Evoluzioni nel mercato italiano della Cybersecurity

Transcript

1 2013 Evoluzioni nel mercato italiano della Cybersecurity Maggio 2013

2 SI RINGRAZIANO PER IL LORO SUPPORTO: The Innovation Group

3 SOMMARIO SCENARIO INTERNAZIONALE DELLA CYBERSECURITY 4 APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY 7 PRINCIPALI RISULTATI DELL INDAGINE 7 CRITICITÀ DEL TEMA DELLA CYBERSECURITY NELLE AZIENDE ITALIANE 8 RISCHI INFORMATICI, RESPONSABILITÀ E CONSEGUENZE PERCEPITE 10 OBIETTIVI, ATTIVITÀ ED EFFICACIA DELLA FUNZIONE SECURITY 15 ATTIVITÀ DI INCIDENT RESPONSE E APPLICATION SECURITY 19 SOLUZIONI DI CYBERSECURITY ADOTTATE E PREVISTE 21 AFFRONTARE I NUOVI RISCHI ASSOCIATI A CLOUD, MOBILITY E SOCIAL MEDIA 22 NOTA METODOLOGICA 26 LE AZIENDE ITALIANE E IL TEMA DELLA CLOUD SECURITY 28 DIGITAL FORENSICS E MISURE DIFENSIVE MESSE IN ATTO DALLE AZIENDE 30 POLITICHE EUROPEE E NAZIONALI PER LA SICUREZZA DELLE INFRASTRUTTURE CRITICHE 34 The Innovation Group

4 Ad un osservatore imparziale appare evidente che lo scenario globale sulle minacce legate a Internet e all ICT è in costante trasformazione. Da un lato viene sottolineato da più fonti che i rischi sono in crescita e le minacce stanno cambiando natura, responsabilità e target. Dall altro lato, nuove tendenze che riguardano tutti - gli utenti, le aziende, i consumatori - e che saranno ampiamente discusse nel presente studio, obbligano i decisori aziendali a riconsiderare le proprie politiche e architetture di security per riadattarle ai nuovi contesti. Obiettivo dello studio è quello di fornire ai manager di aziende pubbliche e private, quotidianamente chiamati a prendere decisioni in questo ambito, una fotografia aggiornata sulle evoluzioni in corso nella Cybersecurity. Le conclusioni sono basate da un lato sull osservazione delle principali dinamiche a livello internazionale, dall altro lato sullo studio delle scelte effettuate dalle aziende italiane. E stata svolta infatti un indagine che ha coinvolto, nei mesi di marzo e aprile 2013, 115 organizzazioni medio grandi italiane. Il tutto con l obiettivo di fornire un utile supporto informativo a chi intende attivarsi e cogliere indicazioni concrete su come migliorare il proprio approccio al tema della Cybersecurity. Roberto Masiero Co-Founder The Innovation Group Ezio Viola Co-Founder The Innovation Group The Innovation Group

