CYBER Risk - Accapierre
Transcript
CYBER Risk - Accapierre
CYBER Risk Bimestrale di informazione e cultura su temi di Risk Management UPSIDE RISK Sommario 03 CYBER RISK: LA MINACCIA INTANGIBILE L’era del cloud e delle piattaforme informatiche evolute crea la necessità di aggiornare costantemente l’analisi di rischio di attachi informatici. L’argomento è prioritario nell’agenda del Top Management di molte aziende... 04 IL RAPPORTO CLUSIT: UNA VALIDA RAPPRESENTAZIONE DEL PERIMETRO DEL RISCHIO Il più autorevole e documentato studio sulla sicurezza informatica in Italia, sintetizzato al fine di tracciare il perimetro della problematica cyber risk 07 LA COLLABORAZIONE TRA IT MANAGER E RISK MANAGER FAVORISCE IL MIGLIOR APPROCCIO AL RISCHIO L’intervista ad Alessandro De Felice, Presidente Anra, propone il miglior gioco di squadra delle funzioni aziendali per fronteggiare efficacemente il rischio 09 MINACCE INFORMATICHE ASSICURATIVE E RISPOSTE Le compagnie assicurative si attrezzano per fornire soluzioni indennitarie e risarcitorie per i sinistri connessi al cyber risk 12 Upside Risk LE PICCOLE AZIENDE SOTTOVALUTANO IL RISCHIO, NESSUN SISTEMA OPERATIVO È IMMUNE 2 Una serrata intervista a Luigi Ghirardi che racconta le principali vulnerabilità delle Pmi italiane e le false credenze di molti manager sul tema UPSIDE RISK Giovanni Favero si occupa di formazione e consulenza nell’ambito del risk management. Giornalista pubblicista da oltre vent’anni, è il direttore responsabile di Upside Risk. [email protected] Numero 5 luglio_agosto 2016 Direttore Responsbile: Giovanni Favero [email protected] Redattore: Roberto Berva [email protected] Grafica: Liliana Seghizzi Si ringraziano per la collaborazione e i dati forniti: Alessandro De Felice - Anra Clusit Walter Villa - Aig Europe Luigi Ghirardi Editore: Accapierre S.r.l. viale Sarca 336f - 20126 Milano (MI) t 02 39541279 www.accapierre.it [email protected] Registrazione al Tribunale di Milano N. 273 del 23/9/2015 Cyber risk: la minaccia intangibile L’argomento è recentissimo e molto discusso. Nelle scorse settimane, come molti amministratori di azienda, ho ricevuto un report: “The executive’s guide to managing Cyber Risk” redatto da UpGuard.com. L’azienda americana specializzata nell’analisi e gestione dei rischi informatici ha ben evidenziato come, a livello mondiale, le aziende abbiano razionalizzato i profondi cambiamenti e i significativi costi che sta comportando la trasformazione digitale. Certamente le organizzazioni stanno fortemente beneficiando di grandi innovazioni tecnologiche, come ad esempio il cloud, ovvero l’erogazione di risorse informatiche come l’archiviazione, l’elaborazione o la trasmissione di dati caratterizzato dalla disponibilità on demand attraverso internet, tuttavia devono necessariamente comprendere e valutare le nuove esposizioni di rischio che si delineano. Infatti il rischio di attacco informatico incombe ed è paradossalmente reso più probabile proprio dalle nuove tecnologie, i costi di blocchi d’attività informatica sono all’ordine del giorno tanto quanto la minaccia, soprattutto per le grandi corporation che trattano un grande flusso di dati sensibili, di essere oggetto di class action per una non corretta protezione dei dati propri, di clienti e di fornitori. Mckinsey ha definito la capacità di prevenire e controllare i rischi informatici come digital resilience. Parametro misurabile che diviene elemento di valutazione delle realtà aziendali: infatti anche il marchio e la reputazione delle aziende sono di conseguenza a rischio. L’industria della sicurezza informatica è continuamente in guerra per combattere una battaglia, spesso persa, contro i cyber attackers. L’evoluzione per combattere le nuove minacce è continua ma gli hacker sembrano essere sempre un passo avanti nel creare immediatamente nuove vulnerabilità. Nei consigli di amministrazione delle grandi corporation la materia è molto spesso all’ordine del giorno poiché un eventuale attacco informatico, non solo può mettere a repentaglio il risultato economico di una azienda, ma anche generare responsabilità verso terzi, per omissione di controllo, a carico di chi amministra l’azienda stessa. L’analisi dei rischi e delle soluzioni assicurative connesse al tema cyber è dunque l’oggetto della nostra attenzione editoriale anche grazie ai contributi di ricerca del Clusit, alla panoramica della situazione italiana illustrataci dal Presidente Anra e a contributi di autorevoli esperti di settore che hanno collaborato al presente numero di UpsideRisk. Buona Lettura Giovanni Favero Upside Risk Bimestrale di informazione e cultura sul Risk Management Editoriale 3 Il rapporto Clusit: una valida rappresentazione del perimetro del rischio Lettura sintetica dell’annuale report sulla sicurezza ICT in Italia e nel mondo I l Clusit nasce nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano ed è la più grande associazione italiana nel campo della sicurezza informatica. Ad oggi rappresenta più di 500 organizzazioni facenti parte di tutti i settori del paese, con lo scopo di diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. L’associazione redige annualmente il “Rapporto CLUSIT sulla sicurezza ICT in Italia”: ne ripercorriamo insieme gli spunti principali soffermandoci sui dati maggiormente significativi. Il Cybercrime è cresciuto in modo esponenziale negli ultimi anni conducendo a un dato davvero preoccupante: il numero degli attacchi è cresciuto oltre il 150%. I fenomeni in campo sono contrastanti: da un lato, grazie alla collaborazione fra pubblico e privato, l’Italia si è dotata di un “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”; dall’altro l’insicurezza informatica a livello globale è aumentata, le tipologie di aggressori si sono moltiplicate e le perdite economiche sono quadruplicate. Inoltre, con l’avvento delle tecnologie “facili”, la superficie di attacco si è espansa andando a toccare sia la vita privata sia la vita lavorativa. Consapevoli dell’inevitabile esposizione a rischi sempre maggiori, l’impatto degli attacchi informatici ricade sui gestori diretti, sui loro utenti e, per effetto domino, arriva all’intera collettività. In altri termini, i rischi cyber sono in continuo aumento e sono a oggi gestiti in maniera inefficace risultando intollerabili. Il database raccolto nel Rapporto Clusit è costituito da 4.653 casi di attacchi gravi negli ultimi 5 anni nel mondo, di cui 1.012 avvenuti nel 2015 (+14% rispetto al 2014). Va detto che tale campione presenta delle lacune: alcuni ambienti sono sottorappresentati perché minimizzano la diffusione pubblica di informazioni relative agli attacchi che subiscono; oppure alcuni tipi di danni si estendono per periodi lunghi ed emergono solo ad anni di distanza. Upside Risk Dal campione emerge che le due tipologie Distribuzione degli attaccanti per tipologia di attacchi in aumento rispetto al 2014 2012 su 2013 su 2014 su 2015 su Trend Attaccanti 2011 2012 2013 2014 2015 2011 riguardano la categoria Cybercrime, con un 2012 2013 2014 2015 tasso di crescita percentuale del +30,04%, e Cybercrime 170 633 609 526 684 272,35% -3,79% -13,63% 30,04% la categoria Espionage. Quest’ultima cresce ancora di più presentandosi con un tasso Hacktivism 114 368 451 236 209 222,81% 22,55% -47,67% -11,44% di crescita percentuale del +39% rispetto all’anno precedente. Espionage 23 29 67 69 96 26,09% 131,03% 2,99% 39,13% Information I settori con maggiori attacchi sono: 14 43 25 42 23 207,14% -41,86% 68,00% -45,24% Warfare Critical Infrastructures, Automotive, Servizi Online/Cloud (i quali presentano inoltre © Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia - Aggiornamento al 31 Dicembre 2015 un trend crescente del +81% rispetto al 2014) e l’ampia categoria di siti d’informazione, testate on-line, piattaforme di gaming e di blogging facenti parte del gruppo Entertainment – News (con un trend crescente del +79% rispetto al 2014). L’anno 2015 è caratterizzato dall’introduzione della categoria “Ricettività” con diversi Gov - Mil - LE - Intelligence Tipologia e distribuzione delle vittime - 2015 attacchi ad alberghi, ristoranti e residence a Online Service / Cloud dimostrazione che non esistono più confini Entertainment / News e ogni settore è a rischio. La distribuzione Research / Education Banking / Finance delle vittime per nazione di appartenenza SW / HW Vendor conferma le aspettative e la ripartizione degli Others anni precedenti: le Americhe si attestano al Organization - ONG Hospitability primo posto con il 49%, a seguire si posiziona Health l’Europa attestandosi al 21%, seguono poi Critical Infrastructures l’Asia (18%), l’Oceania (3%) e l’Africa (2%). Telco La distribuzione percentuale delle tipologie di tecniche di attacco mostra, limitandoci al confronto tra 2014 e 2015, un aumento 4 della tecnica SQL Injection e APT (ovvero GDO / Retail Gov. Contractors / Consulting Religion Automotive © Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia malware sofisticati) in combinazione con Phishing e Social Engineering. Il malware tradizionale rimane invece stabile. Il dato più preoccupante è fornito dalle tecniche Unknown, le quali rappresentano in termini assoluti circa un quarto della distribuzione nel 2015. Eppure, dato che il campione è formato dagli attacchi più gravi, compiuti contro primarie organizzazioni pubbliche e private di livello mondiale, ancora più allarmante è la somma delle tecniche di attacco più banali pari al 57%. Ciò dimostra che i difensori sono ancora troppo indietro, mentre gli attaccanti hanno completamente campo libero. Distribuzione percentuale delle tecniche di attacco - 2011 / 2015 45% 40% 35% 30% 25% 20% 15% 10% 5% 0 2011 2012 2013 QLI S wn kno Un oS DD ties bili ra lne Vu ple lti Mu PT s/A eat Thr o C unt Acc k rac ing are alw M shi Phi c. So ng/ . Eng O- day 2014 2015 © Clusit - Rapporto 2016 sulla Sicurezza ICT in Italia I parametri di diffusione di questo fenomeno sono dettati da esigenze contingenti di business: la Cyber Security non è quasi mai posta tra le priorità di progetto per ragioni culturali o economiche e perché non sussistono obblighi normativi in tal senso. L’Italia è un chiaro esempio e per dare una corretta dimensione della situazione, si riporta un passaggio rilevante del Rapporto Clusit: “Le risorse, le competenze e gli investimenti necessari non sono ancora disponibili in misura sufficiente: per dare un’idea, pur fatte le debite proporzioni, il budget 2016 per il Cybersecurity National Action Plan (CNAP) recentemente sottoposto dal Presidente Obama al Congresso USA è di 19 miliardi di dollari, cifra che non include le “cyber” spese militari e di intelligence. Da noi invece non si è ancora raggiunto il necessario equilibrio tra investimenti, stimoli (agevolazioni fiscali o di altro tipo per le organizzazioni virtuose) e oneri (sanzioni e conseguenze legali per quelle non virtuose). Tutta la questione in Italia galleggia ancora in un limbo dal quale è essenziale che si esca al più presto, essendosi nel frattempo esaurito il tempo per le tattiche, il lobbying sterile, le burocrazie e le manovre politiche.” Finanza Farmaceutica Consumer Servizi Tecnologia Comunicazione Trasporti Media Retail Costo medio degli incidenti Cyber per azienda italiana 70% di aumento in 3 anni € 1,39 M € 1,98 M Industria 2012 2015 La Sicurezza IT in Italia vale 850 milioni di euro e ha un tasso medio di crescita atteso al 2018 attorno al 2%. Inoltre, il mercato italiano non è in grado di manifestare livelli di spesa significativi in tema di sicurezza informatica bensì adeguatamente informato circa l’aumento del 70% in 3 anni del costo medio degli incidenti Cyber per l’azienda italiana. Turismo Focalizzando l’attenzione sul mercato italiano, in primo luogo è importante considerare che il livello di allarme percepito dipende Fonte: elaborazione HPE su dati Ponemon dalla prospettiva industriale dal quale viene osservato: distinguendo da una parte, i settori basati principalmente sulla trasformazione materiale di beni e servizi; e dall’altra, i settori focalizzati sulla trasformazione di dati e info immateriali. Questi ultimi, proprio per l’elevato grado di digitalizzazione dei processi produttivi, hanno una percezione molto più significativa dell’interruzione dell’operatività aziendale e la perdita di dati rispetto alle aziende di trasformazione fisica. Le posizioni si invertono in merito ad altre tipologie di rischio, come la diffusione di informazioni commerciali e finanziarie. Settore pubblico € € 1.000.000 € 2.000.000 € 3.000.000 Costo medio annuo del cyber crime per industry (€M) L’evoluzione del fenomeno del Cyber Risk (segnato in tempi più recenti anche dal sorgere del braccio “digitale” dello Stato Islamico che lo ha utilizzato come mezzo di terrorismo) ha sicuramente aumentato l’attenzione sul tema, tanto da condurre alla redazione di una futura Direttiva sulla Cybersecurity (2016), avviata già a partire dal 2014 dalla Commissione Europea. Tuttavia, l’attenzione non si accompagna a un aumento rilevante delle capacità di difesa e, di conseguenza, il divario fra la gravità di questi rischi e l’efficacia delle contromisure si fa sempre più grande. Pienamente consapevoli che il tempo a disposizione per recuperare questo gap è ormai molto ridotto, un importante investimento in termini di tempo e di denaro è necessario, formando le risorse umane che operano a diversi livelli con l’obbiettivo di mitigare i danni di questa cyber ondata. Susanna Parravicini [email protected] Upside Risk Tuttavia, va ricordato che l’asset da proteggere è sempre più vasto (dai device ai dati), sempre più liquido e sempre più di frequente esterno all’azienda. Quindi la comprensione delle minacce e degli attacchi richiede nuove capacità che vanno al di là dell’analisi degli eventi registrati in passato. Seguendo quest’ottica il rapporto Clusit 2016 fornisce tre elementi chiave su cui ogni azienda dovrebbe basare la propria protezione: il contrasto a più livelli della minaccia attraverso la comprensione delle sue modalità operative, la prevenzione attiva, grazie all’acquisizione di informazioni sui trend di attacco più probabili e l’adozione di una mentalità, e conseguentemente di un’organizzazione, che consideri sempre presente l’eventuale violazione. Le fasi di un’attività di difesa possono essere così sintetizzate: ricerca, infiltrazione, discovery, cattura e monitoraggio delle connessioni. 5 Glossario delle minacce informatiche Di seguito sono riportate le definizioni di alcune delle minacce più comuni: MALWARE Abbreviazione di malicious software, indica un qualsiasi software usato per disturbare le operazioni svolte da un computer: rubare informazioni sensibili, accedere a sistemi informatici privati, mostrare pubblicità indesiderata, distruggere e ottenere dati. All’interno di questa macrocategoria troviamo: Virus, Worm, Trojan, Ransomware, Spyware, Adware, Scareware, e altri programmi malevoli. Il malware si diffonde principalmente inserendosi all’interno di file non malevoli. PHISHING È un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. La tecnica utilizzata è molto semplice: viene effettuato un invio massivo di messaggi di posta elettronica o in alcuni casi di SMS, simili nell’aspetto e nel contenuto ai messaggi dei fornitori di servizi. Questi messaggi fraudolenti richiedono informazioni riservate: il numero della carta di credito, le password per accedere a un determinato servizio. PASSWORD ATTACK (ATTACCO A DIZIONARIO) Si tratta del tentativo di ottenere la password di un utente per avere alcuni privilegi di accesso. Nella crittanalisi e nella sicurezza informatica, un attacco a dizionario è una tecnica di attacco alla sicurezza di un sistema, o sottosistema informatico, mirato a “rompere” un codice cifrato o un meccanismo di autenticazione, provando a decifrare il codice o a determinare la passphrase cercando tra un gran numero di possibilità. In pratica si tenta di accedere a dati protetti da password (sia remoti, come ad esempio account su siti web o server di posta, database server, sia locali, come documenti o archivi protetti da password) tramite una serie continuativa e sistematica di tentativi di inserimento della password, solitamente effettuati in modo automatizzato, basandosi su uno o più dizionari. DENIAL OF SERVICE Tradotto in italiano con “negazione del servizio” e talvolta abbreviato in DoS, è una minaccia informatica il cui obiettivo primario è quello di interrompere i servizi di rete o web di un’azienda, facendo esaurire le risorse informatiche di un sistema che fornisce un servizio ai client, fino a renderlo inutilizzabile. Sono attacchi principalmente volti a danneggiare una società o la reputazione di un marchio. MAN IN THE MIDDLE Indica un tipo di attacco crittografico nel quale l’attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti comunicanti tra di loro. DRIVE-BY DOWNLOAD È un termine utilizzato in due diverse accezioni: nella prima si tratta di un download automatico con conseguente installazione di un file malevolo che avviene nel momento stesso in cui l’utente accede a un sito, senza alcune interazione dell’utente stesso, nella seconda il download viene autorizzato dall’utente facendogli credere di scaricare un programma sicuro, o una applicazione, che si rivela essere un malware. ROGUE Anche noto come FraudTool, è una particolare categoria di malware che finge di essere un programma noto, o comunque non malevolo (ad esempio un Antivirus), al fine di rubare dati confidenziali o di ricevere denaro. Questi malware hanno anche, al loro interno, funzionalità di adware. ADVANCED PERSISTENT THREAT (APT) Upside Risk Questo tipo di minaccia consiste in attacchi coordinati e sofisticati che utilizzano svariati metodi di intrusione. L’APT è uno dei metodi più utilizzati dagli aggressori informatici impegnati in attacchi a società molto grandi. 6 R.B. Alessandro De Felice Presidente Anra, associazione di riferimento della comunità dei risk manager italiani. Ricopre la carica di Chief Risk Officer di Prysmian S.p.A., il leader mondiale nell’industria dei cavi e sistemi ad alta tecnologia per energia e telecomunicazioni. La collaborazione tra IT manager e Risk manager favorisce il miglior approccio al rischio A nche i risk manager italiani stanno da tempo valutando e praticando le migliori modalità di approccio alla gestione del rischio cyber: abbiamo incontrato Alessandro De Felice, presidente di Anra, per un’analisi aggiornata della tematica, cercando di osservare la situazione generale e cogliere opportuni suggerimenti operativi applicabili nelle realtà aziendali. Come si classifica il cyber risk? In termini metodologici, secondo le linee guida internazionali, storicamente sono classificate 5 grandi famiglie di rischio: rischi operativi, rischi finanziari, rischi strategici, rischi organizzativi, rischi di pianificazione aziendale e di reporting. Il cyber risk ha una caratteristica peculiare in quanto può indifferentemente abbracciare ciascuna delle cinque famiglie di rischio citate e considerarsi come una nuova tipologia di macro-rischio determinata dall’evoluzione tecnologica. Quale è l’attuale grado di percezione del rischio in Italia, nel mondo aziendale privato e nel settore pubblico? Chi si occupa di sicurezza informatica aziendale è stato certamente il primo attore ad affrontare il cyber risk; tale intervento ha determinato una positiva diffusione culturale di approccio metodologico alla gestione integrata del rischio, richiamando l’attenzione delle figure apicali delle organizzazioni al tema. In effetti, a prescindere dai settori, oggi la business continuity delle organizzazioni è fortemente determinata e connessa ai sistemi informatici quindi la vulnerabilità degli stessi è considerata da tutti una rilevante minaccia. A livello associativo abbiamo notato anche un positivo effetto culturale, rilevando l’avvicinamento ad Anra da parte di figure professionali e aziendali che in tempi passati non si sentivano coinvolte in materia di gestione del rischio e in realtà lo sono diventate proprio attraverso l’attenzione ai nuovi temi dei rischi informatici. Ci sono differenze di attitudine tra settore privato e settore pubblico? A prescindere dalla natura privata o pubblica si può certamente dire che oggi grandi organizzazioni che si occupano di servizi: finanziari, bancari, previdenziali, oppure di telecomunicazioni, siano altamente attrezzate e strutturate per gestire le minacce dei cyber risk con una grande capacità di mitigazione dei possibili effetti. Il mondo industriale sta entrando nella tematica, avendola considerata una priorità solo in tempi più recenti, la principale attenzione è nei sistemi di controllo e reporting, dove la minaccia informatica, sia essa dolosa o accidentale, può provocare gravi conseguenze sulla correttezza della rappresentazione dei dati a bilancio e dei cicli di fatturazione attiva e passiva. Ovviamente l’impatto varia a seconda della tipologia di settore industriale a cui ci si riferisce. Genericamente si può affermare che sia maggiore l’esposizione al rischio per quelle aziende che offrono prodotti di largo consumo dove l’automazione dei processi logistici e organizzativi sono fondamentali per il business, rispetto ad aziende che operano nel mondo B2B. Per quanto riguarda la piccola e media industria si può osservare che rispetto a nuove aziende altamente tecnologiche il cyber risk sia preventivamente affrontato come un elemento di sicurezza della start up, mentre in realtà più tradizionali il livello di attenzione è sicuramente meno spiccato. Infine, nel settore pubblico, riguardo ai temi della giustizia e della sicurezza nazionale, ci riferiamo ad un rischio rispetto al quale si sono attuati i massimi sistemi di protezione (in costante aggiornamento) nei confronti di possibili attacchi o incidenti informatici. Qualche problema di protezione informatica dei dati sensibili si è invece registrato nell’ambito della pubblica amministrazione sanitaria e degli enti tributari: si ricordi il caso di qualche anno fa quando vennero erroneamente pubblicate su internet le dichiarazioni dei redditi dei cittadini. In tali casi la protezione dei dati personali è l’aspetto su cui si deve prestare la più rigorosa attività di prevenzione e controllo. Infine si può affermare che il rischio delle professioni e dei mestieri non si differenzia dal rischio individuale di qualunque cittadino: mi riferisco all’utilizzo dei dispositivi elettronici, Upside Risk Intervista ad Alessandro De Felice, Presidente Anra, sul tema del cyber risk in Italia 7 l’archiviazione dei dati in cloud e l’utilizzo delle applicazioni, in questo caso la minaccia più rilevante risulta il furto di identità e il conseguente utilizzo fraudolento. Esiste una modalità di approccio al tema suggeribile ad un risk manager sviluppata e divulgata da Anra? La modalità di approccio non differisce dal metodo generalista di gestione, mitigazione, controllo e reportistica normalmente applicabile alle varie tipologie di rischio. Ciò che caratterizza il cyber risk è l’integrazione di questa esposizione in una governance generale: ovvero un’attività interdisciplinare che deve coinvolgere la funzione dell’IT manager, del risk manager e del responsabile dell’audit con conseguente riporto ai vertici aziendali e consiglio di amministrazione. Quindi IT manager e risk manager devono sempre collaborare? Sintetizzando il risk owner è il responsabile dell’informatica, il risk manager si deve interfacciare con questi, supportandolo nell’approccio metodologico e in una corretta reportistica di valutazione del rischio e dei costi necessari per mitigarlo. Infine le decisioni diventano strategiche e spettano al top management. Risk management ma anche risk transfer: quanto sono conosciute e utili le soluzioni assicurative mirate alla tematica? Esistono scenari evolutivi auspicabili rispetto all’offerta assicurativa attuale? Il mercato assicurativo attualmente offre delle coperture che sono l’evoluzione delle tradizionali coperture assicurative sui rischi informatici nate negli anni novanta, le principali novità riguardano uno spostamento dell’attenzione dall’hardware al software e alle tematiche di ricostruzione dei dati e dei costi di protezione degli stessi. Oggi è possibile allargare la definizione di sinistro non solo al danneggiamento delle macchine o alla perdita dei dati, ma anche alle interruzioni di attività e ai costi da sostenere per ripristinare, nel senso più ampio, una normalità operativa. Anche le possibili responsabilità e i danni all’immagine che possano derivare a una azienda a seguito del verificarsi di un cyber risk trovano risposte assicurative. La capacità finanziaria offerta dagli assicuratori è adeguata? Si deve prendere atto che le disponibilità attuali del mercato assicurativo in termini di limiti di indennizzo o massimali di responsabilità, sono marginali rispetto alle effettive necessità dei maggiori rischi più strutturati e complessi, che pertanto affrontano giustamente il tema considerandosi in autoassicurazione. In effetti i massimi danni possibili si riferirebbero a limiti d’indennizzo non sostenibili con un trasferimento di rischio. Viceversa per il mondo della Pmi l’assicurazione del rischio Cyber può risultare un supporto utile. Esistono scenari evolutivi auspicabili rispetto all’offerta assicurativa attuale? La mia personale impressione è che nell’immediato futuro, rispetto alla tematica del cyber risk, sarà vincente il modello di un assicuratore prevenzionista, ovvero un soggetto che affiancandosi a una valutazione di enterprise risk management sia poi disposto a fornire una copertura assicurativa adattabile nel tempo e migliorabile in funzione delle effettive attività e investimenti svolti dall’assicurato nella protezione della sicurezza informatica. Immagino la capacità di fornire, oltre al puro indennizzo, un efficace intervento di recovery che produca un rapido e apprezzabile risultato di normalizzazione a favore dell’assicurato, una soluzione integrata basata su tecnologia, analisi delle soluzioni tecniche e una capacità finanziaria mirata a supportare tempestive forze d’intervento. Roberto Berva [email protected] ANRA è l’associazione che dal 1972 raggruppa i risk manager e i responsabili delle assicurazioni aziendali. L’associazione, che conta oggi oltre 220 soci, opera attraverso la sede di Milano e vari corrispondenti regionali. ANRA è il punto di riferimento in Italia per diffondere la cultura d’impresa attraverso la gestione del rischio e delle assicurazioni in azienda. Si relaziona con le altre associazioni nazionali di risk manager in FERMA, a livello europeo, e in IFRIMA a livello internazionale. ANRA è costituita da Risk Officer, Risk Manager e Insurance Manager che operano quotidianamente nella professione e che trovano vantaggio nello scambio continuo delle proprie esperienze e nella condivisione di progetti a beneficio dello sviluppo del settore. Complessivamente le aziende pubbliche e private di cui fanno parte i soci rappresentano un fatturato complessivo di oltre 600 miliardi (pari a circa il 39% del PIL). Upside Risk Nella piena convinzione che l’esperienza sia il miglior argomento per diffondere la cultura del risk management, ANRA organizza incontri e corsi di formazione aperti a professionisti e aziende su tematiche inerenti al rischio aziendale, corsi di formazione per nuove figure e scambi di esperienze con colleghi stranieri. 8 Lo sviluppo della professione negli ultimi anni e l’aumento della sensibilità sulle tematiche del rischio, trovano oggi sempre maggiore interesse anche presso le piccole e medie imprese, che colgono il valore di saper analizzare il proprio business sotto tutti i punti di vista per ridurre le criticità e rafforzare gli strumenti di analisi e controllo finalizzati alla crescita. Nella sua attività di supporto a manager e imprese, ANRA si appoggia a molti partner, come enti universitari, società di consulenza, compagnie assicurative, broker, società di servizio nell’ambito del rischio d’impresa: con le loro competenze specifiche, tutti questi attori portano valore aggiunto ai membri dell’associazione e alle loro imprese. Ufficio Stampa ANRA Walter Villa laureato in economia e commercio presso l’università di Bologna. In oltre 15 anni nel settore assicurativo ha lavorato presso brokers e compagnie di assicurazione multinazionali È attualmente professional indemnity e cyber risk manager presso AIG Europe Limited [email protected] Minacce informatiche e risposte assicurative L’esperienza di AIG Europe, grande compagnia internazionale, che fornisce soluzioni assicurative per i Cyber Risk Il rischio di rimanere indietro, senza tenere il passo dello sviluppo tecnologico, di rimanere vittima delle nuove insidie (furto d’identità, furto degli archivi elettronici di dati, furto di idee, marchi, brand) è concreto e spesso sottovalutato nelle conseguenze dal punto di vista reputazionale e patrimoniale. Ogni giorno vengono portati a termine migliaia di attacchi informatici attraverso le tecniche più svariate e termini come malware, ransomware, trojianhorse, account cracking, phishing, 0-dayvulnerability, Ddos attack, sono diventati parte del vocabolario anche per i non esperti. Il Center for Strategic and International Studies (Csis) per conto di McAfee stima in circa 445 miliardi di dollari il costo annuo dei crimini informatici. I costi di pulizia e ripristino solo in Italia sono stimati in 8 miliardi e mezzo di dollari con un costo medio di quasi quattro milioni di dollari per attacco. Inoltre nell’agenda del legislatore nazionale ed europeo la materia del trattamento e la gestione dei dati è di grande attualità: lo scorso 4 Maggio il Parlamento Europeo ha approvato un regolamento che rivede completamente la norma in vigore, con obbligo di adeguamento entro 2 anni, applicabile a tutti coloro che gestiscono dati personali di Upside Risk I n un mondo che corre sempre più veloce sulle reti, la condivisione di informazioni è diventata una parte fondamentale delle esperienze. La digitalizzazione è già una realtà e la frontiera, neppure tanto prossima, è l’Internet of Things, ovvero l’acquisizione, l’elaborazione, la condivisione delle informazioni provenienti dagli oggetti che ci circondano e l’interazione in tempo reale con essi. 9 cittadini europei per uso pubblico e privato. Il regolamento prevede nuovi principi di trasparenza e riservatezza (maggior tutela dati persone fisiche, diritto oblio, portabilità dati, ecc), obblighi di nominare un Responsabile della Protezione dei Dati, introducendo il concetto di privacy by default e di certificazione delle procedure di gestione dei dati. Una eventuale violazione dei dati deve essere comunicata entro 72 ore all’Autorità e senza ingiustificato ritardo, all’individuo, si prevede infatti il diritto al risarcimento del danno materiale e immateriale e sanzioni amministrative pecuniarie fino a 20 milioni di euro per gli individui e fino al 4% del fatturato globale per le società che non rispettino la normativa. In questo contesto il tema della sicurezza informatica è cruciale per ogni azienda, che deve adottare un approccio a 360 gradi: individuazione della propria esposizione al rischio, del livello di sicurezza e delle criticità, implementazione delle misure idonee al raggiungimento di un livello di sicurezza soddisfacente, adozione di una filosofia di change management. L’universo cyber è infatti in continua e rapida evoluzione, quindi le misure di sicurezza diventano obsolete nel breve periodo, creando vulnerabilità. Il compito dell’assicuratore, in un contesto tanto complesso e mutevole, è monitorare il cambiamento per essere pronto a offrire soluzioni di trasferimento di rischio. All’assicuratore non è richiesto di intervenire unicamente per risarcire il danno, ma di agire proattivamente dai primi segnali di criticità. Il mercato assicurativo conta attualmente una decina di compagnie attivamente impegnate nell’assicurazione dei cyber risk. di business che si prospettano all’orizzonte e del significativo aumento della sensibilità al rischio da parte delle aziende. È ragionevole pensare che le polizze cyber possano ricalcare il trend di diffusione delle polizze D&O introdotte nella seconda metà degli anni ’90. È inoltre facile ipotizzare che, a differenza delle polizze D&O per alcuni anni pressoché esenti da sinistri (per motivi diversi, minore cultura assicurativa, primi wording di polizza particolarmente cautelativi, maggiore difficoltà di comprensione del rischio), le coperture relative a rischi informatici possano essere toccate da sinistri già nell’immediato o nel breve periodo, sia in termini di frequenza, sia in termini di severità. Alcuni dati recenti indicano un aumento esponenziale dei sinistri negli ultimi anni, soprattutto all’estero e in particolare negli Stati Uniti. Vale la pena ricordare che, in diversi paesi Italia inclusa, il numero di richieste di risarcimento appare modesto a causa della diffusione ancora ridotta della copertura: in realtà gli eventi potenzialmente coperti dalla polizza sono all’ordine del giorno, pertanto la frequenza dei sinistri andrà ragionevolmente di pari passo con la diffusione della polizza. Dal punto di vista dell’offerta assicurativa si possono individuare essenzialmente due tipologie di copertura: la prima soluzione, che definiremmo la “tipica” polizza cyber, è la copertura della data liability, ovvero della responsabilità verso terzi per perdita di dati personali o societari, cui si aggiungono garanzie dirette/ indennitarie che includono i danni da interruzione d’esercizio dell’assicurato a seguito di attacco al sistema informatico o difetto dello stesso, i costi per l’utilizzo di esperti informatici e legali, per servizi forensi, le spese per la notifica della violazione o perdita dei dati ai soggetti interessati, i costi per il ripristino dei dati. In alcuni casi, infine, può essere prevista una garanzia di tipo “crime”, a includere i danni sofferti dall’assicurato in conseguenza di un atto doloso di un dipendente o di un terzo. Nuovi players sono entrati nel settore e probabilmente altri faranno il loro ingresso, in virtù delle interessanti opportunità Costi di risposta A questo proposito vale la pena segnalare che, in tema di cyber, una delle preoccupazioni principali dell’azienda sono le conseguenze di un Costi tipicamente connessi a Business Interruption attacco interno o esterno Canoni di affitto che si concretizzi nel furto di dati, informazioni Canoni leasing riservate, diritti di Stipendi dei dipendenti proprietà intellettuale, Costi per straordinari dei dipendenti più in generale dei Spese di manodopera legate al ricorso a personale aggiuntivo patrimoni intangibili Impiego di metodi di lavorazione o di produzione alternativi dell’azienda. Spese per Pubbliche Relazioni Extracosti per lavorazioni/elaborazioni presso Terzi Costi tipicamente compresi e rimborsati Costi per Consulenza Consulenza di crisi Consulenza per Pubbliche Relazioni Consulente di Reazione Costi di Difesa Costi (spese) per ripristino (dei dati) Servizi di pronto intervento informatico Spese di Gestione della Crisi Costi di disinstallazione e reinstallazione dei beni assicurati Spese per il ricorso a società di servizio esterne Spese per il reperimento rapido di materiali Upside Risk Spese di guardiania e conservazione dei beni assicurati 10 Spese di Ripristino del Sistema Informatico della Società allo stesso livello di funzionalità che esisteva prima di tale Evento di Interruzione dell’Attività; e/o per Ripristinare tecnicamente, recuperare o reinstallare dati o programmi informatici, compreso il costo di acquisto di una licenza software necessaria per riprodurre tali Dati o Programmi Informatici. Esiste poi una soluzione alternativa la cui ossatura è data dalla cosiddetta “polizza elettronica”, quindi una copertura di tipo indennitario che viene estesa, con modalità diverse, fino a ricomprendere in tutto o in parte le garanzie tipiche della polizza cyber. Si tratta di un prodotto con una struttura differente dalla prima, ma entrambe le alternative sono in grado di rispondere adeguatamente alle esigenze dei clienti quando adeguatamente predisposte. L’offerta del mercato tende ad articolarsi su due principali soluzioni: la prima è la gestione del rischio informatico, offrendo una copertura completa per tutti i rischi legati alla gestione e conservazione di dati, che possa essere estesa ai propri fornitori di servizi e che includa la gestione della crisi da un punto di vista tecnico, legale e reputazionale, la responsabilità verso terzi, il danno patrimoniale subito in caso di interruzione del funzionamento dei sistemi informatici o in caso di estorsione, la responsabilità per i contenuti pubblicati sul sito istituzionale; la seconda, dedicata alla grande industria con esigenze particolari, può essere data da coperture “a ombrello”, in grado di colmare le lacune nelle polizze Property e Liability, fornendo una copertura in eccesso per lesioni personali, danni alla proprietà, e perdite finanziarie causate da un evento cyber. Spesso si sottovaluta questo fenomeno, ritenendolo piuttosto lontano. In conclusione sono riportate alcune comuni considerazioni che possono esporre gli utenti a potenziali rischi: Per quanto aggiornato e adeguato nessun sistema informatico è completamente sicuro, Sono protetto, il mio sistema la tecnologia è in continua evoluzione e i soggetti che commettono crimini informatici sono informatico è sicuro spesso un passo avanti. La mia azienda opera nel settore manifatturiero, non tratta informazioni riservate, non ha rischio Qualunque azienda di qualunque dimensione è sottoposta al rischio cyber, a solo titolo di esempio anche i processi produttivi sono governati da sistemi informatici, un attacco potrebbe interrompere la produzione con gravi conseguenze in termini di perdita di profitto; altri effetti negativi possono essere determinati da un attacco al sistema con conseguente richiesta di riscatto (si tratta di una fattispecie sempre più frequente, che colpisce spesso le piccole aziende) e blocco delle attività. Chissà quanto costa la polizza Il premio è determinato sulla base di numerosi parametri, per attività considerate a rischio basso o moderato i premi possono essere di poche migliaia di euro. I costi sono comunque modesti rispetto alle conseguenze di un attacco cyber. Il rischio cyber è coperto da altre Nessuna copertura di responsabilità civile offre garanzie così complete. Altre polizze, ad polizze di responsabilità civile esempio contro l’infedeltà, possono prevedere garanzie parziali con limiti di indennizzo (RC professionale, RC generale) non adeguati. Spesso le aziende di piccole dimensioni possono avere poche risorse da dedicare alla Sono una piccola azienda, non sicurezza informatica, sono più facilmente attaccabili, molte organizzazioni criminali ho motivo di preoccuparmi prediligono “bersagli facili”. Questa considerazione è per taluni aspetti condivisibile, il rischio in capo a una grande azienda di telecomunicazioni, a un’istituzione finanziaria, a un’importante struttura sanitaria, Il mercato assicurativo non offre solo per citare alcuni settori, può essere di fatto incalcolabile.Occorre tuttavia evidenziare adeguata capacità che coinvolgendo più assicuratori su più layers non è un’utopia raggiungere e superare abbondantemente massimali di 100 milioni di euro. La polizza non serve, non siamo Le disposizioni di legge in tema di trattamento di dati e informazioni non sono l’unico assoggettati a normative simili a elemento da considerare. La nuova legislazione comunitaria prevede inoltre regole molto quelle vigenti negli Stati Uniti più stringenti e severe di quelle attuali. Walter Villa ATTACCO ALL’ESTONIA Gli attacchi hanno avuto come obiettivo il governo estone, le banche e i siti del settore privato: hanno colpito infatti il sito del primo ministro, del parlamento, di molti ministri e dei partiti politici. I membri del parlamento dell’Estonia sono rimasti quattro giorni senza scambiarsi mail, utilizzando come unico mezzo per le comunicazioni ufficiali la radio. A causa di questo attacco le operazioni finanziarie sono state gravemente compromesse, gli sportelli bancomat resi inutilizzabili, la più grande banca estone costretta a chiudere le sue operazioni internet. RB Upside Risk L’Estonia è uno dei paesi con la più alta connettività a banda larga d’Europa. Nel 2007 il 98% delle transazioni bancarie sono avvenute elettronicamente e circa l’82% per cento delle dichiarazioni fiscali estoni sono state presentate in via informatica. Una significativa parte della popolazione estone è di origine russa e nel 2007, lo spostamento di una statua di un soldato sovietico che commemora la fine della seconda guerra mondiale, ha portato a disordini civili e reclami da parte del governo russo, compresi alcuni attacchi elettronici. 11 Luigi Ghirardi Laureato in ingegneria elettronica, si occupa di informatica sin dagli esordi in un’azienda multinazionale per poi maturare esperienze significative nel mondo dei carrier VOIP. Dal 2010 opera come consulente freelance seguendo alcune piccole aziende e collaborando su progetti di tipo Enterprise. [email protected] Le piccole aziende sottovalutano il rischio, nessun sistema operativo è immune Intervista a Luigi Ghirardi, ingegnere elettronico e consulente freelance, che visita quotidianamente aziende di ogni tipologia e settore N el contesto delle piccole aziende esiste un approccio alla gestione del rischio? Le piccole aziende lavorano con budget ridotti e la protezione è molto bassa, di conseguenza sono facilmente attaccabili. Tendenzialmente le piccole aziende si affidano ad antivirus gratuiti e non sempre alle versioni commerciali, e molto raramente avviene una vera e propria gestione del rischio. Anche la cultura del backup non è ancora particolarmente diffusa in questi ambienti: per le aziende più piccole un progetto di gestione del rischio informatico spesso è fuori portata e non è ritenuto molto importante, almeno fino al verificarsi del primo problema. Quali sono i principali consigli per la conservazione dei dati? Il backup è uno strumento fondamentale, soprattutto se si possiedono dati ingenti che raggruppano molti anni di attività e che possono essere perduti a seguito di vari malware, come ad esempio: CryptoLocker (malware che cripta i dati della vittima, richiedendo un pagamento per la decriptazione). Il consiglio è: avere un doppio backup, tenere i due backup in luoghi diversi, aggiornarli con costanza e provarne il ripristino per capire se sono funzionanti, verificando che i file non siano corrotti per qualche motivo. 12 Eventi di intrusione Upside Risk 15000 Nel caso di un attacco che mira a un riscatto cosa è opportuno fare? Consiglio sempre di spegnere il pc e di lasciarlo spento. Successivamente effettuare un’immagine del disco rigido in maniera da mantenere una prova di quello che è successo e lavorare esclusivamente sull’immagine. Così facendo si blocca la progressione del malware, ed è possibile tentare di recuperare i dati dal disco immagine collegato a un altro pc non infetto. Pagare un riscatto non è legale (e fiscalmente è difficile da giustificare), spesso non è una buona idea: prima di tutto si contribuisce a una rete criminale, inoltre non si è mai sicuri che a fronte del pagamento i dati verranno ripristinati. Infine le autorità bloccano i sistemi di pagamento in tempi molto brevi e di conseguenza il pagamento diventa un’opzione non più utilizzabile. Per quale motivo i dispositivi mobili sono meno sicuri? Telefonia mobile e tablet sono molto più attaccabili, alcuni attacchi infatti iniziano dai dispositivi mobile che vengono usati come vettori per poi infettare i computer. Possiamo considerare anche il cloud un veicolo potenziale di attacco molto forte. Smartphone e pad hanno un problema inerente alla progettazione, dato che il browser, o comunque in generale il software, non ha vincoli per accedere all’hardware mentre su un PC sono presenti comunque vincoli a quello che può fare un software. 10000 5000 0 Mag-15 Giu-15 Lug-15 Ago-15 Set-15 Ott-15 Fonte: Rapporto Clusit / Cisco Antivirus free e a pagamento, quali sono i vantaggi e gli svantaggi? L’antivirus free offre funzionalità e protezione molto limitate, consideriamo che neppure un antivirus a pagamento, per quanto vi siano persone che ci lavorano e che lo aggiornano con costanza certosina (si parla di poche ore), esclude la possibilità di essere infettati. Il numero di malware è in costante aumento ed è impossibile I sistemi operativi Mac e Linux sono più sicuri? Non credo utile classificare i sistemi operativi come più o meno sicuri, dato che è possibile “prendere il controllo” di qualsiasi sistema indipendentemente dal sistema operativo stesso. Anzi il falso senso di sicurezza di un utente Mac o Linux che ritiene di essere al sicuro, costituisce un grosso fattore di rischio: credo che ben pochi utenti Mac o Linux abbiano un antivirus installato o sappiano cosa fare in caso di problemi. In realtà il vero motivo della loro “invulnerabilità” dipende dal fatto che la quantità di sistemi Mac o Linux rispetto a quelli Windows li rende meno appetibili per attacchi “di massa”. Ovviamente il discorso cambia in caso di attacchi “mirati”, ma in quel caso le problematiche da affrontare sono altre. Comunque ribadisco che non esiste un sistema operativo perfetto, non esiste un software sicuro al cento per cento, un certo rischio va accettato e mitigato ponendo molta attenzione ai comportamenti che si tengono, alla navigazione in rete e all’utilizzo dei dispositivi informatici. Che cos’è un HoneyPot e a cosa serve? È un sistema che dovrebbero usare tutte le grandi aziende: si tratta di un sistema che sembra esporre vulnerabilità note, ma in realtà è progettato in maniera tale da comunicare quando viene attaccato e registrare cosa fa l’attaccante. Sono sistemi costruiti per essere attaccati e devono apparire come una parte facilmente vulnerabile della rete. In questo modo è possibile “osservare” gli attacchi, a volte anche in tempo reale. È a tutti gli effetti l’equivalente di un’esca. Solo un team di specialisti è in grado di utilizzare l’HoneyPot. Insieme all’utilizzo di questo tipo di sistemi è utile segmentare il più possibile tutte le risorse, evitando di concentrare gli accessi da un’unica rete. L’idea guida dovrebbe essere di cercare di ridurre la superficie di attacco e di fare in modo che una breccia di sicurezza non comprometta la sicurezza di tutti i sistemi. Ad esempio una buona prassi è dedicare postazioni fisicamente sicure e su di una rete non collegata a internet per gestire i server. Il riconoscimento dell’impronta è un sistema sicuro? All’apparenza la biometrica può sembrare un sistema interessante e molto sicuro, tuttavia non è così. Nel momento in cui viene rubata la scansione dell’impronta digitale personale è impossibile cambiarla. Ricordiamoci invece che una password può sempre essere cambiata, ed è buona norma cambiarla con una certa frequenza. Anche nel caso di un furto della password una volta cambiata essa impedisce l’ingresso. È meglio una password complessa o una password più memorizzabile ma cambiata con una certa frequenza? Ritengo le password troppo complesse le meno sicure: più la password è complessa meno l’utente la ricorda e se l’utente non la ricorda la scriverà da qualche parte e se la scrive è inutile. La cosa migliore da fare è scegliere una password con una buona complessità ma memorizzabile e sostituirla spesso. Per i servizi l’autenticazione in due fasi (ad esempio utilizzando una chiavetta che genera un pin) è un ottima barriera. Considero su di un livello leggermente inferiore l’autenticazione a due fasi che utilizza una app sullo smartphone, dato che il dispositivo può essere compromesso con relativa facilità, soprattutto in caso di un attacco mirato. Come si sta evolvendo il rapporto privacy rete? Purtroppo il fattore privacy è qualcosa che tende a essere sempre più labile. Nel momento in cui si può essere testimoni di ciò che collezionano i motori di ricerca, piuttosto che tutti i servizi pubblicitari di advertising, ci si rende conto della debolezza del concetto di privacy nella rete. Una curiosità: i siti che violano maggiormente la privacy sono i siti di news. Roberto Berva [email protected] Upside Risk controllare in tempo reale un database di milioni di virus: oltre alla classica ricerca per “firme” gli antivirus a pagamento utilizzano tecniche molto sofisticate per individuare software potenzialmente dannoso, tecniche che includono anche l’utilizzo del cloud per diffondere il riconoscimento di nuove minacce. Ovviamente gli antivirus a pagamento offrono una protezione molto maggiore a fronte di un costo che copre non solo lo sviluppo tecnologico ma soprattutto il costante controllo e aggiornamento dell’antivirus stesso. Ricordiamoci che anche una grande azienda produttrice di antivirus ha subito un attacco molto pesante. È molto difficile difendersi da un attacco mirato anche per le grosse aziende che lavorano all’interno di questo settore, un esempio eclatante è il caso di Hacking Team (n.d.r. caso descritto nell’articolo “Alcuni attacchi rappresentativi del 2015”). 13 Alcuni attacchi rappresentativi del 2015 Di seguito, per comprenderne la variabilità, sono riportati alcuni attacchi avvenuti nel 2015. Come noteremo gli attacchi sono molto diversi tra di loro e hanno varie finalità: il furto di dati, la “rapina” informatica alle banche, il furto di software molto sofisticati, il ricatto mediante l’acquisizione di dati, l’alterazione del funzionamento di alcune strutture. Anche i metodi utilizzati cambiano a seconda dell’attacco e delle vulnerabilità dei sistemi: custom malware, SQL injection, APT, phishing… Vittima Attaccante Tecniche usate Anthem Cyber Espionage (Deep Panda)? APT, Custom Malware Questo attacco, avvenuto ad una primaria compagnia di assicurazione sanitaria, è iniziato ad aprile 2014 ed è stato scoperto solo a gennaio 2015. Ha provocato il furto di circa 80 milioni di record contenenti i dati personali dei clienti e degli impiegati: nomi, date di nascita, indirizzi email, dati sul reddito. La stima dei danni è ancora in corso e molto alta, sia in termini di immagine che di risarcimento agli utenti. Vittima Attaccante Tecniche usate Ashley Madison Impact Team (per vendetta?) Vulnerabilities / SQL Injection Un gruppo sconosciuto di hacker denominato “Impact Team” è riuscito a compromettere da remoto il database dei 37 milioni di utenti di Ashley Madison, servizio web di incontri, minacciando la casa madre Avid Life Media di pubblicarlo nel caso in cui il sito non fosse stato messo offline. L’azienda ha rifiutato e l’intero database è stato reso pubblico, causando disagi a milioni di persone. Il gruppo ha continuato pubblicando numerose email e documenti riservati di Avid Life Media causando le dimissioni dell’amministratore delegato. Anche in questo caso la stima dei danni è altissima. Vittima Attaccante Tecniche usate Oltre 100 Istituti bancari Cyber Crime organizzato Phishing / Custom Malware Si tratta della più grande cyber-rapina del 2015, compiuta ai danni di oltre 100 istituti bancari appartenenti a più di 30 paesi del mondo, Italia inclusa. Dalla fine del 2013 i responsabili dell’attacco si sono infiltrati, utilizzando tecniche di phisihing, in diverse organizzazioni finanziarie, infettandole con custom malware. Attraverso questo metodo, è stato possibile studiare con attenzione le procedure e i flussi interni delle banche colpite, riuscendo a sottrarre ingenti quantità di denaro tramite operazioni apparentemente lecite e autorizzate. Pur essendo stata scoperta nel 2015, questa operazione risulta ancora il corso, questa volta mirata non solo alle banche ma a società finanziarie, trading online, catene alberghiere e casinò. Vittima Attaccante Tecniche usate Hacking Team Ignoto (insider ?) Sconosciute L’azienda italiana Hacking Team, specializzata nella produzione di software dedicato all’infiltrazione di device digitali (Pc e mobile) con finalità investigative e di intelligence, è stata colpita da ignoti, che hanno copiato e pubblicato online una impressionante quantità di informazioni sensibili (oltre 400 Gigabyte). Sono state rese pubbliche milioni di email, codici sorgenti, segreti industriali e informazioni delicate e riservate dei clienti dell’azienda. Vittima Attaccante Tecniche usate VTech – smart toys e gadgets30 Hacker “etico” ? SQL Injection Upside Risk Le informazioni personali di circa 5 milioni di genitori e oltre 200.000 ragazzi sono state rubate a seguito della compromissione di un sito web della società VTech, azienda cinese da 2 miliardi di dollari di fatturato che vende giocattoli e gadget connessi ad Internet (tablet per ragazzi, baby monitor per neonati, tastiere musicali, ecc). Nel database del sito sono state reperite migliaia di fotografie dei bambini, scattate tramite i giocattoli, complete di nome, cognome, indirizzo, data di nascita ecc. Fortunatamente l’hacker che ha scoperto la vulnerabilità non ha rivenduto i dati nell’underground né li ha diffusi integralmente. L’azienda non si è accorta della compromissione finché i giornali non hanno pubblicato la notizia, informati dall’hacker. 14 Vittima Attaccante Tecniche usate VUkraine Power Grid / Kiev Airport Information Warfare APT / Custom Malware A dicembre un attacco realizzato tramite malware (BlackEnergy ed altri) ha consentito agli attaccanti di alterare il funzionamento di alcune sottostazioni della rete elettrica ucraina, con il risultato di provocare un blackout che ha interessato circa 80.000 utenze. È il primo caso noto al mondo di blackout provocato intenzionalmente con mezzi cyber. L’attacco è stato coordinato con grande precisione, e gli aggressori si sono addirittura premurati di rallentare le attività di ripristino fornendo dati falsi ai manutentori tramite le interfacce delle sottostazioni, e/o cancellando le configurazioni dei sistemi. Attacchi simili sono stati portati anche verso l’aeroporto di Kiev Boryspil, causando il blocco di alcuni sistemi IT per un intero week-end. Fonte: rapporto Clusit 2016 R.B. Accapierre è una società di consulenza strategica, nata nel 2009, che opera in quattro aree di attività: • L’analisi e la gestione dei rischi puri per aziende e istituzioni • La formazione manageriale in tema di rischio • Le soluzioni di rischio come strumento di marketing e in particolare di marketing associativo • Nel settore del real estate con un innovativo “risk management tool” a supporto degli investimenti. Per ognuna di queste attività disponiamo di Senior Consultant, professionisti indipendenti di grande esperienza. Ciò consente di dedicarci ai clienti garantendo un’elevata qualità della prestazione e soprattutto la massima dedizione e attenzone in ogni fase del progetto I nostri principali clienti sono aziende e istituzioni, tra cui fondi di sanità integrativa. Ci proponiamo, quindi, come un soggetto professionale proattivo, indipendente, con un’operatività snella e di particolare efficacia. Upside Risk www.accapierre.it 4 CYBER Risk