S.A.F.SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Premessa escenario italiano
Davide GrassanoMembro della Commissione Informatica
Cybersecurity e sicurezza: come proteggere le informazioni che gestiamo
4 dicembre 2014 - Milano
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO2
© 2014 Davide Grassano
1 La rivoluzione digitale in Italia
2 I social media e l'impatto
3 Le minacce: chi minaccia, quali obiettivi ed effetti
4 Esempi di attacchi informatici
5 Come difenderci
6 Equilibrio tra opportunità e rischi
Agenda
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO3
© 2014 Davide Grassano
La rivoluzione digitale in Italia Tassi di crescita a valore 2014E/2013
57,4%
32,2%26,2%
15,4%
7,0%3,0% 2,5%
-1,8%Piattaforme
sweCommerce
Public &PrivateCloud
PiattaformeSocial
Piattaformehw e sw IoT
DigitalContent
MobilePayment
DigitalAdvertising
MercatoDigitale
L’Italia connessa (Giugno 2014)
La forte crescita delle piattaformee software di e-commerce e cloudstanno caratterizzando i trend dimercatoFonte: Audiweb (giugno 2014)
Fonte: Assinform/ NetConsulting, Settembre 2014
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO4
© 2014 Davide Grassano
Internet e social network
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO5
© 2014 Davide Grassano
Mobile e uso di device mobili
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO6
© 2014 Davide Grassano
Social Media
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO7
© 2014 Davide Grassano
Social media
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO8
© 2014 Davide Grassano
Scenario attuale: chi può minacciarciAccelerazione minacce:• Cresce il ruolo della tecnologia nei processi di
business e nella fornitura di servizi • Aumenta l'interdipendenza e interconnessione
tra operatori• Aggressori e le loro motivazioni sono
aumentate, portando nuove minacce da fonti inaspettate.• cybercriminali motivati da lucro sempre più
pericolosi• terroristi che mirano a causa politica e
l'instabilità finanziaria o di causare instabilità sistemica
• vari attori che pubblicano o hanno accesso a informazioni sensibili
• Gli attacchi stanno diventando sempre più sofisticati, e si sono spostati da un focus su IT a piattaforme di produzione, raffinerie, impianti e servizi.
Albert Gonzalez (Hacker)
Julian Assange (Wikileaks)
Kweku Adoboli (UBS trader)
Anonimous
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO9
© 2014 Davide Grassano
Lo scenario attuale: evoluzione delle minacce• Moltiplicazione degli attori e delle
capacità di raggiungere una pluralità di sospetti.
• Tutti sono bersagli (privati, aziende, istituzioni).
• Le nuove piattaforme sono bersagli più vulnerabili e spesso hanno debolezze che vengono sfruttate. Gli aggiornamenti di release del software per problemi di sicurezza sono diventati sempre più frequenti.
• Le difese tradizionali vanno rinforzate con varie misure tra di loro complementari.
• Violazione di target prima impensabili inclusi Governi, Agenzie, Aziende leader.
• Il ROI per gli attaccanti è elevatissimo mentre il rischio per gli attaccanti è bassissimo.