5 Scenario Internazionale Della Cybersecurity SCENARIO INTERNAZIONALE DELLA CYBERSECURITY Guardando alle evoluzioni che a livello globale caratterizzano l ambito della Cybersecurity, emerge un aspetto che preoccupa più di altri, ossia quello che vede l affermarsi di attacchi sempre più mirati, rivolti a singole organizzazioni invece che al mass-market e pensati con lo scopo di ottenere forti guadagni sul fronte economico. Si tratta di attacchi progettati per superare le attuali misure di sicurezza, sfruttando debolezze, come l elemento umano, difficili da prevedere e controllare. Un esempio di questo trend sono gli APTs (Advanced Persistent Threats), attacchi che normalmente durano molto tempo, sono perfettamente orchestrati in modo da utilizzare più tecniche contemporaneamente, si basano (per dare inizio all attacco) sullo sfruttamento di vulnerabilità umane, ossia la buona fede degli utenti. A questi sono rivolti attacchi di spear phishing congegnati per avere da un lato massima efficacia, dall altro non essere rilevati dalle soluzioni di security predisposte (ad esempio per il controllo delle mail o della navigazione web). Anche la crescita degli attacchi Zero-days (sfruttano vulnerabilità non ancora note agli stessi vendor del software, per cui hanno successo garantito, non essendoci misure per prevenirli) dimostra quanto l industria del cyber crime sia oggi avanzata sul fronte delle competenze tecniche e della determinazione nel sfruttarle, anche rivendendole a terzi. Tutte queste attività avvengono per lo più in modo silenzioso, all insaputa delle vittime, che possono continuare a perdere dati e informazioni rilevanti per anni. Oltre ad avere una maggiore consapevolezza del fenomeno le aziende dovrebbero dotarsi di strumenti per tener traccia di eventuali attività malevole e poter rispondere con azioni legali, come sarà presentato nel capitolo successivo parlando di Digital Forensics. Rispetto agli anni scorsi, stanno emergendo le responsabilità di nuove tipologie di attaccanti. Da un lato gli hacktivists, ad esempio Anonymous, che pur usando tecniche di base (DDoS, defacement di siti web), hanno ampliato il campo di azione attaccando anche aziende private, ad esempio dei settori energia e trasporti, per portare a termine proprie azioni di protesta e causare imbarazzo pubblicando informazioni riservate. Dall altro lato, emerge il ruolo di gruppi di cyber-spie, probabilmente arruolati da stati esteri che volontariamente attuano queste politiche anche a scopo di spionaggio industriale. In questo caso le tecniche di attacco possono essere molto evolute e rimanere silenti nel tempo, per cui solo dopo anni le aziende si accorgono di aver perso informazioni rilevanti come contratti, database clienti, Intellectual Property. Per quanto riguarda la controbilanciata da misure come antivirus, antispyware. Preoccupa la facilità con diffusione di malware, dove si nota una crescita preoccupante è sul fronte dei device mobile. Mentre per altre tipologie di malware infatti il fenomeno, pur rimanendo, è oggi sotto maggiore controllo (e in particolare viene registrata una minore incidenza dello spam rispetto al passato) per quanto riguarda il mobile malware, la diffusione è in crescita e non abbastanza cui il malware riesce a diffondersi fruttando meccanismi come il phishing (anche via SMS) o il download di App non verificate, pratiche sempre più comuni nel mondo consumer, in cui gli utenti sono del tutto impreparati sul fronte della security. L industria del cyber crime è sempre più avanzata sul fronte delle competenze tecniche e della determinazione nel sfruttarle Nuove responsabilità tra chi conduce i cyber attacchi Crescita del Mobile malware L elemento umano come maggiore vulnerabilità The Innovation Group

