Vigilare, disseminare, mai dissimulare Rischi, prospettive e protezione del business delle MPMI

Transcript

1 + Vigilare, disseminare, mai dissimulare Rischi, prospettive e protezione del business delle MPMI Ing. Roberto Di Gioacchino Assintel P.R.S. Planning Ricerche e Studi srl

2 Tre anni fa ci eravamo detti che il Costo Annuale del Cyber Crime era valutato nell ordine di 100 miliardi di dollari. Vi voglio dire che oggi quell importo si è moltiplicato di parecchie volte Eugene Kaspersky I dati indicano che il Costo del Cyber Crime dovrebbe incrementarsi quest anno di circa il 40% a causa del forte incremento della minaccia di Crimini Informatici Financial Times

3 Il valore commerciale dei soli dati personali degli oltre 500 milioni di abitanti dei 28 paesi dell Unione Europea è stimato per il 2020 in circa miliardi di Euro (fonte Garante Privacy) La perdita/annua per Cybercrime è valutabile in oltre 1 punto di PIL (fonte Olanda - Centro di Studi e Ricerche Difesa); per Sistema Italia la stima si traduce in miliardi di /anno e tendenza in crescita Dei 1050 attacchi gravi censiti a livello mondiale nel 2016 solo uno riguarda imprese, istituzioni o enti italiani e nessuno le PMI (fonte Rapporto Clusit 2017) Dei 1050 attacchi gravi censiti a livello mondiale nel 2016 solo uno riguarda imprese, istituzioni o enti italiani e nessuno le PMI (fonte Rapporto Clusit 2017)

4 Stime annuali delle vittime del Cyber Crime 556 milioni di vittime nell anno oltre 1,5 milioni di vittime ogni giorno 18 vittime per secondo oltre 232,4 milioni di identità esposte oltre account Facebook sono compromessi ogni giorno 1 utente su 10 dei social network dichiara di esser stato vittima di una truffa o di un link fake sulle piattaforme di social network

5

6 Minacce ½ Miliardo di dati personali rubati o persi 100 Nuove famiglie di Ramsonware 100 Milioni di fake technical support scams blocked 52 Zero-day vulnerability nel % phishing/ social engineer. 96 Milioni di nuove varianti di malware Transazioni Economiche on-line POS IOT Target Dispositivi mobili Social network

7 Grandi organizzazioni Budget crescenti per il contrasto al cyber crime Nel 2018 il 40% delle grandi aziende avrà adottato sistemi di difesa dagli attacchi informatici Fonte: Dati Gartner, Lorenzo Sorbini, Key4biz, ,

8 PMI e piccole organizzazioni Obiettivi facili (anche per strategie obsolete) Concentrati sul business e poco o niente sulle difese Inconsapevoli dei rischi Non in grado di rilevare i furti subiti Sicurezza percepita solo come costo Punto di attacco alle grandi aziende Soggetti su cui sperimentare nuove tecniche Fonte: Linee guida per la sicurezza informatica nelle PMI, UNICRI

9 E le Start Up? Le startup sono incredibilmente vulnerabili agli attacchi cyber nei loro primi 18 mesi. Si pensa di esser troppo piccoli per interessare i cybercriminali e pertanto ci si crogiola dietro a un falso senso di sicurezza Brian Birch - Symantec ma è un vizio che passa?

10 PMI e piccole organizzazioni Furto di IP Sito web deturpato (defaced) Inserimento in Blacklist Frodi nel commercio elettronico DOXed (pratica di ricercare e trasmettere informazioni private o identificabili su un individuo o un organizzazione) Interruzioni da DDOS Perdite di Password o di dati di pagamento Compromissione di partner Fonte: Linee guida per la sicurezza informatica nelle PMI, UNICRI

11 PMI e piccole organizzazioni - Consapevolezza 2/3 delle PMI non ha mai pensato di essere vittima Il 44% delle violazioni nel 2014 sfruttavano vulnerabilità di 2 anni prima Scarsissimo livello di attenzione e consapevolezza degli utenti Uno promiscuo delle risorse/infrastrutture Pochi ritengono i pericoli informatici una minaccia reale per il proprio contesto Scarsa protezione dei dispositivi mobile e uso privato/aziendale Scarsa propensione a denunciare

12 PMI e piccole organizzazioni - Impatti Danni di immagine e reputazionali Interruzione (temporanea o definitiva) dell attività Risarcimenti a clienti e fornitori Perdita di know-how Riduzione di competitività.

13 Quante sono le PMI EUROPA ITALIA 99,98% 57,6% 99,99% 68% PMI Ricchezza PMI Ricchezza Circa 20 milioni di imprese 86,8 milioni di lavoratori Circa 3,7M di cui 3,5 MPMI 12 Milioni di lavoratori

14 è un neonato è in salute però non è il suo e non è neppure maschio! e se fossero i nostri dati?

