Cyber crime in Italia la situazione dal Rapporto OAD 2016 e pragmatici suggerimenti su come proteggersi

Transcript

1 Marco R.A. Bozzetti Presidente AIPSI Ideatore e curatore OAD CEO Malabo Srl Cyber crime in Italia la situazione dal Rapporto OAD 2016 e pragmatici suggerimenti su come proteggersi

2 AIPSI, Associazione Italiana Professionisti Sicurezza Informatica Capitolo italiano di ISSA, Information Systems Security Association, ( >> Soci, la più grande associazione non-profit di professionisti della Sicurezza ICT ISSA Journal, Webinar, Conferenze, AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i professionisti della sicurezza, sia dipendenti sia liberi professionisti ed imprenditori del settore Primari obiettivi AIPSI Aiutare i propri Soci nella crescita professionale e quindi del loro business offrire ai propri Soci qualificati servizi per tale crescita diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli utenti digitali, Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce Collaborazione con varie associazioni ICT ed Enti per eventi ed iniziative congiunte: AICA, Anorc, i vari ClubTI sul territorio, CSA Italy, FidaInform, Inforav, Polizia Postale, Smau, ecc. 2

3 OAD, Osservatorio Attacchi Digitali in Italia (ex OAI) Che cosa è Indagine via web cui liberamente rispondono i diversi interlocutori: il Rapporto annuale non ha stretta validità statistica ma fornisce chiare e valide indicazioni sulla situazione e sul trend in Italia, basilari per un efficace analisi dei rischi ICT Obiettivi iniziativa Fornire informazioni sulla reale situazione degli attacchi informatici in Italia Contribuire alla creazione di una cultura della sicurezza informatica in Italia Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica Che cosa fa Indagine annuale condotta attraverso un questionario on-line indirizzato a CIO, CISO, CSO, ai proprietari/ceo per le piccole aziende Gruppo OAI su Linked Come Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i costi di realizzazione) Stretto anonimato sui rispondenti al questionario on line via web Collaborazione con numerose associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori 3

4 Le precedenti edizioni OAI 4

5 Rapporto 2016 OAD In corso di completamento, sarà pubblicato il 20 luglio 2016 Workshop-conferenza stampa di presentazione dei risultati il 20 luglio 2016 Chi fosse interessato a ricevere il Rapporto 2016 lasci il suo biglietto da vista con . Gli verrà inviato il codice coupon per scaricare (gratuitamente) il Rapporto OAD

6 Gli attacchi digitali in Italia: una anteprima dal Rapporto

7 Le risposte al Questionario 2016 OAD Questionario online via web con 65 domande e risposte, multiple o singola, da selezionare con un click tra quelle predefinite Risposte completamente anonime Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di Malabo, di NextValue, dei Patrocinatori 294 rispondenti in totale 7

8 Attacchi rilevati nel 2015 Più di 10 casi 9,4% 37,6% Meno di 10 casi 28,2% Mai o non rilevato 62,4% OAD ,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% % rispondenti 8

9 % rispondenti Confronto percentuale degli attacchi rilevati nelle varie edizioni di OAI-OAD (indicatore di trend NON STATISTICO) 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% OAD Mai o non rilevati Meno di 10 Più di 10 9

10 Numero dipendenti per Azienda/Ente Percentuale numero di attacchi ripartiti per dimensione di azienda/ente > ,0% 50,0% 50,0% ,4% 28,6% 50,0% ,3% 13,3% 26,7% 25,0% 60,0% 66,7% Più di 10 casi Meno di 10 casi Mai ,7% 40,0% 53,3% < 50 9,6% 42,3% 48,1% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% % rispondenti OAD

11 Ripartizione percentuale per tipologia di attacco (risposte multiple) Furto info da risorse fisse APT e TA Acc. non aut. Dati Furto info da PdL mobili Acc. non aut. Programmi Attacchi sic. fisica Acc. non aut. Sis. Attacchi reti Sfrut. vulnerabilità Ricatti ICT Saturaz. risorse Furto disp. Social Eng. Malware 9,2% 9,8% 11,1% 13,7% 14,4% 15,7% 15,7% 19,6% 27,5% 29,4% 29,4% 34,0% Sempre ai primi 4 posti nelle 6 edizioni OAI-OAD 71,9% 78,4% OAD ,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% % rispondenti 11

12 Attacchi nei servizi in cloud (risposte multiple) NO 75,6% Non vengono utilizzati servizi in cloud 27,7% Non so 19,3% SI nei servizi SaaS 3,4% SI nei servizi IaaS 2,5% SI nei servizi PaaS 0,0% OAD ,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% % Rispondenti 12

13 Impatto degli attacchi subiti OAD ,6% 85,4% Impatto poco significativo Impatto molto significativo 13

14 Quali gli attacchi più temuti nel prossimo futuro? (risposte multiple) Codici maligni (malware) Attacchi di Social Engineering, incluso il Phishing Ricatti sulla continuità operativa Sfruttamento vulnerabilità del codice software Furto di informazioni da dispositivi mobili Attacchi alle reti e ai DNS Saturazione risorse ICT Accesso a e uso non autorizzato dei sistemi (host - 1 Livello) Accesso a e uso non autorizzato dei dati trattati (3 Livello) Accesso a e uso non autorizzato dei programmi software (2 Livello) Furto di informazioni da dispositivi fissi Furto apparati ICT TA e APT Attacco fisico 4,2% 7,6% 37,0% 34,5% 27,7% 26,1% 25,2% 21,0% 16,8% 16,0% 15,1% 44,5% 54,6% 73,9% OAD ,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% % rispondenti 14