6 Scenario Internazionale Della Cybersecurity Un aspetto rilevante che sta emergendo è però anche che, guardando all insieme delle azioni malevole (che non risparmiano in realtà più nessuno, essendo sempre di più le vittime sia lato consumer sia business, in tutti i settori e dimensioni di azienda) escludendo gli attacchi di profilo elevato, per la maggior parte le azioni di furto di dati o interruzione dei servizi potrebbero essere evitate applicando misure minime e prestando maggiore attenzione alla tematica. Inoltre, dove le misure di sicurezza predisposte mostrano maggiormente la loro inadeguatezza è nei casi in cui l attacco prende di mira gli utenti, ad esempio con tecniche di social engineering o spear phishing. L elemento umano emerge oggi come la maggiore vulnerabilità nelle politiche di prevenzione e risposta ai rischi della Cybersecurity. Le aziende non fanno evidentemente abbastanza sul fronte del coinvolgimento degli utenti finali nelle attività di prevenzione e risposta: basti pensare che ancora oggi numerose organizzazioni risultano vulnerabili perché le chiavi di accesso utilizzate dagli utenti sono banali, ripetitive e facilmente individuabili! Bisognerebbe quindi lavorare di più per accrescere la cultura della sicurezza all interno delle organizzazioni nel loro complesso: è evidente che gli strumenti e le metodologie utilizzate finora per creare Security Awareness non hanno funzionato, e vanno ripensati nell ottica di un maggiore Engagement degli utenti. Inoltre, dando per scontata oramai la possibilità di un attacco, sarebbe auspicabile che tutte le aziende fossero in grado di reagire tempestivamente. L analisi di quanto avvenuto ad oggi porta infatti a consigliare misure immediate di risposta all attacco informatico, anche quando se ne è subito un danno, perché questo aiuta a limitarne gli effetti negativi. Ad esempio, una comunicazione immediata ai clienti in caso di data breach sui loro dati può servire a limitare la perdita di clienti come conseguenza dell attacco. Il customer churn come conseguenza di un attacco portato a termine rappresenta un elemento da considerare, variabile a seconda del settore in cui opera l azienda, in genere più alto per servizi finanziari o prodotti High Tech. Nel 2012 si è poi assistito all estensione degli attacchi anche verso le nuove piattaforme dei Social Network (Facebook, Twitter, Pinterest), oltre che verso provider di servizi Cloud (Dropbox). Nel caso degli attacchi ai Social Network, si è trattato più che altro di furti di identità, acquisizione di dati personali, messaggi ingannevoli, quindi utilizzando tecniche di hacking basilari e sfruttando più che altro la limitatezza dei meccanismi di autenticazione delle persone ad oggi adottati da questi siti. Il problema si amplifica però nel caso di utilizzo business dei Social Media, perché in questo caso aumentano rischi di reputazione, danno d immagine, responsabilità verso terzi, perdita di dati rilevanti o diffusione di malware da comunicazioni provenienti dai Social Media, con possibili implicazioni economiche per le aziende. Richiesta di Awareness e cultura della security Necessità di misure immediate di risposta Attacchi a Social Networks e servizi Cloud Con riferimento invece agli attacchi verso provider Cloud, hanno messo in alcuni casi in evidenza la mancanza di procedure interne di security, per cui ad esempio, nel caso di Dropbox, accedendo all account di un dipendente della società gli hacker sono entrati in possesso di numerosi account di utenti del servizio di storage online, utilizzandoli in definitiva per inviare spam. Altre situazioni sono apparse però più gravi, in particolare, la temporanea indisponibilità del servizio di Amazon AWS. In questo caso non si è trattato tanto di un attacco informatico ma piuttosto di un problema interno a livello di rete. La mancanza del servizio ha seriamente danneggiato una serie di clienti che basano sui data The Innovation Group

7 Scenario Internazionale Della Cybersecurity center di Amazon i propri servizi Internet. Il tema della sicurezza del Cloud è un problema all attenzione dei governi e di istituzioni, per cui sono prevedibili ampi sviluppi su questo fronte, come sarà illustrato anche nel capitolo successivo. Una ulteriore fonte di preoccupazione viene dalla possibilità che gli hacker spostino in futuro l attenzione su ulteriori bersagli, costituiti non più da PC, server, o device mobile, ma dai dispositivi elettronici che sempre di più pervadono tutti gli ambiti, dagli autoveicoli, alle abitazioni, alle smart grid. Già oggi il tema delle infrastrutture critiche mette in luce la possibilità che malintenzionati possano prendere il controllo di sistemi e processi la cui indisponibilità avrebbe conseguenze gravissime a livello di intere nazioni (reti elettriche, telecomunicazioni, risorse idriche, sanità, trasporti). Per evitare che questo succeda sarebbe opportuno cominciare a prevedere, fin dalle fasi di design di nuovi prodotti, una sicurezza intrinseca che elimini la possibilità di utilizzi indesiderati. Questo tipo di verifiche e aggiunta di controlli avrebbe però come conseguenza un innalzamento del costo di produzione. Infrastrutture critiche e Internet of Things (IoT) L argomento assume però una tale rilevanza che è diventato oggetto di politiche di sicurezza nazionale. Attualmente vari governi si stanno impegnando in particolare a trovare nuove forme di regolamentazione comune, in modo da mettere a fattore comune gli sforzi che sono richiesti alle diverse parti, pubbliche e private, per mettere in sicurezza le rispettive infrastrutture, trovando giusti bilanciamenti e avviando collaborazioni sia a livello nazionale, sia anche internazionale. Negli USA, è entrato in vigore in febbraio l ordine esecutivo del Presidente Obama Improving Critical Infrastructure - Cybersecurity rivolto al NIST (National Institute for Standards and Technology) secondo il quale l istituto dovrà quest anno collaborare con l industria nazionale per individuare un framework di azioni volontarie comune. Il NIST in particolare dovrà entro 240 giorni definire una versione preliminare di un apposito sistema - il Cyber Framework - con regole, metodi, procedure di indirizzo e misure di contenimento dei rischi cyber per le infrastrutture. A livello europeo negli ultimi anni sono stati aperti diversi tavoli di discussione, ma di fatto ad oggi sono stati presi soltanto degli impegni piuttosto generici, ad esempio quello che ogni stato membro dell Unione dovrebbe costituire un proprio CERT nazionale (la tematica sarà approfondita nelle pagine successive). The Innovation Group

8 Approccio Delle Aziende Italiane Alla Cybersecurity APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY Principali risultati dell indagine Obiettivo dello studio è stato quello di rilevare, presso un campione di 115 aziende italiane, medio grandi e dei diversi settori verticali, qual è la rilevanza del tema della Cybersecurity; come sta cambiano la percezione sulle minacce in corso; quali sono gli obiettivi e le attività predisposte per il Security Management. Inoltre sono state indagate le soluzioni e le tecnologie utilizzate per i diversi ambiti, con un approfondimento relativo alle attività di Incident Response, Application Security e su ambiti nuovi come Mobility, Social Networks e servizi Cloud. Dall analisi emerge che le aziende italiane medio grandi attribuiscono elevata importanza al tema della Cybersecurity, ossia delle soluzioni e dei servizi per contrastare malware e altri rischi IT. Hanno però un approccio alla tematica ancora troppo ancorato al passato. Infatti: Non assegnano sufficiente importanza alle nuove fonti di rischio, dal Mobile, ai Social Networks, al BYOD (Bring Your Own Device). Hanno scarsa consapevolezza della pericolosità delle nuove minacce, come APTs (Advanced Persistent Threats), attacchi Zero-days e attacchi Scada (Supervisory Control And Data Acquisition), e non vedono nella risposta alle minacce emergenti un obiettivo importante della funzione security. Sottostimano le perdite economiche legate a incidenti dovuti a cyber attacks, non considerano prioritari per diventare più efficienti aspetti come la Security Intelligence, la gestione end-to-end del problema, l automatizzazione delle procedure operative. Rispetto a qualche anno fa, oggi la diffusione delle principali misure di Cybersecurity ha raggiunto la maggior parte delle aziende italiane, e le risposte indicano ulteriore crescita dell adozione. Ciò nonostante rimangono isole di arretratezza su aspetti interni del Security Management che richiederebbero un momento di riflessione da parte dei responsabili. Nonostante il 74% delle aziende riporti di aver subito almeno un incidente informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi un adozione ancora molto limitata, soprattutto per aspetti come le analisi forensiche per l identificazione delle responsabilità, le azioni e la reportistica post incidente. In tema di Application Security, metà delle aziende definisce guidelines interne per lo sviluppo sicuro di applicazioni, solo un terzo verifica con policy opportune che il software acquisito da terzi sia sicuro. Quello di cui i responsabili della sicurezza si lamentano è la mancanza di risorse interne e di skill dedicati: per questo motivo, il ricorso a fornitori specializzati esterni è frequente, e si configura sia come esternalizzazione di aspetti più operativi (mantenendo la governance all interno) sia anche come completo passaggio di responsabilità a terzi. Nonostante il 74% delle aziende riporti di aver subito almeno un incidente informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi un adozione ancora molto limitata. The Innovation Group

9 Approccio Delle Aziende Italiane Alla Cybersecurity La stessa figura comincia ad apparire anche parlando di sicurezza dei Cloud provider. La percezione della sicurezza dei servizi offerti da Cloud provider appare mediamente positiva, con l eccezione soltanto di un aspetto, il fatto che il Cloud provider possa fornire garanzie sulla localizzazione dei dati. In tema di Mobility e Social Network, le aziende cominciano a mostrare la diffusione di policy interne dedicate a queste tematiche, sia per l uso aziendale sia quello personale di device mobile e siti social. Dove invece si osserva ancora un salto da effettuare è nella predisposizione di soluzioni di sicurezza dedicate a questi ambienti. Criticità del tema della Cybersecurity nelle aziende italiane La consapevolezza sui rischi informatici è oggi ampiamente diffusa nelle aziende italiane e ad una Awareness elevata corrisponde la predisposizione di numerose attività e misure di Cybersecurity. In un 20% circa delle aziende italiane il tema assume importanza rilevante, tanto da essere considerato fondamentale per preservare il business, la Reputation e quindi, in ultima istanza, la stessa sopravvivenza dell impresa. Se si analizzano le risposte per settori verticali o per dimensione di impresa si ottengono in alcuni ambiti percentuali ancora più elevate. Il settore finanziario e della pubblica amministrazione sono quelli maggiormente impattati dalla tematica, anche per obblighi normativi che hanno comportato un elevata attenzione alla sicurezza dei dati e hanno determinato l adozione di misure e processi volti a prevenire gli incidenti informatici. Tabella 1: Attribuzione di livelli di importanza al tema della Cybersecurity Livello Massimo Alto Medio Basso Descrizione Fondamentale nel preservare il Business e la Reputation dell'azienda La Cybersecurity serve a garantire l'operatività quotidiana Vengono svolte quelle che nel nostro settore sono le misure principali Vengono svolte solo misure di base The Innovation Group

10 Approccio Delle Aziende Italiane Alla Cybersecurity Figura 1: Criticità del tema della Cybersecurity Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda? Livello medio 33% Livello basso 3% Livello massimo 19% Livello alto 45% Fonte: Cybersecurity Survey, TIG, aprile N=115 Si osserva quindi, considerando il complesso delle aziende italiane, una preponderanza di risposte tra chi attribuisce al tema una rilevanza elevata (la Cybersecurity serve a garantire l operatività quotidiana), con una quota del 45% delle risposte, o media (sono svolte le misure principali), per un ulteriore 33% dei rispondenti. Solo in un 3% delle aziende il tema riveste bassa attenzione, con l attuazione soltanto di misure minime di security. Figura 2: Criticità del tema della Cybersecurity - per dimensione d impresa Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda? > addetti 24% 43% 33% addetti 17% 48% 32% 3% < 50 addetti 13% 38% 38% 13% 0% 20% 40% 60% 80% 100% Livello massimo Livello alto Livello medio Livello basso Fonte: Cybersecurity Survey, TIG, aprile N=115 The Innovation Group

11 SCENARIO INTERNAZIONALE E ITALIANO DELLA CYBERSECURITY Approccio Delle Aziende Italiane Alla Cybersecurity Per comprendere le diverse attribuzioni di importanza alla tematica è interessante analizzare le risposte per dimensione di azienda o per settore d impresa. La dimensione dell impresa è direttamente correlata al tema: tanto maggiore è il numero di dipendenti, tanto più importante sarà avere sotto controllo i possibili rischi informatici e prevedere misure che preservino il Business. Con riferimento al settore, anche in questo caso si nota come già detto un elevata attenzione alla Cybersecurity negli ambiti finance e pubblica amministrazione. A seguire le aziende nel settore dei servizi, utilities, retail e industria attribuiscono, per la maggioranza, importanza medio alta, ma in alcuni casi, ad esempio nei servizi o nel retail, anche scarsa rilevanza della Cybersecurity (con adozione soltanto di misure di base) Figura 3: Criticità del tema della Cybersecurity - per settore verticale Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda? Finance 31% 62% 8% Settore Pubblico 25% 46% 29% Servizi 14% 56% 15% 14% Utilities 8% 58% 33% Retail 10% 40% 40% 10% Industria 14% 34% 52% 0% 20% 40% 60% 80% 100% Livello massimo Livello alto Livello medio Livello basso Fonte: Cybersecurity Survey, TIG, aprile N=115 Rischi informatici, responsabilità e conseguenze percepite Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva un approccio ancora troppo legato al passato. I principali rischi che vengono indicati dagli intervistati sono infatti quelli tradizionali, di possibile interruzione del servizio (aspetto che impatta direttamente sulla responsabilità dei manager dell ICT e quindi viene percepito come maggiormente problematico) o di furto/perdita di dati rilevanti. I nuovi rischi, che stanno emergendo come fonti più probabili di danno e compromissione di sistemi oltre che perdite economiche, come device Mobile, Social Networks, BYOD, ottengono livelli di attenzione troppo bassi, come riporta la figura successiva. Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva un approccio ancora troppo legato al passato. La diffusione involontaria di malware ha un peso importante è citata quasi dalla metà dei rispondenti e questo sta a indicare che nonostante siano stati effettuati negli ultimi 20 anni numerosi sforzi e siano state impiegate più misure per combattere il malware, tutto questo non sia in realtà considerato sufficiente. The Innovation Group

12 Approccio Delle Aziende Italiane Alla Cybersecurity Considerando però la diffusione di malware associata a device BYOD (Bring Your Own Device) o all utilizzo di Social Network, o in generale a device Mobile aziendali, questi non sono indicati come elementi principali nella determinazione del rischio informatico. Le aziende appaiono in questo modo troppo ancorate a visioni pregresse della security e quindi al mantenimento di soluzioni già esistenti per il controllo del malware. Poco intenzionate invece a far evolvere la propria percezione del rischio verso quelli che sono in effetti i nuovi driver principali Figura 4: Principali rischi informatici percepiti dalle aziende Domanda: Quali dei seguenti ritenete essere i principali rischi informatici per la vostra azienda? Attacchi informatici volti a bloccare i sistemi Furti di dati e informazioni rilevanti Diffusione involontaria di malware da parte di dipendenti/partner 46% 51% 55% Eventi disastrosi che comportano l'interruzione dei servizi/danni ai dati 33% Danni dovuti a comportamenti inconsapevoli (es. su Social Network) 26% Perdita di dati/diffusione di malware associata a device personali (BYOD) Perdita di dati/diffusione di malware per l'utilizzo di device Mobile aziendali 13% 12% Fonte: Cybersecurity Survey, TIG, aprile N=115 0% 20% 40% 60% Anche considerando le risposte relative alla pericolosità dei metodi di attacco, riportate nella figura successiva, appare evidente una focalizzazione delle aziende sulle minacce tradizionali. E vero che tra i rispondenti della survey molti sono CIO e IT Manager (49% dei rispondenti). Ma anche considerando le risposte soltanto di Chief Security Officer, Security Manager e Security specialists (40% dei rispondenti), si ottengono le stesse percentuali nella distribuzione delle risposte. Chi guarda con occhio critico la figura successiva, non può che rimanere preoccupato vedendo quanto è bassa l attenzione prestata ai nuovi cyber threats. The Innovation Group