15 Sistemi di produz./gestione (es. applicazioni SW, impianti a controllo numerico, SCADA, Amministrazione ecc.) Organizzazione (azienda/ente/amministrazione) Dati (in ns. data center oppure gestiti in cloud) Stakeholder (azionisti, clienti, fornitori e chiunque altro interessato a ns. prodotti e/o servizi)

16 tutto è tranquillo nel ns. data center quando è sferrato l attacco cyber i sistemi di alimentazione, di monitoraggio e di supporto operano al meglio

17 Fase 1 - Irruzione

18 Fase 2 - Insediamento

19 Fase 3 - Espansione

20 Fase 4 - Sfruttamento

21 Fase 5 - Disimpegno

22 e se fossero i nostri dati?

23 Queste sono soddisfazioni! Quest azienda ha fatto proprio il suo dovere Ora vedrà cosa lo attende! Cosa non ha funzionato? Perché non funziona? Rifunzionerà? Cos è successo ai MIEI DATI? eppure il modulo G1ter dice che Rivoglio i MIEI DATI!!!! ORAAAAA!

24 Come prevenire la minaccia cyber? Soluzione tradizionale Non è detto sia la migliore soluzione! Non è detto sia sufficiente! Protezione aggiuntiva Protezione iniziale

25 Facciamo un salto fino ai nostri giorni Obiettivo dell attacco: azienda multinazionale operante nel settore media & entertainment Autore dell attacco: gruppo Lulz Security (LulzSec) Effetti dell attacco: Tipologia di attacco: compromissione dei dati relativi a 77 milioni di utenti SQL Injection (rischio elevato OWASP Top10) fatto (più o meno) -- così

26 Utente Password roberto apritisesamo login SELECT ID_Utente FROM Utenti WHERE UserName= 'roberto' AND Password= 'apritisesamo'; Utente Password roberto -- non_so login SELECT ID_Utente FROM Utenti WHERE UserName= 'roberto' --' AND Password= 'non_so';

27 Come prevenire la minaccia cyber? Best practice (esempio imprese ICT USA)

28 Cosa serve alle PMI Un approccio Flessibile Personalizzato Economico 6 aree di indagine e di risultato f ocus sul rischio

29 aree di indagine e di risultato Organizzazione, processi e risorse Consapevolezza Cyber Risk e Control Assessment Risk Mgmt Minacce/Vulnerab. f 6 ocus sul rischio Gestione incidenti Cyber Governo sicurezza Cyber

30 modalità aree di indagine e di risultato + Light Approfondito Continuativo

31 + benefici Stato dell arte organizzazione per la sicurezza infrastruttura applicazioni Prima valutazione del grado di esposizione alla minaccia cyber Identificazione delle aree di intervento prioritario

32 in + + benefici Analisi del rischio Analisi delle vulnerabilità (rete, applicazioni, codice sw ) Ethical hacking Ruoli e responsabilità Procedure

33 in + + benefici in + Ripetizione periodica Monitoraggio iniziative Analisi causale eventi/incidenti Supporto alla governance

34 Personalizzazione per PMI e piccole organizzazioni Piani Principi Risorse Fornitori Umane Fornitori Infrastrutture Protezione 6 ambiti approcciabili in modo Incrementale (buttom-up) funzionali a Vigilare lo stato di sicurezza del proprio business Disseminare standard e best practice Mai dissimulare criticità (anche verso terzi)

35 Personalizzazione per PMI e piccole organizzazioni Piani Principi Risorse Fornitori Umane Fornitori Infrastrutture Protezione Protezione del business attraverso misure minime Gestione delle password scorrelate all utente modificate periodicamente conservate non condivise Gestione evoluta (es. trasmesse/verificate via SMS) Antivirus Aggiornamenti del software Backup con storage sicuro

36 Personalizzazione per PMI e piccole organizzazioni Piani Principi Risorse Fornitori Umane Fornitori Infrastrutture Protezione Assessment su proprio hardware, tecnologie e infrastrutture Dispositivi Laptop Desktop Servers Dispositivi mobili Periferiche Cessioni dei dispositivi Luoghi fisici

37 Personalizzazione per PMI e piccole organizzazioni Piani Principi Le falle della sicurezza vengono spesso attraverso la propria rete Risorse Fornitori Umane Fornitori Infrastrutture Protezione

38 Un approccio economico Nessun investimento Solo ciò che serve quando serve e per il tempo necessario Identity & Access Management Firewall & Network management security Security assessment Intrusion Detect. & Prevent. Data loss prevention Incident handling BC & DR Event correlation Security consulting Penetration. testing. Vulnerability management Encryption Forensic Analysis Protection Risk as a Services Security

39 6 + aree di indagine e di risultato cyber security ocus sul rischio f 6 ambiti modalità + benefici

40 se 6 +, consapevole cyber security già 6 + sicuro!

41 Grazie per l attenzione!