15 Quali le motivazioni degli attacchi? (risposte multiple) Frode informatica 52,1% Ricatto o ritorsione 51,3% Hacktivism 34,5% Vandalismo 33,6% Sabotaggio 28,6% Azione Dimostrativa 22,7% Spionaggio (anche industriale) 21,8% Terrorismo 6,7% OAD ,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% % rispondenti 15

16 Come proteggersi? Alcune considerazioni «pratiche» 16

17 Sicurezza digitale non solo un problema tecnico La sicurezza dell ICT è un elemento chiave per: garantire la continuità operativa dell Azienda o dell Ente La Business continuity è un problema di business le informazioni e le risorse ICT che li trattano sono un asset e come tali vanno protette garantire la compliance alle varie normative e certificazioni 17

18 La sicurezza globale ICT Sicurezza fisica Sicurezza Globale ICT Sicurezza logica Aspetti organizzativi: Procedure e normative Ruoli & responsabilità 18

19 Le misure tecniche Le misure tecniche ed organizzative tradizionali di prevenzione e protezione possono non essere sufficienti per individuare e contrastare attacchi come TA e APT ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc. Analisi e gestione dei rischi sistematiche Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale, fuzzy logic, statistica bayesiana, ecc. Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni), del loro utilizzo ed analisi di eventuali anomale variazioni rispetto alla normale media Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, ) Analisi dei log degli utenti e soprattutto degli operatori di sistema Scannerizzazione intelligente delle sorgenti di connessioni e di dati Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi Tecniche euristiche per problem solving 19

20 Le misure organizzative Nuovo regolamento europeo sulla privacy Non sono burocrazia Non sono solo per le grandi strutture Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed internazionali Includono: Chiara e pubblica definizione di ruoli e competenzeseparazione dei ruoli (SoD, Separation of Duties) matrici RACI Definizione delle Policy e delle relative procedure organizzative Definizione dei controlli e di come attuarli Selezione e controllo del personale e dell uso dell ICT Auditing Analisi dei log degli operatori e degli utenti ICT Radiazione dei sistemi obsoleti Sensibilizzazione, formazione, addestramento degli utenti e degli operatori ICT (interni o terzi) 20

21 L effettiva sicurezza ICT dipende da come viene gestita Sia dal punto di vista tecnico Può essere terziarizzata Sia dal punto di vista organizzativo e del personale Deve essere gestita internamente Forte «commitment» dal vertice aziendale Fondamentale avere strumenti di misura e controllo, usati sistematicamente Fare riferimento agli standard ed alle best practice consolidate: Famiglia ISO 27000, Cobit 5 (4.1- DS5), ITIL v.3, ecc. 21

22 Come scegliere fornitori e consulenti realmente competenti? La maggior parte delle aziende e degli enti (PAL) italiani sono dimensionalmente piccoli, e non possono avere qualificate ed aggiornate competenze interne per la sicurezza digitale (e più in generale per tutto l ICT) Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso delegano completamente e senza alcun controllo tutti gli aspetti della sicurezza digitale (e/o dell intero loro sistema informatico) Le certificazioni professionali sono uno degli strumenti a livello sia di singola persona sia di azienda/ente. Ma ne esistono molte, quali sono quelle di riferimento e realmente affidabili? 22

23 Da professionista a Professionista Certificato D. Lgs. 16 gennaio 2013, n. 13 Art. 3 Sistema nazionale di certificazione delle competenze Art. 17 Riordino della formazione professionale UNI 11506: Attività professionali non regolamentate - Figure professionali operanti nel settore ICT - Definizione dei requisiti di conoscenza, abilità e competenze In vigore EUCIP e-cf 3.0 UNI e-cfplus (AICA) 23

24 Perché fare riferimento alle certificazioni ecf? Il sostanziale valore aggiunto della certificazione e-cf (UNI 11506, CEN 16234) è indicato nei seguenti punti ha valore giuridico in Italia e in Europa (se erogata da una associazione registrata presso il MISE) può valorizzare alcune altre certificazioni indipendenti si basa sulla provata esperienza maturata sul campo dal professionista qualifica il professionista considerando l intera sua biografia professionale e le competenze ed esperienze maturate nella sua vita professionale (e non solo per aver seguito un corso e superato un esame) 24

25 Si richiedono certificazioni sulla sicurezza digitale? (risposte multiple) L'Azienda/Ente intende richiedere nel prossimo futuro questo tipo di certificazioni per taluni ruoli ICT al proprio interno L'Azienda/Ente richiede questo tipo di certificazioni per taluni ruoli e figure professionali ai suoi Fornitori ICT L'Azienda/Ente prevede di richiedere nel prossimo futuro questo tipo di certificazioni per taluni ruoli e figure professionali ai suoi fornitori ICT L'Azienda/Ente richiede questo tipo di certificazioni per taluni ruoli ICT al proprio interno L'Azienda/Ente non richiede questo tipo di certificazioni per taluni ruoli ICT al proprio interno L'Azienda/Ente non richiede questo tipo di certificazioni per taluni ruoli e figure professionali ai suoi Fornitori ICT 5,9% 6,7% 11,8% 12,6% 37,8% 57,1% OAD ,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% Titolo La strada è in salita La certificazione ecfplus per la reale qualificazione del professionista è un elemento basilare nell ambito degli obiettivi di AIPSI per la crescita professionale dei suoi Soci 25

26 Riferimenti