Fonte: rapporto CLUSIT 2014
84% degli attacchi è per spionaggio o reati
informatici (frodi)
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO10
© 2014 Davide Grassano
Possibili effetti delle minacce• Danno di immagine• Compromissione dei dati dei clienti• Perdita economica• Perdita di clienti• Non conformità a normativa (D.Lgs. 231, privacy)• Indisponibilità dei processi di business• Perdita dei dati dei clienti sui vari servizi
– Gestione Contabilità– Gestione Paghe– Invio Telematico– Archiviazione Sostitutiva– Servizi Fiscali
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO11
© 2014 Davide Grassano
Nel corso degli ultimi anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell’arsenale di strumenti “cyber” a disposizione di eserciti, servizi segreti, polizie, terroristi, mercenari, gruppi antagonisti e corporations.Alcuni fatti (noti) tra i più eclatanti:• utilizzati attivamente da Anonymous, S.E.A. e terroristi• utilizzati attivamente dai Governi e dai relativi Servizi Segreti• utilizzati contro concorrenti e privati
Lo scenario dei social media
Tutti questi malware non sono “visti” dagli antivirusFonte: G Data Software 2014
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO12
© 2014 Davide Grassano
Attacchi informatici
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO13
© 2014 Davide Grassano
Attacchi informatici
Gli attacchi riguardano
anche i pagamenti
on line
Sono attaccati
ogni giorno aziende
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO14
© 2014 Davide Grassano
Attacchi informatici
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO15
© 2014 Davide Grassano
Siamo soggetti ad un livello rilevante di attacchi informatici
Gli utenti italiani
rientrano tra i target
oggetto di attacco
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO16
© 2014 Davide Grassano
Attacchi informatici
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO17
© 2014 Davide Grassano
Attacchi informatici
Gli attaccati non
risparmiano nessuno
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO18
© 2014 Davide Grassano
Attacchi informatici
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO19
© 2014 Davide Grassano
Attacchi informatici
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO20
© 2014 Davide Grassano
Come difenderci
Per monitorare gli eventi su tutti i device a perimetro della nostra attività
Per correlare gli eventi alla ricerca di anomalie
Per avere una capacità di reazione rapida in caso di attacco
Per tenere sotto controllo gli accessi a dati e infrazioni
Per garantire un processo sistematico di continuità aziendale
Per ridurre gli impatti in caso di attacco (gestione della crisi)
Per bilanciare rischi e opportunità sia ad uso interno che come servizio per i clienti.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO21
© 2014 Davide Grassano
Le implicazioni
Nel corso degli ultimi anni l’innovazione tecnologica ha condotto alla necessità di gestione di alcune novità che hanno significativamente presentato impatti sull’IT e sulla sicurezza dei nostri dati.
– L’adozione da parte delle aziende di soluzioni nate per i consumatori è sempre più diffusa, soprattutto in funzione dei costi limitati e della riduzione della complessità di gestione IT.
– La consumerizzazione in ambito IT ha condotto ad un trend in costante aumento relativamente all’utilizzo di dispositivi mobili e di piattaforme software che sono molto più vulnerabili rispetto all'informatica tradizionale.
– La crescita e la diffusione di Social Network è in continua espansione e rappresenta una nuova modalità di scambio di informazioni ormai consolidata che presenta maggiori vulnerabilità e il rischio di perdita di dati.
!Tali novità hanno introdotto da un lato importanti cambiamenti nell’ambito delle modalità di gestione delle informazioni e conseguentemente hanno introdotto nuovi rischi che necessitano di essere gestiti. Inoltre l'attuale scenario richiede sempre più una gestione dei rischi integrata ed efficace.
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO22
© 2014 Davide Grassano
Costruire un giusto equilibrio fra opportunità e rischi
Come qualunque rivoluzione tecnologica siamo di fronte a cambiamenti che portano sia opportunità di business e miglioramento aziendale sia rischi di gestione ed eccessivi costi.
I device mobili non sono una moda passeggera ma la naturale evoluzione delle interfacce utente usate dagli attuali sistemi IT; è imperativo iniziare a considerare quindi i pro ed i contro della loro adozione anche in ambito aziendale.
Rischi
– Perdita delle informazioni
– Frodi, perdite o costi aggiuntivi
– Accesso a informazioni dei clientie rischi reputazionali
– Rapida obsolescenza tecnologica
– Adozione di strategie inefficaci di gestione della sicurezza
Opportunità
– Maggior efficienza e riduzione dei costi
– Nuovi servizi
– Aumentata flessibilità dei processi
– Soddisfazione degli utenti e taglio dei costi (consumerization)
ProContro
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO23
© 2014 Davide Grassano
Iniziative di sicurezza
Rapporto Clusit 2014
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO24
© 2014 Davide Grassano
Rischi per esposizione a internet e social network delle informazioni dello studio
Identity assurance: la totale inattendibilità delle fonti è spesso veicolo per attacchi fraudolenti, diversamente da quanto succede nella vita quotidiana “off-line” dove, per operazioni considerate “critiche” o “rilevanti” ci si serve di metodi di identificazione e registrazione puntuale del soggetto interessato.
