prepararsi all`impatto nazioni, tensioni e Cyber war siCurezza e norm
Transcript
prepararsi all`impatto nazioni, tensioni e Cyber war siCurezza e norm
A N N O 3 N U M E R O 1 // AGOSTO / SETTEMBRE 2015 SOLUZIONI E STRATEGIE PER LA SICUREZZA INFORMATICA Cybercrime, fenomeno multidimensionale Cyber resilience: prepararsi all’impatto Nazioni, tensioni e cyber war Sicurezza e normative: tendenze in atto A N N O 3 N U M E R O 1 // AGOSTO / SETTEMBRE 2015 SOLUZIONI E STRATEGIE PER LA SICUREZZA INFORMATICA Editoriale ANNO 3 NUMERO 1 // AGOSTO / SETTEMBRE 2015 Bimestrale di sicurezza informatica Registrazione tribunale di Bologna numero 8280 del 5/12/2012 ROC n. 9559 Direttore responsabile Rossella Lucangelo Caporedattore Enrico Salsi Redazione Chiara Soverini Coordinamento redazionale Daniela Fioramonti Ha collaborato a questo numero: Gabriele Faggioli Progettazione grafica e impaginazione Tecnostudi srl Immagini: Shutterstock e archivio G Data L a sensazione di svuotare il mare con un cucchiaio è sempre più forte quando si parla di gestione della sicurezza informatica. Crescono esponenzialmente gli attacchi, mutano gli obiettivi, le tecniche, le alleanze nel mondo del cyber-crime. Ancora più complicato poi trovare un sistema di norme che possano regolare un fenomeno mutante che assume sembianze totalmente nuove con una rapidità elevatissima. È sempre più evidente che la prevenzione e il contrasto al fenomeno della criminalità digitale sia da giocarsi ad un livello internazionale vista la globalità che ormai caratterizza questo tipo di minaccia. Cercare un quadro normativo organico a livello nazionale, che assuma gli indirizzi strategici che si determinano in ambito extra-nazionale ed extra-continentale, è l’unica strada che deve essere intrapresa con la consapevolezza che si tratta di un percorso costantemente in costruzione e ridefinizione. L’Italia, pur essendo tremendamente al palo su molte questioni che riguardano l’ICT, ha almeno evidenziato una consapevolezza della centralità del problema. Nell’ambito del Quadro Strategico Nazionale (QSN), nel dicembre 2013 è stato presentato il “Piano Nazionale per la protezione cibernetica e la sicurezza informatica” che mira a sviluppare, per il biennio 2014- 2015, alcuni indirizzi strategici che accanto al potenziamento delle capacità di intelligence, all’ottimizzazione del coordinamento tra soggetti pubblici e privati e all’implementazione di un sistema di risk management nazionale, pongono grande rilevanza proprio su un intenso coordinamento a livello extra Paese e su opportuni interventi legislativi e la compliance con la normativa internazionale. Rossella Lucangelo SECURITY SECURITY market Dall’interessante lettura del Rapporto Clusit 2015 se ne esce con un misto di sgomento e disorientamento. Le analisi sul passato e i trend tratteggiati per il futuro ci raccontano di uno scenario infinitamente più pericoloso, oscuro e complicato di quello che esisteva solo fino a pochi anni fa. Non solo crescono i volumi degli attacchi ma, ancora più preoccupante, iniziano a diventare armi prevalenti non solo della criminalità economica, sempre più esperta e internazionalizzata, ma anche del terrorismo globale. A un incremento delle risorse di contrasto investiti nel 2014 (+8%) ha corrisposto un aumento del numero e della gravità degli attacchi. Nove miliardi stimati la perdita in Italia lo scorso anno dovuta al cyber-crime. Esistono studi internazionali che dichiarano che il 90% delle aziende verificate ha subito un attacco e, in alcuni settori (Legal, Healthcare e Pharma, Retail) il tasso di compromissione sale addirittura al 100%. Il terreno di confronto tra “attaccanti” e difensori” si sono moltiplicati. È come se la difesa di una squadra di calcio dovesse giocare contemporaneamente in più stadi e impedire agli avversari di fare goal. Impossibile. Se cerco di difendere il perimetro del mio sistema informativo map aziendale, mi si apre il fronte dei social network, già oggi utilizzati (ma lo saranno sempre di più) come uno dei principali veicoli per la diffusione del malware. Se metto delle policy stringenti (non senza problemi) ai dipendenti dell’azienda sull’utilizzo dei canali social, devo poi guardare al tema della mobilità. Tablet e smartphone, device oggi essenziali per il business, sono sempre più al centro dell’attenzione dei criminali informatici. E via di questo passo, passando per l’e-commerce, il cloud e l’Internet of Things (IoT), fenomeni che non possono essere tralasciati se si intende operare in un contesto economico in modo competitivo. Che gli strumenti tecnici di contrasto e, a maggior ragione, i vari legislatori, facciano tremenda fatica a rincorrere questi fenomeni è assolutamente lapalissiano. Ciò non toglie che il contrasto sia un dovere di tutti, dalle istituzioni internazionali e nazionali, alle aziende fino ad arrivare al singolo utente. Prevenzione, protezione ma anche un cambio sostanziale di paradigma che dovrà essere adottato perché il problema non è più se saremo soggetti ad attacchi informatici, ma quando questo avverrà. E.S. La conclamata impossibilità di eliminare totalmente il rischio implica, come accennato in Security Market, l’adozione di un nuovo paradigma che sposta il focus sulla gestione del rischio stesso. Arriviamo quindi al concetto di Cyber Resilience che si confronta direttamente con la definizione di ciò che per ciascuna organizzazione può essere un livello di vulnerabilità accettabile. Tra gli hot topic evidenziati nel rapporto Clusit per il 2015 vi è proprio questo punto: “La parola d’ordine del 2015 è “prepararsi all’impatto”, adottando logiche di Cyber Resilience, ciascun soggetto in base alle proprie esigenze e capacità ma nell’ambito di una regia istituzionale forte, innanzi tutto applicando l’antica massima “conosci te stesso” (e quindi le proprie vulnerabilità e criticità), e poi predisponendo un modello di rischio accurato, costantemente aggiornato, stimando le perdite potenziali tramite lo studio di un certo numero di scenari realistici per determinare correttamente gli investimenti necessari”. uno sforzo dal punto organizzativo, di policy e di coordinamento e gestione delle risorse. Governance, risk management, cyber intelligence, cyber security e crisis management devono convergere in una gestione unitaria che richiede necessariamente l’apporto di professionalità multidisciplinari di alto livello. Certamente questo è l’orizzonte che abbiamo di fronte visto la crescente gravità degli impatti legati al cyber-crime. Che questa sia la strada che si sta prospettando è sottolineato anche dalle iniziative che, in verità da qualche tempo, stanno adottando le istituzioni. Già dal 2009, per esempio, l’Unione Europea sta elaborando il progetto dell’ENISA “European Public-Private Partnership for Resilience”. Il percorso è dunque tracciato. Prima si acquisiranno consapevolezza, predisponendo risorse e strumenti, meglio si riuscirà a creare un forte movimento pubblico-privato di contrasto alla guerra digitale che stiamo già vivendo. E.S. Certamente non è facile per le imprese, in particolare quelle medio-piccole, adottare un approccio di Cyber Resilience che richiede G N I K BREA NEWS COVER ory st Per comprendere l’estrema difficoltà che i diversi Legislatori hanno nello sviluppare norme efficaci a contrasto della criminalità informatica, basta considerare gli scenari sempre più complessi ed allargati legati alla cosiddetta cyber-war. Ad armamenti, corsa allo spazio, intelligence, si è aggiunta una sorta di guerra digitale, strisciante e silenziosa, che vede molteplici soggetti, anche di natura istituzionale, utilizzare tecniche di hacking e cyber-spionaggio per conseguire vantaggi strategici, siano essi di natura politica o economica. Non solo dunque gruppi legati all’estremismo e al terrorismo, ma interi stati sono costantemente attivi nell’intervenire, anche in modo illegale, sui patrimoni di dati e i flussi di informazioni sensibili non solo di stati palesemente “nemici” ma anche di paesi alleati: i casi Wikileaks e Datagate sono i casi più eclatanti in questa direzione. È evidente che di fronte a questo scenario internazionale le singole legislazioni nazionali possano fare ben poco per definire i contesti giuridici e, ancor meno, per attribuire responsabilità precise considerando che il confronto si sposta sempre più spesso nell’ambito delle delicate relazioni internazionali. I casi sono molteplici. Tra i Paesi maggiormente impegnati a sviluppare questa battaglia a colpi di codici malevoli vi sono gli Stati Uniti e la Cina, ciascuna fortemente impegnata nella corsa alla nuova frontiera della supremazia digitale. Uno dei casi più recenti che ha visto coinvolte queste due super-potenze mondiali è stata l’accusa mossa dagli Stati Uniti verso il gruppo di hacker conosciuto con il nome Putter Panda, presumibilmente controllato dall’esercito di Pechino. Questi hacker avrebbero condotto attacchi informatici contro le agenzie della difesa e l’industria satellitare e aerospaziale degli Stati Uniti, del Giappone e dell’Europa. Certo