CYBER Risk - Accapierre

CYBER Risk
Bimestrale di informazione e cultura su temi di Risk Management
UPSIDE RISK
Sommario
03
CYBER RISK: LA MINACCIA INTANGIBILE
L’era del cloud e delle piattaforme informatiche evolute crea
la necessità di aggiornare costantemente l’analisi di rischio
di attachi informatici.
L’argomento è prioritario nell’agenda del Top Management
di molte aziende...
04
IL
RAPPORTO
CLUSIT:
UNA
VALIDA
RAPPRESENTAZIONE DEL PERIMETRO DEL
RISCHIO
Il più autorevole e documentato studio sulla sicurezza
informatica in Italia, sintetizzato al fine di tracciare il perimetro
della problematica cyber risk
07
LA COLLABORAZIONE TRA IT MANAGER E RISK
MANAGER FAVORISCE IL MIGLIOR APPROCCIO
AL RISCHIO
L’intervista ad Alessandro De Felice, Presidente Anra,
propone il miglior gioco di squadra delle funzioni aziendali
per fronteggiare efficacemente il rischio
09
MINACCE
INFORMATICHE
ASSICURATIVE
E
RISPOSTE
Le compagnie assicurative si attrezzano per fornire soluzioni
indennitarie e risarcitorie per i sinistri connessi al cyber risk
12
Upside Risk
LE PICCOLE AZIENDE SOTTOVALUTANO IL
RISCHIO, NESSUN SISTEMA OPERATIVO È
IMMUNE
2
Una serrata intervista a Luigi Ghirardi che racconta le
principali vulnerabilità delle Pmi italiane e le false credenze di
molti manager sul tema
UPSIDE RISK
Giovanni Favero
si occupa di formazione e consulenza
nell’ambito del risk management.
Giornalista pubblicista da oltre vent’anni,
è il direttore responsabile di Upside Risk.
[email protected]
Numero 5
luglio_agosto 2016
Direttore Responsbile:
Giovanni Favero
[email protected]
Redattore:
Roberto Berva
[email protected]
Grafica:
Liliana Seghizzi
Si ringraziano per la collaborazione
e i dati forniti:
Alessandro De Felice - Anra
Clusit
Walter Villa - Aig Europe
Luigi Ghirardi
Editore:
Accapierre S.r.l.
viale Sarca 336f - 20126 Milano (MI)
t 02 39541279
www.accapierre.it
[email protected]
Registrazione al Tribunale di
Milano N. 273 del 23/9/2015
Cyber risk: la minaccia intangibile
L’argomento è recentissimo e molto discusso. Nelle scorse settimane,
come molti amministratori di azienda, ho ricevuto un report: “The
executive’s guide to managing Cyber Risk” redatto da UpGuard.com.
L’azienda americana specializzata nell’analisi e gestione dei rischi
informatici ha ben evidenziato come, a livello mondiale, le aziende
abbiano razionalizzato i profondi cambiamenti e i significativi costi che sta
comportando la trasformazione digitale.
Certamente le organizzazioni stanno fortemente beneficiando di grandi
innovazioni tecnologiche, come ad esempio il cloud, ovvero l’erogazione di
risorse informatiche come l’archiviazione, l’elaborazione o la trasmissione
di dati caratterizzato dalla disponibilità on demand attraverso internet,
tuttavia devono necessariamente comprendere e valutare le nuove
esposizioni di rischio che si delineano.
Infatti il rischio di attacco informatico incombe ed è paradossalmente reso
più probabile proprio dalle nuove tecnologie, i costi di blocchi d’attività
informatica sono all’ordine del giorno tanto quanto la minaccia, soprattutto
per le grandi corporation che trattano un grande flusso di dati sensibili,
di essere oggetto di class action per una non corretta protezione dei dati
propri, di clienti e di fornitori.
Mckinsey ha definito la capacità di prevenire e controllare i rischi informatici
come digital resilience. Parametro misurabile che diviene elemento di
valutazione delle realtà aziendali: infatti anche il marchio e la reputazione
delle aziende sono di conseguenza a rischio.
L’industria della sicurezza informatica è continuamente in guerra per
combattere una battaglia, spesso persa, contro i cyber attackers.
L’evoluzione per combattere le nuove minacce è continua ma gli hacker
sembrano essere sempre un passo avanti nel creare immediatamente
nuove vulnerabilità.
Nei consigli di amministrazione delle grandi corporation la materia è molto
spesso all’ordine del giorno poiché un eventuale attacco informatico, non
solo può mettere a repentaglio il risultato economico di una azienda, ma
anche generare responsabilità verso terzi, per omissione di controllo, a
carico di chi amministra l’azienda stessa.
L’analisi dei rischi e delle soluzioni assicurative connesse al tema cyber
è dunque l’oggetto della nostra attenzione editoriale anche grazie ai
contributi di ricerca del Clusit, alla panoramica della situazione italiana
illustrataci dal Presidente Anra e a contributi di autorevoli esperti di settore
che hanno collaborato al presente numero di UpsideRisk.
Buona Lettura
Giovanni Favero
Upside Risk
Bimestrale
di informazione e cultura
sul Risk Management
Editoriale
3
Il rapporto Clusit: una valida rappresentazione
del perimetro del rischio
Lettura sintetica dell’annuale report sulla sicurezza ICT in Italia e nel mondo
I
l Clusit nasce nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano ed è la più grande associazione
italiana nel campo della sicurezza informatica. Ad oggi rappresenta più di 500 organizzazioni facenti parte di tutti i settori del
paese, con lo scopo di diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i
cittadini. L’associazione redige annualmente il “Rapporto CLUSIT sulla sicurezza ICT in Italia”: ne ripercorriamo insieme gli spunti
principali soffermandoci sui dati maggiormente significativi.
Il Cybercrime è cresciuto in modo esponenziale negli ultimi anni conducendo a un dato davvero preoccupante: il numero
degli attacchi è cresciuto oltre il 150%. I fenomeni in campo sono contrastanti: da un lato, grazie alla collaborazione fra
pubblico e privato, l’Italia si è dotata di un “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”; dall’altro
l’insicurezza informatica a livello globale è aumentata, le tipologie di aggressori si sono moltiplicate e le perdite economiche
sono quadruplicate. Inoltre, con l’avvento delle tecnologie “facili”, la superficie di attacco si è espansa andando a toccare sia
la vita privata sia la vita lavorativa. Consapevoli dell’inevitabile esposizione a rischi sempre maggiori, l’impatto degli attacchi
informatici ricade sui gestori diretti, sui loro utenti e, per effetto domino, arriva all’intera collettività. In altri termini, i rischi cyber
sono in continuo aumento e sono a oggi gestiti in maniera inefficace risultando intollerabili.
Il database raccolto nel Rapporto Clusit è costituito da 4.653 casi di attacchi gravi negli ultimi 5 anni nel mondo, di cui
1.012 avvenuti nel 2015 (+14% rispetto al 2014). Va detto che tale campione presenta delle lacune: alcuni ambienti sono
sottorappresentati perché minimizzano la diffusione pubblica di informazioni relative agli attacchi che subiscono; oppure alcuni
tipi di danni si estendono per periodi lunghi ed emergono solo ad anni di distanza.
