Un categoria in crescita ed aperta Nuove opportunità di ingresso

Transcript

1 GOOD POINT GOOD POINT GOOD POINT SICUREZZA INFORMATICA L evoluzione dell Information Security in Italia Gianluca Di Tomassi Vicepresidente Area IT Commissione Informatica e Telecomunicazioni Ordine degli Ingegneri della Provincia di Roma Milano 31 gennaio 2008 La commissione Informatica e Telecomunicazione La Commissione si occupa di formazione continua e certificata; redazione di best practices e linee guida; identificazione dei ruoli e delle cooperazioni professionali più funzionali; indicazioni di criteri per la stima dei tempi e dei costi; tutela degli ingegneri dipendenti e non. pareri di massima su tematiche di interesse generale. Aderisce al Comitato di Coordinamento delle Commissioni ICT degli Ordini provinciali. Milano 31 gennaio Un categoria in crescita ed aperta Nuove opportunità di ingresso Lauree brevi (abilitano ad attività di complessità minore) Uomini Donne Totale Frequentazione ai corsi telematica nei luoghi e nei tempi più opportuni. Percorsi di studio mirati al settore di interesse e sinergici con l attività on going. Capitalizzazione dell esperienza maturata sul campo sia in termini di crediti sia di competenze. (fonte Inarcassa) Milano 31 gennaio Milano 31 gennaio

2 Quadro normativo Siti in rete Ai sensi dell art. 46 del DPR. N 328/2001 le attività del "settore dell'informazione di pianificazione, progettazione, sviluppo, direzione lavori, stima, collaudo e gestione di impianti e sistemi elettronici, di automazione e di generazione, trasmissione ed elaborazione delle informazioni sono assegnate agli ingegneri iscritti all Ordine professionale. Questi superato lo specifico esame di stato per l abilitazione all esercizio della professione sono soggetti al codice deontologico della categoria. e Milano 31 gennaio Milano 31 gennaio Riferimenti Sommario Presidente Dott. Ing. Francesco Marinuzzi, Ph.D. (tel francesco@marinuzzi.it ) Vice Presidente (area Telecomunicazioni) Dott. Ing. Alessandro Alessandroni (tel alessandroni@cnipa.it ) Vice Presidente (area Informatica) Dott. Ing. Gianluca Di Tomassi (tel info@ditomassi.it ) anni 90 La sicurezza informatica del Milano 31 gennaio Milano 31 gennaio

3 Sommario Qualche dato anni 90 La sicurezza informatica del Milano 31 gennaio Milano 31 gennaio Qualche dato Qualche dato Milano 31 gennaio Milano 31 gennaio

4 Qualche dato Qualche dato Milano 31 gennaio Milano 31 gennaio Sommario anni 90 anni 90 La sicurezza informatica del Agli inizi degli anni 90 in Italia i principali utilizzatori della rete erano le università e i centri di ricerca, le reti locali erano ancora alquanto eterogenee e l uso domestico di Internet e del computer non era ancora stato immaginato L attenzione verso la sicurezza informatica intesa come problematica a sé stante degna di appropriati investimenti, anche nel settore della ricerca, era limitata: l approccio più diffuso era quello di ignorare il problema finché le circostanze non costringevano a prenderlo in considerazione Milano 31 gennaio Milano 31 gennaio

5 anni 90 L insieme di questi due fattori (omogeneità dell ambiente e scarsa attenzione delle vittime) contribuiva a formare una classe di attaccanti estremamente preparata contrapposta ad una classe di vittime molto spesso completamente indifese. L attacco risultava in molti casi un virtuosismo tecnologico, volto a soddisfare il narcisismo degli attaccanti, che agivano nel contesto di un sostanziale vuoto legislativo (la prima legge italiana che configura specificatamente il reato di frode informatica è del 1993 e solo dal 1999 esiste una Polizia Postale e delle Comunicazioni, specializzata negli interventi legati a reati informatici). L attacco più diffuso era l accesso non autorizzato con la conseguente compromissione del file delle password e dell account di amministrazione Milano 31 gennaio anni 90 A metà degli anni 90 lo scenario cambiò radicalmente grazie principalmente a due fattori: 1. introduzione del Word Wide Web; 2. disponibilità di sistemi operativi Unix-like open source come Linux e FreeBSD. dal punto di vista della sicurezza informatica: 1. Grande varietà di ambienti e protocolli; 2. diffusione della figura del provider, (fornisce la connettività ai propri clienti, senza alcun vincolo organizzativo); 3. la gestione dei server smette di essere patrimonio dei soli operatori e sistemisti cresciuti nei CED. Milano 31 gennaio anni 90 In questo nuovo contesto diventa più facile scatenare un attacco e per portarlo a termine servono, mediamente, meno competenze. Alla figura dell attaccante degli inizi,con alta competenza tecnica si aggiungono gli script kiddies gli script kiddies scaricano dalla Rete programmi preconfezionati per portare a termine attacchi anche alquanto sofisticati. La sicurezza informatica fa notizia e diventa un tema di ricerca di punta anni 90 Nel campo degli attacchi la novità che chiude il decennio ruggente di Internet e apre il nuovo millennio sono i cosiddetti attacchi Distributed Denial of Service (DDos) che compromettono la disponibilità di un servizio, sfruttando la complicità, spesso inconsapevole, di decine di macchine della rete. Nel febbraio 2000 uno di questi attacchi mette in ginocchio per varie ore grandi portali commerciali quali yahoo.com, amazon.com, e-bay.com. Milano 31 gennaio Milano 31 gennaio

6 anni 90 La sicurezza diviene uno dei fattori abilitanti per quella nuova attività che prende il nome di commercio elettronico, assai diffuso negli Stati Uniti e ai suoi albori nel nostro Paese. Sommario anni 90 La sicurezza informatica del Milano 31 gennaio Milano 31 gennaio anni 2000 anni 2000 Nei primi anni del nuovo millennio il contesto è di nuovo differente. Da un lato l opera di sensibilizzazione ha avuto effetto e gli utilizzatori di sistemi informatici sono oggi molto più attenti alla loro sicurezza e tutela della privacy degli anni precedenti. Gli strumenti, tecnologici e giuridici, sono aumentati significativamente. Si pensi, ad esempio, alla completa scomparsa delle connessioni telnet, ormai sostituite dalle più sicure ssh, e alla comparsa nelle legislature di vari paesi di leggi per la protezione dei dati personali gestiti con sistemi informatici, quali la Legge 675 in Italia seguita poi dal D.Lgs 196. D altra parte, l eterogeneità e la complessità degli ambienti è ulteriormente aumentata, aprendo nuove sottili possibilità di intrusione. La diffusione di connessioni radio (wireless) ha aperto nuovi fronti d attacco di difficile difesa, in quanto intrinsecamente accessibili a tutti (broadcast communication). Milano 31 gennaio Milano 31 gennaio

7 Sommario anni 90 La sicurezza informatica del Per ogni dollaro speso in IT circa 15 centesimi sono investi in tecnologie di sicurezza Milano 31 gennaio Milano 31 gennaio Nel 2002 il 36% degli intervistati dichiarava di NON aver sofferto alcun incidente di sicurezza nel 2007 solo il 20% 4 su 10 sanno quanti incidenti Più della metà non sa che tipo di attacco la sicurezza è migliorata?? Solo 3 sanno il metodo d attacco Milano 31 gennaio Milano 31 gennaio

8 Solo il 29% ha riportato la cosa agli enti preposti L Italia nel mese di dicembre 2007 si posiziona al terzo posto tra i Paesi più colpiti da attacchi di phishing alle istituzioni finanziarie, con un 6% del totale. Nel mese di novembre 2007, sono state registrate 9 istituzioni finanziare sottoposte ad attacco, per un totale di 508 attacchi. Rapporto di novembre sullo stato delle frodi online nel mondo, redatto da RSA, The Security Division of EMC, che sottolinea come le frodi online siano sempre più evolute e sofisticate, con phishing e pharming tra i crimini tecnologici più utilizzati. Milano 31 gennaio Milano 31 gennaio Rapporto sulla sicurezza ICT nella PAC Rif. Anno novembre Fonte CNIPA Indagine basata su 49 quesiti e 4 indicatori chiave presso le Pubbliche amministrazioni centrali. Risultato: insufficiente attenzione di fondo al risvolto informatico per se stesso e più in particolare la scarsa attenzione all adeguamento organizzativo necessario per garantire la sicurezza informatica. 1 Rapporto sulla sicurezza ICT nella PAC Rif. Anno novembre Fonte CNIPA Contro: il 61% del campione non ha mai approntato o previsto un piano di formazione volto a stimolare negli utenti dei sistemi informativi una maggiore sensibilità al tema della sicurezza ed una maggiore capacità di affrontare consapevolmente condizioni critiche 10 Amministrazioni affermano che non hanno mai effettuato un analisi dei rischi connessi alla sicurezza informatica Milano 31 gennaio Milano 31 gennaio

9 1 Rapporto sulla sicurezza ICT nella PAC Rif. Anno novembre Fonte CNIPA Contro: Nella sicurezza dei servizi, c è una sostanziale disomogeneità ad esempio sul tema della continuità operativa che non ancora avvertito come fattore cruciale per la robustezza dell intero impianto e per la qualità dell intero impianto e per la qualità dei servizi offerti Nella rilevazione di intrusioni, attività inevitabile per qualsiasi sistema connesso ad internet per prendere le necessarie contromisure ed evitare accessi non autorizzati, o attacchi i risultati sono stati scadenti. 1 Rapporto sulla sicurezza ICT nella PAC Rif. Anno novembre Fonte CNIPA Contro: sul piano dell organizzazione intera rimangono ancora disattese le norme emanate da tempo e che in generale la cultura della sicurezza è rimasta appannaggio degli addetti ai lavori, ma i piani di formazione e sensibilizzazione sul tema sono ancora poco diffusi Milano 31 gennaio Milano 31 gennaio Rapporto sulla sicurezza ICT nella PAC Rif. Anno novembre Fonte CNIPA Pro: sicurezza dell organizzazione si è riscontrata una propensione molto maggiore ad attuare piani per la sicurezza fisica e logica rispetto a dedicare energie per adeguare la propria organizzazione. sicurezza delle infrastrutture, sono stati rilevati risultati molto incoraggianti, soprattutto per quanto riguarda la sicurezza perimetrale, quella del controllo degli accessi fisici e le reti in genere, investendo coerentemente sforzi e risorse Milano 31 gennaio Rapporto sulla sicurezza ICT nella PAC Rif. Anno novembre Fonte CNIPA Pro: ben 32 amministrazioni, ossia il 65% del campione, si collocano in una posizione più che soddisfacente. molte Amministrazioni hanno già emesso o intendono dotarsi di un documento per le politiche di sicurezza delle infrastrutture telematiche attraverso cui diffondere norme interne relative alla sicurezza dei sistemi informativi. Milano 31 gennaio

10 Sommario anni 90 La sicurezza informatica del Convergenza dei dispositivi Più persone utilizzeranno il PC Più dispositivi mobili che fissi Maggiore interazione su internet La sicurezza informatica del Social networking sempre più popolare (ambienti virtuali sempre più frequentati) Milano 31 gennaio Milano 31 gennaio La sicurezza informatica del La sicurezza informatica del Web 2.0: Compromissioni e malware su Salesforce.com, Monster.com e MySpace, tra gli altri, rappresentano una nuova tendenza di attacco verso applicazioni online e siti di social networking. Gli attentatori stanno utilizzando i siti Web 2.0 come modalità di diffusione del malware e stanno recuperando dal Web i dati, cercando tra le informazioni che le persone condividono, per conferire ai propri attacchi maggiore autenticità. Instant Malware: L arrivo di un worm flash che passa attraverso le applicazioni di instant messaging era previsto da anni. Questa minaccia potrebbe interessare milioni di utenti a livello globale in pochi secondi. Ci sono già stati casi di malware che si diffonde via IM, ma non è ancora vista come una minaccia auto-eseguibile. Tuttavia, tale minaccia potrebbe essere estremamente vicina dal momento che il numero di vulnerabilità delle applicazioni di instant messaging più diffuse è più che raddoppiato nel 2007 rispetto al 2006 Milano 31 gennaio Milano 31 gennaio

11 La sicurezza informatica del gaming online: La minaccia per le economie virtuali sta superando la crescita delle minacce all economia reale. Poiché gli oggetti virtuali acquisiscono sempre più valore reale, un numero crescente di attentatori cercheranno di approfittarne. Ed è presto dimostrato: il numero di Trojan che rubano le password indirizzati a chi gioca online nel 2007 è cresciuto più rapidamente rispetto al numero di Trojan volti a colpire le banche. La sicurezza informatica del I phisher : I cybercriminali prenderanno di mira in maniera crescente i siti più piccoli e meno famosi attraverso truffe di phishing per il furto di dati. È diventato più difficile e rischioso indirizzare gli attacchi ai siti maggiormente noti poiché i più grandi brand stanno rispondendo in maniera più rapida e stanno fornendo anche maggiore sicurezza. Sapendo che una grande percentuale di persone riutilizza gli stessi username e password, è probabile che i siti meno conosciuti siano presi di mira in maniera più frequente rispetto al passato, fornendo ai criminali lo stesso accesso. Milano 31 gennaio Milano 31 gennaio La sicurezza informatica del La sicurezza informatica del VoIP (Voice Over Internet Protocol): Nel 2007, rispetto al 2006, il numero di vulnerabilità di sicurezza riportate nelle applicazioni VoIP è più che raddoppiato. Diversi attacchi di Vishing (evoluzione del phishing, effettuata tramite servizi di telefonia) di livello elevato e a una condanna per phreaking (persone che studiano, sperimentano, o sfruttano i telefoni). le minacce VoIP sono ormai affermate e non vi è alcun segno di rallentamento. La tecnologia è ancora nuova e le strategie di difesa sono al momento ancora indietro. Fonte McAfee Avert Labs prevede un aumento del 50% delle minacce connesse al VoIP nel I siti di social networking - come MySpace o Facebook -, sempre più popolari tra i giovani, pongono rischi di sicurezza per gli utenti 1/4 dei 10,8 milioni dei navigatori d oltremanica dei siti di social networking svelano online informazioni sensibili sui loro profili come le proprie coordinate bancarie o la data di nascita. Milano 31 gennaio Milano 31 gennaio

12 La sicurezza informatica del La data di nascita e il luogo di residenza sono sufficienti per intestare facilmente una carta di credito. Nel quotidiano nessuno darebbe mai queste informazioni a uno sconosciuto, al contrario lo si fa senza sforzo in rete dove tutti possono accedere. Il 15% degli utenti non usa nessuno dei sistemi previsti dai siti di social networking per rendere riservati questi dati. Il 24%, inoltre, usa la stessa password per tutti i siti. Sommario anni 90 La sicurezza informatica del Milano 31 gennaio Milano 31 gennaio Conclusioni Conclusioni Cambiare la mentalità dei dipendenti, dei consumatori e dei cittadini, che tendono a considerarsi semplici spettatori, dando loro la possibilità di diventare attori influenti, condividendo la responsabilità della sicurezza Dare priorità all educazione in materia di sicurezza. Le aziende, i vendor del settore security e gli enti governativi devono investire per educare e creare consapevolezza del problema Non ci si può permettere di affrontare le minacce alla sicurezza delle informazioni come se si trattasse di battersi solamente contro un virus, o un attacco di phishing; Le minacce implicano tecniche di social engineering (studio del comportamento individuale di una persona al fine di carpire informazioni) e tecnologia, così come il riconoscimento della fiducia e dell uso pervasivo della Rete. Milano 31 gennaio Milano 31 gennaio

13 Conclusioni Oggi, lo sforzo per mantenere al sicuro le aziende, i paesi e l identità delle persone richiede un elevato livello di coordinamento fra attori che, tradizionalmente, non collaboravano tanto strettamente quanto sarà loro necessario in futuro. I team che si occupano della sicurezza IT, le aziende, i governi, le forze dell ordine, i consumatori, i cittadini: sono tutti potenziali obiettivi di attacco, ma anche tutti potenziali alleati. Conclusioni 5 priorità sul tema della sicurezza informatica importanti per poter raggiungere il successo 1. L'integrazione della sicurezza informatica all'interno delle principali aree di business, con un conseguente incremento di visibilità e risorse. 2. Il cambiamento di prospettiva della compliance: da quella passiva, sulla base delle richieste normative e quindi imposta per legge, a quella attiva, spontaneamente prodotta dall'azienda, per cercare di avere risposte ancora migliori. 3. La capacità di gestire efficacemente il rischio derivante da rapporti con terzi. Milano 31 gennaio Milano 31 gennaio Conclusioni Conclusioni 4. La centralità dei temi della privacy e della protezione dei dati personali, mantenendo un approccio proattivo allo scopo di minimizzare i rischi ben aldilà degli obblighi di legge. 5. La progettazione e realizzazione della piena sicurezza informatica, utilizzando le richieste di conformità e le esperienze relative agli episodi negativi per originare nuovi investimenti a rafforzamento delle competenze e delle difese. GRAZIE DELL ATTENZIONE Gianluca Di Tomassi ( info@ditomassi.it ) Milano 31 gennaio Milano 31 gennaio