Profilazione utenti: molti utenti non sono coscienti del fatto che ogni loro pubblicazione, ogni loro commento ed ogni pagina visualizzata sui social network è un input per i motori di profilazione che costruiscono a insaputa degli utenti un profilo virtuale molto dettagliato per offrire loro contenuti adeguati ai loro interessi. Acquisizione info sui contatti: La natura dei Social Network consente senza particolari difficoltà di acquisire, da parte di un utente malintenzionato, delle informazioni preziose sui contatti che vengono posti, spesso inconsapevolmente, a fattor comune tra i partecipanti al network. Il tasto like: utilizzando la funzione like si dà implicitamente il consenso al tracciamento di tutte le interazione dell’utente per un periodo di due anni ad uso del gestore del Social Network.
Data leakage: gli utenti dei social network non hanno in genere la percezione su quali tipologie di informazioni possano essere pubblicate e quelle la cui diffusione potrebbe arrecare un potenziale dannoSocial Engineering: si intende lo studio del comportamento individuale di una persona al fine di ottenere informazioni utili e confidenziali riguardo la realtà aziendale presso la quale la vittima lavoraCybercrime: Oggi è possibile acquistare con pochi euro i dati di una carta di credito e anche una carta di credito contraffatta e si possono anche ottenere le coordinate bancarie. Ogni giorno vengono bloccati fino a centinaia di migliaia account di Facebook a seguito di vari tentativi di accesso abusivo e milioni di computer sono stati infettati da applicazioni maligne.
Sostituzione e furto di identità: La natura libera e non controllata di Internet, la mancanza di un riscontro sulla effettiva identità di chi apre un profilo sui Social Network, sono fattori che consentono ad un malintenzionato di sostituirsi con facilità ad una persona terza. Geolocalizzazione: L’identificazione della posizione geografica nel mondo reale espone l’utente ad una serie di rischi
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO25
© 2014 Davide Grassano
Social media e gestione delle informazioni
Rischi per comportamenti degli utilizzatori - Gestione impropria credenziali di accesso- Gestione impropria dei servizi sul
dispositivo- Comunicazioni non sicure e disclosure di
dati
Rischi correlati agli strumenti- Virus informatici- Hacking e Sniffing- Malfunzionamento
- Danneggiamento dispositivi
Rischi per contesto fisico-ambientale - Furto o smarrimento- Indisponibilità delle infrastrutture
centralizzate
Rischi privacy- Acquisizione dati di localizzazione senza
opportuna informativa agli utenti- Profilazione utente senza consenso
Socialmedia
Speciale considerazione per i rischi correlati a social e mobile
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO26
© 2014 Davide Grassano
Possibili approcci e protezione delle informazioniSfruttando l'offerta tecnologica dovuta alla già massiccia diffusione dei device mobile in azienda è possibile gestire e mettere in sicurezza in modo tattico quanto presente (device management, policy, messa in sicurezza); si propone parallelamente una visione strategica che veda un giusto peso degli aspetti di sicurezza. Una volta acquisiti gli strumenti è possibile pensare di implementare o ridisegnare parte dei processi aziendali per usare i nuovi mezzi disponibili.
Leveragingtecnologico
Miglioramento di processo
Consumerization
E’ quindi possibilesfruttare appieno
l’attuale tendenza alla “consumerization”
L’adozione dei nuovi strumenti consente il miglioramento di
processo ed aumentata flessibilità
Sfruttando l’iniziale appeal verso le nuove tecnologie si propongono strategie
sostenibili
La gestione dei rischi introdotti dall’innovazione tecnologica, necessita di un approccio integrato e che consideri tutte le fasi del ciclo di vita delle informazioni, comprese la diffusione (es: pubblicazione su social, invio tramite e-mail, sms, etc) e la memorizzazione (ad es tramite servizi di cloud).
Analisi del contesto e degli obiettivi
Classificazione dei dati
Analisi dei rischi
Definizione strategie
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO27
© 2014 Davide Grassano
Come proteggere i nostri dati
Grazie
S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO