sarà, il tema della sicurezza aumenterà di rilevanza in maniera esponenziale in
quanto le previsioni ivi contenute sono particolarmente stringenti e prevedono, tra l’altro, l’adozione di una politica della sicurezza con obbligo
quindi per aziende e pubbliche amministrazioni di
prestare altissima attenzione al problema.
channel
TECH
solutions
l
e
n
n
a
h
2c
Partner di G Data, Arcadia Tecnologie S.r.l. è una
società operante nel settore dell’ICT che conta
tre divisioni - System integrator, Software House
e Realizzazione siti web ed e-commerce – e i cui
fondatori hanno esperienza decennale nell’ambito
delle soluzioni informatiche.
Oggi parliamo con Francesco Vendola, Sales &
Marketing Manager, per parlare della normativa in
ambito ICT.
L’evoluzione della normativa impatta
sulla sensibilizzazione dei vostri clienti
ad adottare corrette soluzioni di sicurezza
informatica e qual è la vostra proposta/
offerta in questa direzione?
Un mondo online! Ecco quale sarà la nuova
frontiera delle aziende italiane ed europee.
L’evoluzione delle soluzioni di security hanno
portato le società a ricercare non solo soluzioni
che siano efficaci nell’intercettare le anomalie del
web: trojan, spyware, virus, ma a ricercare una vera
e propria partnership con i fornitori di soluzioni.
Oggi il 70% del business tra le aziende oramai
si svolge attraverso l’utilizzo della rete. Arcadia
Tecnologie S.r.l. ha compreso da tempo questa
realtà e ha cercato sul mercato europeo soluzioni
atte a garantire la sicurezza dello scambio di
informazioni su internet: G DATA è stata la scelta
vincente per il mercato delle aziende. Gli standard
europei-tedeschi di queste soluzioni garantiscono
ai clienti di Arcadia Tecnologie una sicurezza
impareggiabile, collegata ad una affidabilità della
piattaforma senza precedenti.
Le soluzioni Internet Security e Total Protection
coprono tutte le esigenze specifiche di una azienda
moderna, commisurate al numero di operatori e al
numero di informazioni che transitano sulle linee
internet.
Lo stretto rapporto fra i rivenditori iscritti al
canale e il supporto tecnico di 2° livello erogato da
G DATA permette ai clienti finali di avere un vero
e proprio pool di specialisti che non solo installano
e configurano le soluzioni, ma diventano un vero e
proprio supporto consulenziale per le tematiche di
sicurezza e privacy. G DATA e Arcadia Tecnologie
S.r.l., sono la prova che la partnership tra produttore
e rivenditore è la soluzione migliore per la gestione
delle tematiche di security aziendali.
C.S.
G Data
Patch Management
Una rete aziendale può essere protetta facilmente da Virus, Trojan e Worm grazie a soluzioni come G Data Antivirus, G Data ClientSecuruty
e G Data EndpointProtection, ma un pericolo
che spesso viene sottovalutato dai responsabili
IT è quello proveniente dalle falle dei software
installati sui terminali.
Per prevenire questi problemi G Data ha creato
G Data PatchManagement.
In media in un computer aziendale sono istallate più di settanta applicazioni estranee al sistema operativo e per mantenerle aggiornate
occorrerebbe un costante update dei software.
Un lavoro importante che deve ricadere sul dipartimento IT e che risulta spesso complesso a
causa della quantità e della frequenza dei patch
forniti dalle aziende produttrici.
Il modulo infatti permette di controllare e valutare i sistemi Microsoft e attraverso una scansione individua le falle del sistema visualizzabili
nella consolle di comando. G Data PatchManagement procede quindi a consultare la più grande
banca dati mondiale di patch e aggiornamenti,
che contiene 15.000 patch testate e a scaricare gli aggiornamenti necessari in modo sicuro,
installandoli velocemente e procedendo seguendo l’ordine di urgenza.
Un modo facile e sicuro, totalmente integrabile con le soluzioni corporate fornite da G Data,
PatchManagement procede in modo mirato a
controllare eventuali problemi di sottrazione
dati dalla rete aziendale che possono manifestarsi nel caso in cui le falle dei software vengano sfruttate dai cyber criminali.
C.S.
G Data PatchManagement è un modulo complementare che si integra senza alcun problema
con G Data Administrator centralizzato e ReportManager e che consente di aumentare la sicurezza della rete aziendale in modo efficiente.
G DATA PATCH MANAGEMENT
è disponibile al sito:
https://www.gdata.it/patchmanagement
Il business rende mobili i tuoi clienti.
Mantieni il controllo!
Per maggiori informazioni: www.gdata.it
Con „Bring Your Own Device“ i tuoi clienti ti lanciano nuove sfide. Gli smartphone e i tablet dei loro
impiegati rendono più complessa la gestione della rete. Come fornitore di servizi e soluzioni per
la sicurezza, puoi mantenere il controllo! Mobile Device Management è integrato in tutte le nostre
soluzioni di protezione G Data Business. Questo modulo ti permette di assegnare dei diritti d‘uso
specifici ai dispositivi mobili. Puoi localizzarli in seguito a smarrimento ed eliminare con un semplice clic i dati riservati che contengono.
Proteggi i tuoi clienti dai rischi associati alla mobilità, così potranno concentrarsi esclusivamente
sul loro business. I loro dati saranno al sicuro. Ovunque.
Contattaci per email all‘indirizzo [email protected]
Par telefono al numero 051 64 15 813
G Data. Security Made in Germany.