Upside Risk
Dal campione emerge che le due tipologie Distribuzione degli attaccanti per tipologia
di attacchi in aumento rispetto al 2014
2012 su 2013 su 2014 su 2015 su Trend
Attaccanti 2011 2012 2013 2014 2015 2011
riguardano la categoria Cybercrime, con un
2012
2013
2014
2015
tasso di crescita percentuale del +30,04%, e
Cybercrime 170 633 609 526 684 272,35% -3,79% -13,63% 30,04%
la categoria Espionage. Quest’ultima cresce
ancora di più presentandosi con un tasso
Hacktivism 114 368 451 236 209 222,81% 22,55% -47,67% -11,44%
di crescita percentuale del +39% rispetto
all’anno precedente.
Espionage
23
29
67
69
96
26,09% 131,03% 2,99%
39,13%
Information
I settori con maggiori attacchi sono:
14
43
25
42
23 207,14% -41,86% 68,00% -45,24%
Warfare
Critical Infrastructures, Automotive, Servizi
Online/Cloud (i quali presentano inoltre
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia - Aggiornamento al 31 Dicembre 2015
un trend crescente del +81% rispetto al
2014) e l’ampia categoria di siti d’informazione, testate on-line, piattaforme di gaming e di blogging facenti parte del gruppo
Entertainment – News (con un trend crescente del +79% rispetto al 2014). L’anno 2015 è caratterizzato dall’introduzione
della categoria “Ricettività” con diversi
Gov - Mil - LE - Intelligence
Tipologia e distribuzione delle vittime - 2015
attacchi ad alberghi, ristoranti e residence a
Online Service / Cloud
dimostrazione che non esistono più confini
Entertainment / News
e ogni settore è a rischio. La distribuzione
Research / Education
Banking / Finance
delle vittime per nazione di appartenenza
SW / HW Vendor
conferma le aspettative e la ripartizione degli
Others
anni precedenti: le Americhe si attestano al
Organization - ONG
Hospitability
primo posto con il 49%, a seguire si posiziona
Health
l’Europa attestandosi al 21%, seguono poi
Critical Infrastructures
l’Asia (18%), l’Oceania (3%) e l’Africa (2%).
Telco
La distribuzione percentuale delle tipologie
di tecniche di attacco mostra, limitandoci
al confronto tra 2014 e 2015, un aumento
4 della tecnica SQL Injection e APT (ovvero
GDO / Retail
Gov. Contractors / Consulting
Religion
Automotive
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
malware sofisticati) in combinazione con
Phishing e Social Engineering. Il malware
tradizionale rimane invece stabile. Il dato
più preoccupante è fornito dalle tecniche
Unknown, le quali rappresentano in termini
assoluti circa un quarto della distribuzione nel
2015. Eppure, dato che il campione è formato
dagli attacchi più gravi, compiuti contro
primarie organizzazioni pubbliche e private
di livello mondiale, ancora più allarmante è la
somma delle tecniche di attacco più banali
pari al 57%. Ciò dimostra che i difensori sono
ancora troppo indietro, mentre gli attaccanti
hanno completamente campo libero.
Distribuzione percentuale delle tecniche di attacco - 2011 / 2015
45%
40%
35%
30%
25%
20%
15%
10%
5%
0
2011
2012
2013
QLI
S
wn
kno
Un
oS
DD
ties
bili
ra
lne
Vu
ple
lti
Mu
PT
s/A
eat
Thr
o
C
unt
Acc
k
rac
ing
are
alw
M
shi
Phi
c.
So
ng/
.
Eng
O-
day
2014
2015
© Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia
I parametri di diffusione di questo fenomeno sono dettati da esigenze contingenti di business: la Cyber Security non è quasi mai
posta tra le priorità di progetto per ragioni culturali o economiche e perché non sussistono obblighi normativi in tal senso. L’Italia
è un chiaro esempio e per dare una corretta dimensione della situazione, si riporta un passaggio rilevante del Rapporto Clusit:
“Le risorse, le competenze e gli investimenti necessari non sono ancora disponibili in misura sufficiente: per dare un’idea,
pur fatte le debite proporzioni, il budget 2016 per il Cybersecurity National Action Plan (CNAP) recentemente sottoposto dal
Presidente Obama al Congresso USA è di 19 miliardi di dollari, cifra che non include le “cyber” spese militari e di intelligence.
Da noi invece non si è ancora raggiunto il necessario equilibrio tra investimenti, stimoli (agevolazioni fiscali o di altro tipo per
le organizzazioni virtuose) e oneri (sanzioni e conseguenze legali per quelle non virtuose). Tutta la questione in Italia galleggia
ancora in un limbo dal quale è essenziale che si esca al più presto, essendosi nel frattempo esaurito il tempo per le tattiche, il
lobbying sterile, le burocrazie e le manovre politiche.”
Finanza
Farmaceutica
Consumer
Servizi
Tecnologia
Comunicazione
Trasporti
Media
Retail
Costo medio
degli incidenti
Cyber per
azienda italiana
70% di aumento
in 3 anni
€ 1,39 M
€ 1,98 M
Industria
2012
2015
La Sicurezza IT in Italia vale 850 milioni di
euro e ha un tasso medio di crescita atteso
al 2018 attorno al 2%. Inoltre, il mercato
italiano non è in grado di manifestare livelli
di spesa significativi in tema di sicurezza
informatica bensì adeguatamente informato
circa l’aumento del 70% in 3 anni del costo
medio degli incidenti Cyber per l’azienda
italiana.
Turismo
Focalizzando l’attenzione sul mercato italiano,
in primo luogo è importante considerare
che il livello di allarme percepito dipende
Fonte: elaborazione HPE su dati Ponemon
dalla prospettiva industriale dal quale viene
osservato: distinguendo da una parte, i settori basati principalmente sulla trasformazione materiale di beni e servizi; e dall’altra,
i settori focalizzati sulla trasformazione di dati e info immateriali. Questi ultimi, proprio per l’elevato grado di digitalizzazione dei
processi produttivi, hanno una percezione molto più significativa dell’interruzione dell’operatività aziendale e la perdita di dati
rispetto alle aziende di trasformazione fisica. Le posizioni si invertono in merito ad altre tipologie di rischio, come la diffusione di
informazioni commerciali e finanziarie.
Settore pubblico
€
€ 1.000.000
€ 2.000.000 € 3.000.000
Costo medio annuo del cyber crime per industry (€M)
L’evoluzione del fenomeno del Cyber Risk (segnato in tempi più recenti anche dal sorgere del braccio “digitale” dello Stato
Islamico che lo ha utilizzato come mezzo di terrorismo) ha sicuramente aumentato l’attenzione sul tema, tanto da condurre alla
redazione di una futura Direttiva sulla Cybersecurity (2016), avviata già a partire dal 2014 dalla Commissione Europea. Tuttavia,
l’attenzione non si accompagna a un aumento rilevante delle capacità di difesa e, di conseguenza, il divario fra la gravità di
questi rischi e l’efficacia delle contromisure si fa sempre più grande. Pienamente consapevoli che il tempo a disposizione
per recuperare questo gap è ormai molto ridotto, un importante investimento in termini di tempo e di denaro è necessario,
formando le risorse umane che operano a diversi livelli con l’obbiettivo di mitigare i danni di questa cyber ondata.
Susanna Parravicini
[email protected]
Upside Risk
Tuttavia, va ricordato che l’asset da proteggere è sempre più vasto (dai device ai dati), sempre più liquido e sempre più di
frequente esterno all’azienda. Quindi la comprensione delle minacce e degli attacchi richiede nuove capacità che vanno al di
là dell’analisi degli eventi registrati in passato. Seguendo quest’ottica il rapporto Clusit 2016 fornisce tre elementi chiave su cui
ogni azienda dovrebbe basare la propria protezione: il contrasto a più livelli della minaccia attraverso la comprensione delle sue
modalità operative, la prevenzione attiva, grazie all’acquisizione di informazioni sui trend di attacco più probabili e l’adozione
di una mentalità, e conseguentemente di un’organizzazione, che consideri sempre presente l’eventuale violazione. Le fasi di
un’attività di difesa possono essere così sintetizzate: ricerca, infiltrazione, discovery, cattura e monitoraggio delle connessioni.
5
Glossario delle minacce informatiche
Di seguito sono riportate le definizioni di alcune delle minacce più comuni:
MALWARE
Abbreviazione di malicious software, indica un qualsiasi software usato per disturbare le operazioni svolte da un computer: rubare informazioni
sensibili, accedere a sistemi informatici privati, mostrare pubblicità indesiderata, distruggere e ottenere dati. All’interno di questa macrocategoria
troviamo: Virus, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Il malware si diffonde principalmente inserendosi
all’interno di file non malevoli.
PHISHING
È un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni
personali, dati finanziari o codici di accesso. La tecnica utilizzata è molto semplice: viene effettuato un invio massivo di messaggi di posta elettronica o in
alcuni casi di SMS, simili nell’aspetto e nel contenuto ai messaggi dei fornitori di servizi. Questi messaggi fraudolenti richiedono informazioni riservate:
il numero della carta di credito, le password per accedere a un determinato servizio.
PASSWORD ATTACK (ATTACCO A DIZIONARIO)
Si tratta del tentativo di ottenere la password di un utente per avere alcuni privilegi di accesso. Nella crittanalisi e nella sicurezza informatica, un attacco
a dizionario è una tecnica di attacco alla sicurezza di un sistema, o sottosistema informatico, mirato a “rompere” un codice cifrato o un meccanismo
di autenticazione, provando a decifrare il codice o a determinare la passphrase cercando tra un gran numero di possibilità. In pratica si tenta di
accedere a dati protetti da password (sia remoti, come ad esempio account su siti web o server di posta, database server, sia locali, come documenti
o archivi protetti da password) tramite una serie continuativa e sistematica di tentativi di inserimento della password, solitamente effettuati in modo
automatizzato, basandosi su uno o più dizionari.
DENIAL OF SERVICE
Tradotto in italiano con “negazione del servizio” e talvolta abbreviato in DoS, è una minaccia informatica il cui obiettivo primario è quello di interrompere
i servizi di rete o web di un’azienda, facendo esaurire le risorse informatiche di un sistema che fornisce un servizio ai client, fino a renderlo inutilizzabile.
Sono attacchi principalmente volti a danneggiare una società o la reputazione di un marchio.
MAN IN THE MIDDLE
Indica un tipo di attacco crittografico nel quale l’attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti comunicanti
tra di loro.
DRIVE-BY DOWNLOAD
È un termine utilizzato in due diverse accezioni: nella prima si tratta di un download automatico con conseguente installazione di un file malevolo che
avviene nel momento stesso in cui l’utente accede a un sito, senza alcune interazione dell’utente stesso, nella seconda il download viene autorizzato
dall’utente facendogli credere di scaricare un programma sicuro, o una applicazione, che si rivela essere un malware.
ROGUE
Anche noto come FraudTool, è una particolare categoria di malware che finge di essere un programma noto, o comunque non malevolo (ad esempio
un Antivirus), al fine di rubare dati confidenziali o di ricevere denaro. Questi malware hanno anche, al loro interno, funzionalità di adware.
ADVANCED PERSISTENT THREAT (APT)
Upside Risk
Questo tipo di minaccia consiste in attacchi coordinati e sofisticati che utilizzano svariati metodi di intrusione. L’APT è uno dei metodi più utilizzati dagli
aggressori informatici impegnati in attacchi a società molto grandi.
6
R.B.
Alessandro De Felice
Presidente Anra, associazione di riferimento
della comunità dei risk manager italiani.
Ricopre la carica di Chief Risk Officer di Prysmian S.p.A.,
il leader mondiale nell’industria dei cavi e
sistemi ad alta tecnologia per energia e
telecomunicazioni.
La collaborazione tra IT manager e
Risk manager favorisce il miglior approccio
al rischio
A
nche i risk manager italiani stanno da tempo valutando e
praticando le migliori modalità di approccio alla gestione
del rischio cyber: abbiamo incontrato Alessandro De
Felice, presidente di Anra, per un’analisi aggiornata della
tematica, cercando di osservare la situazione generale e
cogliere opportuni suggerimenti operativi applicabili nelle
realtà aziendali.
Come si classifica il cyber risk?
In termini metodologici, secondo le linee guida internazionali,
storicamente sono classificate 5 grandi famiglie di rischio:
rischi operativi, rischi finanziari, rischi strategici, rischi
organizzativi, rischi di pianificazione aziendale e di reporting.
Il cyber risk ha una caratteristica peculiare in quanto può
indifferentemente abbracciare ciascuna delle cinque famiglie
di rischio citate e considerarsi come una nuova tipologia di
macro-rischio determinata dall’evoluzione tecnologica.
Quale è l’attuale grado di percezione del rischio in Italia,
nel mondo aziendale privato e nel settore pubblico?
Chi si occupa di sicurezza informatica aziendale è stato
certamente il primo attore ad affrontare il cyber risk; tale
intervento ha determinato una positiva diffusione culturale
di approccio metodologico alla gestione integrata del
rischio, richiamando l’attenzione delle figure apicali delle
organizzazioni al tema. In effetti, a prescindere dai settori,
oggi la business continuity delle organizzazioni è fortemente
determinata e connessa ai sistemi informatici quindi la
vulnerabilità degli stessi è considerata da tutti una rilevante
minaccia. A livello associativo abbiamo notato anche un
positivo effetto culturale, rilevando l’avvicinamento ad Anra
da parte di figure professionali e aziendali che in tempi passati
non si sentivano coinvolte in materia di gestione del rischio
e in realtà lo sono diventate proprio attraverso l’attenzione ai
nuovi temi dei rischi informatici.
Ci sono differenze di attitudine tra settore privato e settore
pubblico?
A prescindere dalla natura privata o pubblica si può
certamente dire che oggi grandi organizzazioni che si
occupano di servizi: finanziari, bancari, previdenziali, oppure
di telecomunicazioni, siano altamente attrezzate e strutturate
per gestire le minacce dei cyber risk con una grande capacità
di mitigazione dei possibili effetti.
Il mondo industriale sta entrando nella tematica, avendola
considerata una priorità solo in tempi più recenti, la
principale attenzione è nei sistemi di controllo e reporting,
dove la minaccia informatica, sia essa dolosa o accidentale,
può provocare gravi conseguenze sulla correttezza della
rappresentazione dei dati a bilancio e dei cicli di fatturazione
attiva e passiva.
Ovviamente l’impatto varia a seconda della tipologia di settore
industriale a cui ci si riferisce. Genericamente si può affermare
che sia maggiore l’esposizione al rischio per quelle aziende
che offrono prodotti di largo consumo dove l’automazione
dei processi logistici e organizzativi sono fondamentali per il
business, rispetto ad aziende che operano nel mondo B2B.
Per quanto riguarda la piccola e media industria si
può osservare che rispetto a nuove aziende altamente
tecnologiche il cyber risk sia preventivamente affrontato
come un elemento di sicurezza della start up, mentre in
realtà più tradizionali il livello di attenzione è sicuramente
meno spiccato.
Infine, nel settore pubblico, riguardo ai temi della giustizia e
della sicurezza nazionale, ci riferiamo ad un rischio rispetto
al quale si sono attuati i massimi sistemi di protezione (in
costante aggiornamento) nei confronti di possibili attacchi o
incidenti informatici.
Qualche problema di protezione informatica dei dati sensibili si
è invece registrato nell’ambito della pubblica amministrazione
sanitaria e degli enti tributari: si ricordi il caso di qualche anno
fa quando vennero erroneamente pubblicate su internet le
dichiarazioni dei redditi dei cittadini. In tali casi la protezione
dei dati personali è l’aspetto su cui si deve prestare la più
rigorosa attività di prevenzione e controllo.
Infine si può affermare che il rischio delle professioni e dei
mestieri non si differenzia dal rischio individuale di qualunque
cittadino: mi riferisco all’utilizzo dei dispositivi elettronici,
Upside Risk
Intervista ad Alessandro De Felice, Presidente Anra, sul tema del cyber risk in Italia
7
l’archiviazione dei dati in cloud e l’utilizzo delle applicazioni,
in questo caso la minaccia più rilevante risulta il furto di
identità e il conseguente utilizzo fraudolento.
Esiste una modalità di approccio al tema suggeribile ad un
risk manager sviluppata e divulgata da Anra?
La modalità di approccio non differisce dal metodo generalista
di gestione, mitigazione, controllo e reportistica normalmente
applicabile alle varie tipologie di rischio. Ciò che caratterizza
il cyber risk è l’integrazione di questa esposizione in una
governance generale: ovvero un’attività interdisciplinare
che deve coinvolgere la funzione dell’IT manager, del risk
manager e del responsabile dell’audit con conseguente
riporto ai vertici aziendali e consiglio di amministrazione.
Quindi IT manager e risk manager devono sempre
collaborare?
Sintetizzando il risk owner è il responsabile dell’informatica, il
risk manager si deve interfacciare con questi, supportandolo
nell’approccio metodologico e in una corretta reportistica
di valutazione del rischio e dei costi necessari per mitigarlo.
Infine le decisioni diventano strategiche e spettano al top
management.
Risk management ma anche risk transfer: quanto sono
conosciute e utili le soluzioni assicurative mirate alla
tematica? Esistono scenari evolutivi auspicabili rispetto
all’offerta assicurativa attuale?
Il mercato assicurativo attualmente offre delle coperture che
sono l’evoluzione delle tradizionali coperture assicurative sui
rischi informatici nate negli anni novanta, le principali novità
riguardano uno spostamento dell’attenzione dall’hardware al
software e alle tematiche di ricostruzione dei dati e dei costi
di protezione degli stessi.
Oggi è possibile allargare la definizione di sinistro non solo al
danneggiamento delle macchine o alla perdita dei dati, ma
anche alle interruzioni di attività e ai costi da sostenere per
ripristinare, nel senso più ampio, una normalità operativa.
Anche le possibili responsabilità e i danni all’immagine che
possano derivare a una azienda a seguito del verificarsi di un
cyber risk trovano risposte assicurative.
La capacità finanziaria offerta dagli assicuratori è
adeguata?
Si deve prendere atto che le disponibilità attuali del mercato
assicurativo in termini di limiti di indennizzo o massimali
di responsabilità, sono marginali rispetto alle effettive
necessità dei maggiori rischi più strutturati e complessi,
che pertanto affrontano giustamente il tema considerandosi
in autoassicurazione. In effetti i massimi danni possibili si
riferirebbero a limiti d’indennizzo non sostenibili con un
trasferimento di rischio. Viceversa per il mondo della Pmi
l’assicurazione del rischio Cyber può risultare un supporto
utile.
Esistono scenari evolutivi auspicabili rispetto all’offerta
assicurativa attuale?
La mia personale impressione è che nell’immediato
futuro, rispetto alla tematica del cyber risk, sarà vincente
il modello di un assicuratore prevenzionista, ovvero un
soggetto che affiancandosi a una valutazione di enterprise
risk management sia poi disposto a fornire una copertura
assicurativa adattabile nel tempo e migliorabile in funzione
delle effettive attività e investimenti svolti dall’assicurato nella
protezione della sicurezza informatica.
Immagino la capacità di fornire, oltre al puro indennizzo,
un efficace intervento di recovery che produca un rapido
e apprezzabile risultato di normalizzazione a favore
dell’assicurato, una soluzione integrata basata su tecnologia,
analisi delle soluzioni tecniche e una capacità finanziaria
mirata a supportare tempestive forze d’intervento.
Roberto Berva
[email protected]
ANRA è l’associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali. L’associazione,
che conta oggi oltre 220 soci, opera attraverso la sede di Milano e vari corrispondenti regionali.
ANRA è il punto di riferimento in Italia per diffondere la cultura d’impresa attraverso la gestione del rischio e delle assicurazioni
in azienda. Si relaziona con le altre associazioni nazionali di risk manager in FERMA, a livello europeo, e in IFRIMA a livello
internazionale.
ANRA è costituita da Risk Officer, Risk Manager e Insurance Manager che operano quotidianamente nella professione e
che trovano vantaggio nello scambio continuo delle proprie esperienze e nella condivisione di progetti a beneficio dello
sviluppo del settore. Complessivamente le aziende pubbliche e private di cui fanno parte i soci rappresentano un fatturato
complessivo di oltre 600 miliardi (pari a circa il 39% del PIL).
Upside Risk
Nella piena convinzione che l’esperienza sia il miglior argomento per diffondere la cultura del risk management, ANRA
organizza incontri e corsi di formazione aperti a professionisti e aziende su tematiche inerenti al rischio aziendale, corsi di
formazione per nuove figure e scambi di esperienze con colleghi stranieri.
8
Lo sviluppo della professione negli ultimi anni e l’aumento della sensibilità sulle tematiche del rischio, trovano oggi sempre
maggiore interesse anche presso le piccole e medie imprese, che colgono il valore di saper analizzare il proprio business
sotto tutti i punti di vista per ridurre le criticità e rafforzare gli strumenti di analisi e controllo finalizzati alla crescita.
Nella sua attività di supporto a manager e imprese, ANRA si appoggia a molti partner, come enti universitari, società di
consulenza, compagnie assicurative, broker, società di servizio nell’ambito del rischio d’impresa: con le loro competenze
specifiche, tutti questi attori portano valore aggiunto ai membri dell’associazione e alle loro imprese.
Ufficio Stampa ANRA
Walter Villa
laureato in economia e commercio presso l’università di Bologna.
In oltre 15 anni nel settore assicurativo ha lavorato presso
brokers e compagnie di assicurazione multinazionali
È attualmente professional indemnity e cyber risk manager presso
AIG Europe Limited
[email protected]
Minacce informatiche e risposte
assicurative
L’esperienza di AIG Europe, grande compagnia internazionale, che fornisce soluzioni assicurative
per i Cyber Risk
Il rischio di rimanere indietro, senza tenere il passo dello
sviluppo tecnologico, di rimanere vittima delle nuove insidie
(furto d’identità, furto degli archivi elettronici di dati, furto di
idee, marchi, brand) è concreto e spesso sottovalutato nelle
conseguenze dal punto di vista reputazionale e patrimoniale.
Ogni giorno vengono portati a termine migliaia di attacchi
informatici attraverso le tecniche più svariate e termini come
malware, ransomware, trojianhorse, account cracking,
phishing, 0-dayvulnerability, Ddos attack, sono diventati parte
del vocabolario anche per i non esperti.
Il Center for Strategic and International Studies (Csis) per
conto di McAfee stima in circa 445 miliardi di dollari il costo
annuo dei crimini informatici. I costi di pulizia e ripristino solo in
Italia sono stimati in 8 miliardi e mezzo di dollari con un costo
medio di quasi quattro milioni di dollari per attacco.
Inoltre nell’agenda del legislatore nazionale ed europeo la
materia del trattamento e la gestione dei dati è di grande
attualità: lo scorso 4 Maggio il Parlamento Europeo ha
approvato un regolamento che rivede completamente la
norma in vigore, con obbligo di adeguamento entro 2 anni,
applicabile a tutti coloro che gestiscono dati personali di
Upside Risk
I
n un mondo che corre sempre più veloce sulle reti,
la condivisione di informazioni è diventata una parte
fondamentale delle esperienze. La digitalizzazione è già una
realtà e la frontiera, neppure tanto prossima, è l’Internet of
Things, ovvero l’acquisizione, l’elaborazione, la condivisione
delle informazioni provenienti dagli oggetti che ci circondano e
l’interazione in tempo reale con essi.
9
cittadini europei per uso pubblico e privato.
Il regolamento prevede nuovi principi di trasparenza e
riservatezza (maggior tutela dati persone fisiche, diritto oblio,
portabilità dati, ecc), obblighi di nominare un Responsabile
della Protezione dei Dati, introducendo il concetto di privacy
by default e di certificazione delle procedure di gestione dei
dati.
Una eventuale violazione dei dati deve essere comunicata entro
72 ore all’Autorità e senza ingiustificato ritardo, all’individuo,
si prevede infatti il diritto al risarcimento del danno materiale
e immateriale e sanzioni amministrative pecuniarie fino a 20
milioni di euro per gli individui e fino al 4% del fatturato globale
per le società che non rispettino la normativa.
In questo contesto il tema della sicurezza informatica è cruciale
per ogni azienda, che deve adottare un approccio a 360 gradi:
individuazione della propria esposizione al rischio, del livello di
sicurezza e delle criticità, implementazione delle misure idonee
al raggiungimento di un livello di sicurezza soddisfacente,
adozione di una filosofia di change management.
L’universo cyber è infatti in continua e rapida evoluzione, quindi
le misure di sicurezza diventano obsolete nel breve periodo,
creando vulnerabilità.
Il compito dell’assicuratore, in un contesto tanto complesso
e mutevole, è monitorare il cambiamento per essere pronto a
offrire soluzioni di trasferimento di rischio.
All’assicuratore non è richiesto di intervenire unicamente per
risarcire il danno, ma di agire proattivamente dai primi segnali
di criticità.
Il mercato assicurativo conta attualmente una decina di
compagnie attivamente impegnate nell’assicurazione dei
cyber risk.
di business che si prospettano all’orizzonte e del significativo
aumento della sensibilità al rischio da parte delle aziende.
È ragionevole pensare che le polizze cyber possano ricalcare
il trend di diffusione delle polizze D&O introdotte nella
seconda metà degli anni ’90. È inoltre facile ipotizzare che, a
differenza delle polizze D&O per alcuni anni pressoché esenti
da sinistri (per motivi diversi, minore cultura assicurativa,
primi wording di polizza particolarmente cautelativi, maggiore
difficoltà di comprensione del rischio), le coperture relative
a rischi informatici possano essere toccate da sinistri già
nell’immediato o nel breve periodo, sia in termini di frequenza,
sia in termini di severità.
Alcuni dati recenti indicano un aumento esponenziale dei
sinistri negli ultimi anni, soprattutto all’estero e in particolare
negli Stati Uniti. Vale la pena ricordare che, in diversi paesi Italia
inclusa, il numero di richieste di risarcimento appare modesto
a causa della diffusione ancora ridotta della copertura: in
realtà gli eventi potenzialmente coperti dalla polizza sono
all’ordine del giorno, pertanto la frequenza dei sinistri andrà
ragionevolmente di pari passo con la diffusione della polizza.
Dal punto di vista dell’offerta assicurativa si possono individuare
essenzialmente due tipologie di copertura: la prima soluzione,
che definiremmo la “tipica” polizza cyber, è la copertura della
data liability, ovvero della responsabilità verso terzi per perdita
di dati personali o societari, cui si aggiungono garanzie dirette/
indennitarie che includono i danni da interruzione d’esercizio
dell’assicurato a seguito di attacco al sistema informatico o
difetto dello stesso, i costi per l’utilizzo di esperti informatici e
legali, per servizi forensi, le spese per la notifica della violazione
o perdita dei dati ai soggetti interessati, i costi per il ripristino
dei dati.
In alcuni casi, infine, può essere prevista una garanzia di
tipo “crime”, a includere i danni sofferti dall’assicurato in
conseguenza di un atto doloso di un dipendente o di un terzo.
Nuovi players sono entrati nel settore e probabilmente altri
faranno il loro ingresso, in virtù delle interessanti opportunità
Costi di risposta
A questo proposito vale la pena segnalare che, in tema di
cyber, una delle preoccupazioni principali dell’azienda sono
le conseguenze di un
Costi tipicamente connessi a Business Interruption
attacco interno o esterno
Canoni di affitto
che si concretizzi nel
furto di dati, informazioni
Canoni leasing
riservate,
diritti
di
Stipendi dei dipendenti
proprietà
intellettuale,
Costi per straordinari dei dipendenti
più in generale dei
Spese di manodopera legate al ricorso a personale aggiuntivo
patrimoni
intangibili
Impiego di metodi di lavorazione o di produzione alternativi
dell’azienda.
Spese per Pubbliche Relazioni
Extracosti per lavorazioni/elaborazioni presso Terzi
Costi tipicamente compresi e rimborsati
Costi per Consulenza
Consulenza di crisi
Consulenza per Pubbliche Relazioni
Consulente di Reazione
Costi di Difesa
Costi (spese) per ripristino (dei dati)
Servizi di pronto intervento informatico
Spese di Gestione della Crisi
Costi di disinstallazione e reinstallazione dei beni assicurati
Spese per il ricorso a società di servizio esterne
Spese per il reperimento rapido di materiali
Upside Risk
Spese di guardiania e conservazione dei beni assicurati
10
Spese di Ripristino del Sistema Informatico della Società allo
stesso livello di funzionalità che esisteva prima di tale Evento di
Interruzione dell’Attività;
e/o per Ripristinare tecnicamente, recuperare o reinstallare dati
o programmi informatici, compreso il costo di acquisto di una
licenza software necessaria per riprodurre tali Dati o Programmi
Informatici.
Esiste poi una soluzione
alternativa la cui ossatura
è data dalla cosiddetta
“polizza
elettronica”,
quindi una copertura
di
tipo
indennitario
che viene estesa, con
modalità diverse, fino a
ricomprendere in tutto
o in parte le garanzie
tipiche della polizza
cyber.
Si tratta di un prodotto
con
una
struttura
differente dalla prima, ma entrambe le alternative sono in
grado di rispondere adeguatamente alle esigenze dei clienti
quando adeguatamente predisposte.
L’offerta del mercato tende ad articolarsi su due principali
soluzioni: la prima è la gestione del rischio informatico,
offrendo una copertura completa per tutti i rischi legati alla
gestione e conservazione di dati, che possa essere estesa
ai propri fornitori di servizi e che includa la gestione della
crisi da un punto di vista tecnico, legale e reputazionale, la
responsabilità verso terzi, il danno patrimoniale subito in caso
di interruzione del funzionamento dei sistemi informatici o in
caso di estorsione, la responsabilità per i contenuti pubblicati
sul sito istituzionale; la seconda, dedicata alla grande industria
con esigenze particolari, può essere data da coperture “a
ombrello”, in grado di colmare le lacune nelle polizze Property
e Liability, fornendo una copertura in eccesso per lesioni
personali, danni alla proprietà, e perdite finanziarie causate da
un evento cyber.
Spesso si sottovaluta questo fenomeno, ritenendolo piuttosto
lontano. In conclusione sono riportate alcune comuni
considerazioni che possono esporre gli utenti a potenziali
rischi:
Per quanto aggiornato e adeguato nessun sistema informatico è completamente sicuro,
Sono protetto, il mio sistema
la tecnologia è in continua evoluzione e i soggetti che commettono crimini informatici sono
informatico è sicuro
spesso un passo avanti.
La mia azienda opera nel
settore manifatturiero, non tratta
informazioni riservate, non ha
rischio
Qualunque azienda di qualunque dimensione è sottoposta al rischio cyber, a solo titolo
di esempio anche i processi produttivi sono governati da sistemi informatici, un attacco
potrebbe interrompere la produzione con gravi conseguenze in termini di perdita di profitto;
altri effetti negativi possono essere determinati da un attacco al sistema con conseguente
richiesta di riscatto (si tratta di una fattispecie sempre più frequente, che colpisce spesso
le piccole aziende) e blocco delle attività.
Chissà quanto costa la polizza
Il premio è determinato sulla base di numerosi parametri, per attività considerate a rischio
basso o moderato i premi possono essere di poche migliaia di euro. I costi sono comunque
modesti rispetto alle conseguenze di un attacco cyber.
Il rischio cyber è coperto da altre Nessuna copertura di responsabilità civile offre garanzie così complete. Altre polizze, ad
polizze di responsabilità civile esempio contro l’infedeltà, possono prevedere garanzie parziali con limiti di indennizzo
(RC professionale, RC generale) non adeguati.
Spesso le aziende di piccole dimensioni possono avere poche risorse da dedicare alla
Sono una piccola azienda, non
sicurezza informatica, sono più facilmente attaccabili, molte organizzazioni criminali
ho motivo di preoccuparmi
prediligono “bersagli facili”.
Questa considerazione è per taluni aspetti condivisibile, il rischio in capo a una grande
azienda di telecomunicazioni, a un’istituzione finanziaria, a un’importante struttura sanitaria,
Il mercato assicurativo non offre
solo per citare alcuni settori, può essere di fatto incalcolabile.Occorre tuttavia evidenziare
adeguata capacità
che coinvolgendo più assicuratori su più layers non è un’utopia raggiungere e superare
abbondantemente massimali di 100 milioni di euro.
La polizza non serve, non siamo Le disposizioni di legge in tema di trattamento di dati e informazioni non sono l’unico
assoggettati a normative simili a elemento da considerare. La nuova legislazione comunitaria prevede inoltre regole molto
quelle vigenti negli Stati Uniti
più stringenti e severe di quelle attuali.
Walter Villa
ATTACCO ALL’ESTONIA
Gli attacchi hanno avuto come obiettivo il governo estone, le banche e i siti del settore privato: hanno colpito infatti
il sito del primo ministro, del parlamento, di molti ministri e dei partiti politici. I membri del parlamento dell’Estonia
sono rimasti quattro giorni senza scambiarsi mail, utilizzando come unico mezzo per le comunicazioni ufficiali la
radio.
A causa di questo attacco le operazioni finanziarie sono state gravemente compromesse, gli sportelli bancomat
resi inutilizzabili, la più grande banca estone costretta a chiudere le sue operazioni internet.
RB
Upside Risk
L’Estonia è uno dei paesi con la più alta connettività a banda larga d’Europa. Nel 2007 il 98% delle transazioni
bancarie sono avvenute elettronicamente e circa l’82% per cento delle dichiarazioni fiscali estoni sono state
presentate in via informatica. Una significativa parte della popolazione estone è di origine russa e nel 2007, lo
spostamento di una statua di un soldato sovietico che commemora la fine della seconda guerra mondiale, ha
portato a disordini civili e reclami da parte del governo russo, compresi alcuni attacchi elettronici.
11
Luigi Ghirardi
Laureato in ingegneria elettronica, si occupa di informatica sin dagli
esordi in un’azienda multinazionale per poi maturare
esperienze significative nel mondo dei carrier VOIP.
Dal 2010 opera come consulente freelance seguendo alcune piccole
aziende e collaborando su progetti di tipo Enterprise.
[email protected]
Le piccole aziende sottovalutano il rischio,
nessun sistema operativo è immune
Intervista a Luigi Ghirardi, ingegnere elettronico e consulente freelance, che visita quotidianamente
aziende di ogni tipologia e settore
N
el contesto delle piccole aziende esiste un approccio
alla gestione del rischio?
Le piccole aziende lavorano con budget ridotti e la
protezione è molto bassa, di conseguenza sono facilmente
attaccabili. Tendenzialmente le piccole aziende si affidano
ad antivirus gratuiti e non sempre alle versioni commerciali,
e molto raramente avviene una vera e propria gestione
del rischio. Anche la cultura del backup non è ancora
particolarmente diffusa in questi ambienti: per le aziende
più piccole un progetto di gestione del rischio informatico
spesso è fuori portata e non è ritenuto molto importante,
almeno fino al verificarsi del primo problema.
Quali sono i principali consigli per la conservazione dei
dati?
Il backup è uno strumento fondamentale, soprattutto se si
possiedono dati ingenti che raggruppano molti anni di attività
e che possono essere perduti a seguito di vari malware, come
ad esempio: CryptoLocker (malware che cripta i dati della
vittima, richiedendo un pagamento per la decriptazione). Il
consiglio è: avere un doppio backup, tenere i due backup in
luoghi diversi, aggiornarli con costanza e provarne il ripristino
per capire se sono funzionanti, verificando che i file non siano
corrotti per qualche motivo.
12
Eventi di intrusione
Upside Risk
15000
Nel caso di un attacco che mira a un riscatto cosa è
opportuno fare?
Consiglio sempre di spegnere il pc e di lasciarlo spento.
Successivamente effettuare un’immagine del disco rigido in
maniera da mantenere una prova di quello che è successo
e lavorare esclusivamente sull’immagine. Così facendo si
blocca la progressione del malware, ed è possibile tentare
di recuperare i dati dal disco immagine collegato a un altro
pc non infetto.
Pagare un riscatto non è legale (e fiscalmente è difficile da
giustificare), spesso non è una buona idea: prima di tutto si
contribuisce a una rete criminale, inoltre non si è mai sicuri
che a fronte del pagamento i dati verranno ripristinati. Infine
le autorità bloccano i sistemi di pagamento in tempi molto
brevi e di conseguenza il pagamento diventa un’opzione non
più utilizzabile.
Per quale motivo i dispositivi mobili sono meno sicuri?
Telefonia mobile e tablet sono molto più attaccabili, alcuni
attacchi infatti iniziano dai dispositivi mobile che vengono
usati come vettori per poi infettare i computer. Possiamo
considerare anche il cloud un veicolo potenziale di attacco
molto forte. Smartphone e pad hanno un problema inerente
alla progettazione, dato che il browser, o comunque in
generale il software, non ha vincoli per accedere
all’hardware mentre su un PC sono presenti
comunque vincoli a quello che può fare un
software.
10000
5000
0
Mag-15
Giu-15
Lug-15
Ago-15
Set-15
Ott-15
Fonte: Rapporto Clusit / Cisco
Antivirus free e a pagamento, quali sono i
vantaggi e gli svantaggi?
L’antivirus free offre funzionalità e protezione
molto limitate, consideriamo che neppure un
antivirus a pagamento, per quanto vi siano
persone che ci lavorano e che lo aggiornano
con costanza certosina (si parla di poche ore),
esclude la possibilità di essere infettati. Il numero
di malware è in costante aumento ed è impossibile
I sistemi operativi Mac e Linux sono più sicuri?
Non credo utile classificare i sistemi operativi come più o meno
sicuri, dato che è possibile “prendere il controllo” di qualsiasi
sistema indipendentemente dal sistema operativo stesso.
Anzi il falso senso di sicurezza di un utente Mac o Linux che
ritiene di essere al sicuro, costituisce un grosso fattore di
rischio: credo che ben pochi utenti Mac o Linux abbiano un
antivirus installato o sappiano cosa fare in caso di problemi.
In realtà il vero motivo della loro “invulnerabilità” dipende dal
fatto che la quantità di sistemi Mac o Linux rispetto a quelli
Windows li rende meno appetibili per attacchi “di massa”.
Ovviamente il discorso cambia in caso di attacchi “mirati”,
ma in quel caso le problematiche da affrontare sono altre.
Comunque ribadisco che non esiste un sistema operativo
perfetto, non esiste un software sicuro al cento per cento,
un certo rischio va accettato e mitigato ponendo molta
attenzione ai comportamenti che si tengono, alla navigazione
in rete e all’utilizzo dei dispositivi informatici.
Che cos’è un HoneyPot e a cosa serve?
È un sistema che dovrebbero usare tutte le grandi aziende:
si tratta di un sistema che sembra esporre vulnerabilità note,
ma in realtà è progettato in maniera tale da comunicare
quando viene attaccato e registrare cosa fa l’attaccante.
Sono sistemi costruiti per essere attaccati e devono apparire
come una parte facilmente vulnerabile della rete. In questo
modo è possibile “osservare” gli attacchi, a volte anche in
tempo reale. È a tutti gli effetti l’equivalente di un’esca. Solo
un team di specialisti è in grado di utilizzare l’HoneyPot.
Insieme all’utilizzo di questo tipo di sistemi è utile segmentare
il più possibile tutte le risorse, evitando di concentrare gli
accessi da un’unica rete. L’idea guida dovrebbe essere di
cercare di ridurre la superficie di attacco e di fare in modo
che una breccia di sicurezza non comprometta la sicurezza
di tutti i sistemi. Ad esempio una buona prassi è dedicare
postazioni fisicamente sicure e su di una rete non collegata a
internet per gestire i server.
Il riconoscimento dell’impronta è un sistema sicuro?
All’apparenza la biometrica può sembrare un sistema
interessante e molto sicuro, tuttavia non è così. Nel momento
in cui viene rubata la scansione dell’impronta digitale
personale è impossibile cambiarla. Ricordiamoci invece che
una password può sempre essere cambiata, ed è buona
norma cambiarla con una certa frequenza. Anche nel caso di
un furto della password una volta cambiata essa impedisce
l’ingresso.
È meglio una password complessa o una password più
memorizzabile ma cambiata con una certa frequenza?
Ritengo le password troppo complesse le meno sicure:
più la password è complessa meno l’utente la ricorda e
se l’utente non la ricorda la scriverà da qualche parte e se
la scrive è inutile. La cosa migliore da fare è scegliere una
password con una buona complessità ma memorizzabile
e sostituirla spesso. Per i servizi l’autenticazione in due fasi
(ad esempio utilizzando una chiavetta che genera un pin) è
un ottima barriera. Considero su di un livello leggermente
inferiore l’autenticazione a due fasi che utilizza una app sullo
smartphone, dato che il dispositivo può essere compromesso
con relativa facilità, soprattutto in caso di un attacco mirato.
Come si sta evolvendo il rapporto privacy rete?
Purtroppo il fattore privacy è qualcosa che tende a essere
sempre più labile. Nel momento in cui si può essere testimoni
di ciò che collezionano i motori di ricerca, piuttosto che tutti
i servizi pubblicitari di advertising, ci si rende conto della
debolezza del concetto di privacy nella rete.
Una curiosità: i siti che violano maggiormente la privacy sono
i siti di news.