nessuno sta a guardare. Stati Uniti versus Iran è stato un altro caso famoso in cui l’apparizione del worm Stuxnet, capace potenzialmente di mandare in tilt le centrali nucleari bloccando il raffreddamento dei reattori, è stata attribuita alle attività dell’intelligence americana. Ma il tutti contro tutti pare realmente la condizione di questi ultimi anni. In un contesto che richiama il caos, la consapevolezza che il lavoro dei Legislatori a livello internazionale e locale sia solo all’inizio non è mai stata così alta. E.S. G DATA: un nuovo programma per valorizzare la partnership con il canale G DATA BENEFITS AND SERVICES Questo è il nome del nuovo programma di canale che l’azienda tedesca dedica ai propri rivenditori e che prevede l’erogazione di supporto e consulenza mirati per ognuno dei livelli di partnership commerciale previsti. Oltre ad un listino dedicato, il livello BASIC (G DATA Security Partner) comprende le prestazioni sinora offerte ai partner che propongono le soluzioni G DATA presso la clientela aziendale: l’assistenza tecnica viene prestata attraverso i distributori certificati, i partner beneficiano di licenze NFR, di corsi di certificazione, promozioni dedicate e lead protection. A questa categoria si aggiungono i livelli SILVER, GOLD e SPECIALIST. I rivenditori che optano per questi nuovi livelli di partnership godono di servizi aggiuntivi, interlocutori tecnici diretti presso il vendor a supporto dei servizi di assistenza tecnica già erogati dai distributori a valore (third level support), informazioni proattive riguardanti minacce “in the wild”, priorità nell’invio di campioni di malware e, in caso di necessità, di interventi programmati on site. I partner SPECIALIST possono contare inoltre su formule commerciali, servizi consulenziali e attività di marketing specifiche per il mercato verticale in cui operano. Infine, i rivenditori che convogliano sul marchio G DATA il business realizzato sia in ambito consumer sia presso la clientela aziendale, beneficiano di interessanti incentivi. SPECIAL guest LA SICUREZZA INFORMATICA E GLI OBBLIGHI NORMATIVI: LE LINEE DI TENDENZA Gli ultimi anni sono stati estremamente rilevanti sotto il profilo dell’evoluzione normativa in materia di sicurezza informatica se si analizza il tema normativo in quanto diverse sono state le novità che si sono succedute nel tempo e non tutte sono andate nella medesima direzione. Ed infatti, a fronte di alcuni interventi normativi mirati a aumentare gli obblighi di sicurezza all’interno delle imprese e della pubblica amministrazione italiana, si è assistito ad alcune scelte che hanno portato invece a una diminuzione degli obblighi e quindi, potenzialmente, a una riduzione dell’attenzione sul problema degli attacchi informatici interni e esterni. Nel Rapporto Clusit 2015 si legge ”Come interpretare il fatto che in Italia i danni complessivi derivanti da attacchi informatici (stimati in 9 miliardi di euro, inclusi i costi di ripristino3) siano ormai pari alla somma delle perdite dovute a crash dell’hardware, del software ed alla perdita di alimentazione elettrica?” ed ancora “In uno studio condotto nel corso del 2014 sono state monitorate su scala globale 1.600 aziende appartenenti a 20 diversi settori merceologici, osservando che nel periodo conside¬rato, in media, la percentuale di organizzazioni compromesse è stata superiore al 90%, con alcuni particolari settori (Legal, Healthcare e Pharma, Retail) che hanno avuto un tasso di compromissione del 100%” a testimonianza del fatto che l’attenzione Gabriele Faggioli Legale, Partners4innovations, Adjunct Professor MIP-Politecnico di Milano, Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica) sui rischi informatici, indipendentemente dagli obblighi normativi, deve sempre essere altissima. Fatte queste premesse vediamo allora quali sono le linee di tendenza del legislatore e dell’Autorità Garante per la protezione dei dati personali che è possibile cercare di individuare in tale evoluzione normativa. In prima battuta è sempre possibile intravedere la scelta di passare da una normativa tendenzialmente identica per tutti i settori di mercato alla introduzione di provvedimenti settoriali mirati a imporre maggiori oneri e adempimenti in tema di sicurezza informatica per quelle categorie di operatori economici che sono più esposti a rischi e rispetto ai quali una violazione della sicurezza potrebbe maggiormente impattare sul cittadino. Nella direzione della semplificazione sono andati per esempio i provvedimenti che hanno portato alla abrogazione del cosiddetto Decreto Pisanu, alla eliminazione dal perimetro di tutela della normativa in materia di trattamento dei dati personali dei dati inerenti le persone giuridiche, enti, associazioni, alla scelta di eliminare del tutto e per tutti l’obbligo di stendere annualmente il documento programmatico sulla sicurezza e, infine, l’individuazione per legge dei trattamenti con finalità amministrativa-contabile che hanno di fatto portato alla limitazione del perimetro di applicazione del Provvedimento del Garante per la protezione dei dati personali in materia di amministratori di sistema del 27 novembre 2008 oggi confinato, nel suo ambito di obbligatorietà, a un perimetro estremamente ridotto. Di contro, i provvedimenti emanati ad hoc per specifici settori di mercato sono stati estremamente rilevanti e se ne citano qui solo due di maggior rilievo: - Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari (Provvedimento nç 192/2011) -Decreto legislativo n° 69/2012 che ha introdotto per le società di telecomunicazione l’obbligo della segnalazione dei data breach. In particolare, il Provvedimento del Garante 2011 ha imposto che le Banche, oltre alle misure minime di sicurezza, già prescritte dal Codice nel caso di trattamento di dati personali effettuato con strumenti elettronici, debbano implementare misure idonee che permettano un efficace e dettagliato controllo anche in ordine ai trattamenti condotti sui singoli elementi di informazione presenti nei diversi database utilizzati. Tali soluzioni devono comprendere la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall’uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente. Tali file di log devono tracciare, per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso, la data e l’ora di esecuzione, il codice della postazione di lavoro utilizzata, il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato, la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata (es. numero del conto corrente, fido/mutuo, deposito titoli). Trattasi in tutta evidenza di un obbligo estremamente oneroso che le Banche sono state costrette a implementare essendo oggi il Provvedimento a regime dal primo ottobre 2014. Nel settore delle società di telecomunicazione, invece, è stato introdotto con il d.lgs 69/2012 il concetto di “violazione dei dati personali” che si sostanzia nella violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico. È stato prescritto quindi che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico debba adottare misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e debba anche informare i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare. Inoltre, in caso di violazione di dati personali, il fornitore comunica senza indebiti ritardi detta violazione al Garante e quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore debba comunicare anche agli stessi senza ritardo l’avvenuta violazione. In parallelo a tali previsioni l’Autorità Garante ha emesso una serie di altri provvedimenti e prescrizioni che, sempre in alcuni settori o casistiche specifiche, hanno previsto l’obbligo di raccolta di log (si pensi ad alcune specifiche prescrizioni dettate a seguito di istanza preliminari nel settore del fashion e luxury) o l’invito (non sanzionato in quanto norma di moral suasion) a segnalare le violazioni di dati personali (ad esempio nel settore bancario). L’attuale panorama normativo che, come detto sopra, sta mutando a seguito di tali scelte del legislatore e della Autorità Garante, subirà probabilmente nel corso dell’anno 2016 uno stravolgimento in quanto, presumibilmente, verrà adottato il Regolamento UE sostitutivo della Direttiva n° 45/96 dalla quale promana anche la legislazione italiana in materia di privacy e sicurezza dei dati personali. Se così sarà, il tema della sicurezza aumenterà di rilevanza in maniera esponenziale in quanto le previsioni ivi contenute sono particolarmente stringenti e prevedono, tra l’altro, l’adozione di una politica della sicurezza con obbligo quindi per aziende e pubbliche amministrazioni di prestare altissima attenzione al problema. channel TECH solutions l e n n a h 2c Partner di G Data, Arcadia Tecnologie S.r.l. è una società operante nel settore dell’ICT che conta tre divisioni - System integrator, Software House e Realizzazione siti web ed e-commerce – e i cui fondatori hanno esperienza decennale nell’ambito delle soluzioni informatiche. Oggi parliamo con Francesco Vendola, Sales & Marketing Manager, per parlare della normativa in ambito ICT. L’evoluzione della normativa impatta sulla sensibilizzazione dei vostri clienti ad adottare corrette soluzioni di sicurezza informatica e qual è la vostra proposta/ offerta in questa direzione? Un mondo online! Ecco quale sarà la nuova frontiera delle aziende italiane ed europee. L’evoluzione delle soluzioni di security hanno portato le società a ricercare non solo soluzioni che siano efficaci nell’intercettare le anomalie del web: trojan, spyware, virus, ma a ricercare una vera e propria partnership con i fornitori di soluzioni. Oggi il 70% del business tra le aziende oramai si svolge attraverso l’utilizzo della rete. Arcadia Tecnologie S.r.l. ha compreso da tempo questa realtà e ha cercato sul mercato europeo soluzioni atte a garantire la sicurezza dello scambio di informazioni su internet: G DATA è stata la scelta vincente per il mercato delle aziende. Gli standard europei-tedeschi di queste soluzioni garantiscono ai clienti di Arcadia Tecnologie una sicurezza impareggiabile, collegata ad una affidabilità della piattaforma senza precedenti. Le soluzioni Internet Security e Total Protection coprono tutte le esigenze specifiche di una azienda moderna, commisurate al numero di operatori e al numero di informazioni che transitano sulle linee internet. Lo stretto rapporto fra i rivenditori iscritti al canale e il supporto tecnico di 2° livello erogato da G DATA permette ai clienti finali di avere un vero e proprio pool di specialisti che non solo installano e configurano le soluzioni, ma diventano un vero e proprio supporto consulenziale per le tematiche di sicurezza e privacy. G DATA e Arcadia Tecnologie S.r.l., sono la prova che la partnership tra produttore e rivenditore è la soluzione migliore per la gestione delle tematiche di security aziendali. C.S. G Data Patch Management Una rete aziendale può essere protetta facilmente da Virus, Trojan e Worm grazie a soluzioni come G Data Antivirus, G Data ClientSecuruty e G Data EndpointProtection, ma un pericolo che spesso viene sottovalutato dai responsabili IT è quello proveniente dalle falle dei software installati sui terminali. Per prevenire questi problemi G Data ha creato G Data PatchManagement. In media in un computer aziendale sono istallate più di settanta applicazioni estranee al sistema operativo e per mantenerle aggiornate occorrerebbe un costante update dei software. Un lavoro importante che deve ricadere sul dipartimento IT e che risulta spesso complesso a causa della quantità e della frequenza dei patch forniti dalle aziende produttrici. Il modulo infatti permette di controllare e valutare i sistemi Microsoft e attraverso una scansione individua le falle del sistema visualizzabili nella consolle di comando. G Data PatchManagement procede quindi a consultare la più grande banca dati mondiale di patch e aggiornamenti, che contiene 15.000 patch testate e a scaricare gli aggiornamenti necessari in modo sicuro, installandoli velocemente e procedendo seguendo l’ordine di urgenza. Un modo facile e sicuro, totalmente integrabile con le soluzioni corporate fornite da G Data, PatchManagement procede in modo mirato a controllare eventuali problemi di sottrazione dati dalla rete aziendale che possono manifestarsi nel caso in cui le falle dei software vengano sfruttate dai cyber criminali. C.S. G Data PatchManagement è un modulo complementare che si integra senza alcun problema con G Data Administrator centralizzato e ReportManager e che consente di aumentare la sicurezza della rete aziendale in modo efficiente. G DATA PATCH MANAGEMENT è disponibile al sito: https://www.gdata.it/patchmanagement Il business rende mobili i tuoi clienti. Mantieni il controllo! Per maggiori informazioni: www.gdata.it Con „Bring Your Own Device“ i tuoi clienti ti lanciano nuove sfide. Gli smartphone e i tablet dei loro impiegati rendono più complessa la gestione della rete. Come fornitore di servizi e soluzioni per la sicurezza, puoi mantenere il controllo! Mobile Device Management è integrato in tutte le nostre soluzioni di protezione G Data Business. Questo modulo ti permette di assegnare dei diritti d‘uso specifici ai dispositivi mobili. Puoi localizzarli in seguito a smarrimento ed eliminare con un semplice clic i dati riservati che contengono. Proteggi i tuoi clienti dai rischi associati alla mobilità, così potranno concentrarsi esclusivamente sul loro business. I loro dati saranno al sicuro. Ovunque. Contattaci per email all‘indirizzo [email protected] Par telefono al numero 051 64 15 813 G Data. Security Made in Germany.