Roberto Berva
[email protected]
Upside Risk
controllare in tempo reale un database di milioni di
virus: oltre alla classica ricerca per “firme” gli antivirus
a pagamento utilizzano tecniche molto sofisticate per
individuare software potenzialmente dannoso, tecniche
che includono anche l’utilizzo del cloud per diffondere
il riconoscimento di nuove minacce. Ovviamente gli
antivirus a pagamento offrono una protezione molto
maggiore a fronte di un costo che copre non solo lo
sviluppo tecnologico ma soprattutto il costante controllo
e aggiornamento dell’antivirus stesso. Ricordiamoci
che anche una grande azienda produttrice di antivirus
ha subito un attacco molto pesante. È molto difficile
difendersi da un attacco mirato anche per le grosse
aziende che lavorano all’interno di questo settore, un
esempio eclatante è il caso di Hacking Team (n.d.r. caso
descritto nell’articolo “Alcuni attacchi rappresentativi del
2015”).
13
Alcuni attacchi rappresentativi del 2015
Di seguito, per comprenderne la variabilità, sono riportati alcuni attacchi avvenuti nel 2015. Come noteremo gli attacchi sono
molto diversi tra di loro e hanno varie finalità: il furto di dati, la “rapina” informatica alle banche, il furto di software molto
sofisticati, il ricatto mediante l’acquisizione di dati, l’alterazione del funzionamento di alcune strutture. Anche i metodi utilizzati
cambiano a seconda dell’attacco e delle vulnerabilità dei sistemi: custom malware, SQL injection, APT, phishing…
Vittima
Attaccante
Tecniche usate
Anthem
Cyber Espionage (Deep Panda)?
APT, Custom Malware
Questo attacco, avvenuto ad una primaria compagnia di assicurazione sanitaria, è iniziato ad aprile 2014 ed è stato scoperto solo a gennaio 2015. Ha
provocato il furto di circa 80 milioni di record contenenti i dati personali dei clienti e degli impiegati: nomi, date di nascita, indirizzi email, dati sul reddito.
La stima dei danni è ancora in corso e molto alta, sia in termini di immagine che di risarcimento agli utenti.
Vittima
Attaccante
Tecniche usate
Ashley Madison
Impact Team (per vendetta?)
Vulnerabilities / SQL Injection
Un gruppo sconosciuto di hacker denominato “Impact Team” è riuscito a compromettere da remoto il database dei 37 milioni di utenti di Ashley
Madison, servizio web di incontri, minacciando la casa madre Avid Life Media di pubblicarlo nel caso in cui il sito non fosse stato messo offline.
L’azienda ha rifiutato e l’intero database è stato reso pubblico, causando disagi a milioni di persone. Il gruppo ha continuato pubblicando numerose
email e documenti riservati di Avid Life Media causando le dimissioni dell’amministratore delegato. Anche in questo caso la stima dei danni è altissima.
Vittima
Attaccante
Tecniche usate
Oltre 100 Istituti bancari
Cyber Crime organizzato
Phishing / Custom Malware
Si tratta della più grande cyber-rapina del 2015, compiuta ai danni di oltre 100 istituti bancari appartenenti a più di 30 paesi del mondo, Italia inclusa.
Dalla fine del 2013 i responsabili dell’attacco si sono infiltrati, utilizzando tecniche di phisihing, in diverse organizzazioni finanziarie, infettandole con
custom malware. Attraverso questo metodo, è stato possibile studiare con attenzione le procedure e i flussi interni delle banche colpite, riuscendo a
sottrarre ingenti quantità di denaro tramite operazioni apparentemente lecite e autorizzate. Pur essendo stata scoperta nel 2015, questa operazione
risulta ancora il corso, questa volta mirata non solo alle banche ma a società finanziarie, trading online, catene alberghiere e casinò.
Vittima
Attaccante
Tecniche usate
Hacking Team
Ignoto (insider ?)
Sconosciute
L’azienda italiana Hacking Team, specializzata nella produzione di software dedicato all’infiltrazione di device digitali (Pc e mobile) con finalità
investigative e di intelligence, è stata colpita da ignoti, che hanno copiato e pubblicato online una impressionante quantità di informazioni sensibili (oltre
400 Gigabyte). Sono state rese pubbliche milioni di email, codici sorgenti, segreti industriali e informazioni delicate e riservate dei clienti dell’azienda.
Vittima
Attaccante
Tecniche usate
VTech – smart toys e gadgets30
Hacker “etico” ?
SQL Injection
Upside Risk
Le informazioni personali di circa 5 milioni di genitori e oltre 200.000 ragazzi sono state rubate a seguito della compromissione di un sito web della
società VTech, azienda cinese da 2 miliardi di dollari di fatturato che vende giocattoli e gadget connessi ad Internet (tablet per ragazzi, baby monitor
per neonati, tastiere musicali, ecc). Nel database del sito sono state reperite migliaia di fotografie dei bambini, scattate tramite i giocattoli, complete
di nome, cognome, indirizzo, data di nascita ecc. Fortunatamente l’hacker che ha scoperto la vulnerabilità non ha rivenduto i dati nell’underground
né li ha diffusi integralmente. L’azienda non si è accorta della compromissione finché i giornali non hanno pubblicato la notizia, informati dall’hacker.
14
Vittima
Attaccante
Tecniche usate
VUkraine Power Grid / Kiev Airport
Information Warfare
APT / Custom Malware
A dicembre un attacco realizzato tramite malware (BlackEnergy ed altri) ha consentito agli attaccanti di alterare il funzionamento di alcune sottostazioni
della rete elettrica ucraina, con il risultato di provocare un blackout che ha interessato circa 80.000 utenze. È il primo caso noto al mondo di blackout provocato intenzionalmente con mezzi cyber. L’attacco è stato coordinato con grande precisione, e gli aggressori si sono addirittura premurati di
rallentare le attività di ripristino fornendo dati falsi ai manutentori tramite le interfacce delle sottostazioni, e/o cancellando le configurazioni dei sistemi.
Attacchi simili sono stati portati anche verso l’aeroporto di Kiev Boryspil, causando il blocco di alcuni sistemi IT per un intero week-end.
Fonte: rapporto Clusit 2016
R.B.
Accapierre è una società di consulenza strategica, nata nel 2009, che opera in quattro aree di attività:
• L’analisi e la gestione dei rischi puri per aziende e istituzioni
• La formazione manageriale in tema di rischio
• Le soluzioni di rischio come strumento di marketing e in particolare di marketing associativo
• Nel settore del real estate con un innovativo “risk management tool” a supporto degli investimenti.
Per ognuna di queste attività disponiamo di Senior Consultant, professionisti indipendenti di grande esperienza.
Ciò consente di dedicarci ai clienti garantendo un’elevata qualità della prestazione e soprattutto la massima dedizione e
attenzone in ogni fase del progetto
I nostri principali clienti sono aziende e istituzioni, tra cui fondi di sanità integrativa.
Ci proponiamo, quindi, come un soggetto professionale proattivo, indipendente, con un’operatività snella e di particolare
efficacia.
Upside Risk
www.accapierre.it
4
CYBER Risk