13 Approccio Delle Aziende Italiane Alla Cybersecurity Figura 5: Metodi di attacco ritenuti più pericolosi Domanda: Quali dei seguenti metodi di Cyber attacco ritenete potenzialmente più dannosi per la vostra azienda? Malware (virus, trojans, rootkits, worms) 76% Phishing/Social Engineering Distributed denial of service (DDoS) SQL injection Zero-day attacks APTs/spear phishing Attacchi Scada 30% 29% 24% 16% 13% 8% Fonte: Cybersecurity Survey, TIG, aprile N=115 0% 20% 40% 60% 80% 100% E abbastanza sorprendente che chi si occupa di security continui ad attribuire tanta importanza a minacce in buona parte note e in teoria sotto controllo con suite antimalware tradizionali, oramai diffuse nel 98% delle aziende (come sarà mostrato più avanti), mentre invece sia sottostimata così ampiamente la pericolosità degli attacchi Zero-day e APTs (Advanced Persistent Threats), o addirittura Scada (Supervisory Control And Data Acquisition), che pure sono quotidianamente menzionati sui Media come responsabili di enormi danni. Si potrebbe ipotizzare che la figura corrisponda alla percezione delle aziende di essere attaccate con più frequenza con metodi di attacco di tipo tradizionale, ma purtroppo neanche questo è vero. Ad oggi, come ha riportato anche il Report Clusit , che dipinge la situazione italiana per quanto riguarda le minacce di Cybersecurity, gli attacchi APTs crescono a tassi superiori al 400% per anno, e si posizionano al secondo posto per numerosità dopo quelli SQL Injection, seguiti da attacchi DDoS. Il malware compare soltanto al sesto posto, non è più considerato dagli esperti la tecnica principale per sottrarre informazioni o rendere indisponibili i sistemi. Per quanto riguarda invece l attribuzione di responsabilità per gli attacchi, la figura che si ottiene intervistando i responsabili della security aziendale rispecchia effettivamente la situazione che emerge da diverse analisi sulle evoluzioni del cyber crime. 1 Clusit, Rapporto 2013 sulla sicurezza ICT in Italia, 2013 The Innovation Group

14 Approccio Delle Aziende Italiane Alla Cybersecurity Figura 6: Responsabili degli attacchi informatici - secondo le aziende Domanda: Quali potrebbero essere secondo lei i maggiori responsabili di Cyber attacchi nel caso della vostra azienda? Cyber Criminals Anonymous/Hacktivists 38% 42% Attacchi dall interno - dipendenti 27% Attacchi dall interno - personale a contratto 19% Competitors Stati esteri 11% 10% Business Partner 4% Non è stato possibile determinarlo 15% Fonte: Cybersecurity Survey, TIG, aprile N=115 0% 20% 40% 60% Lo sfruttamento delle vulnerabilità dell ICT per perpetrare frodi con furto di informazioni da parte della criminalità organizzata è un fenomeno in crescita in ogni parte del mondo. I cyber attacchi oggi possono sostanzialmente dividersi in 2 tipologie: quelli attribuiti ai cyber criminals puntano a un ritorno economico immediato, sono volti a sottrarre informazioni che saranno rivendute in seguito nel mercato nero di Internet (cyber espionage). La seconda tipologia di attacchi in forte crescita è invece quella degli hacktivists (Anonymous, WikiLeaks) il cui scopo è effettuare azioni di protesta civile, dove sono lesi i principi della libertà digitale oppure dove si vuole far emergere all opinione pubblica comportamenti discutibili. Le multinazionali in particolare non sono immuni da attacchi di questo tipo. Come mostra la figura sopra, il rischio collegato ad azioni di hacktivists è oggi considerato come rilevante da parte di molte aziende. In alcuni casi le aziende stanno anche considerando la minaccia proveniente da Stati Esteri. E oramai un fatto assodato che alcune nazioni, in particolare la Cina e la Russia, si siano dotate negli ultimi anni di apparati di intelligence 2 che effettuano attività di cyber espionage con sottrazione di Intellectual Property, in particolare in settori avanzati come tecnologie militari, biomediche e farmaceutiche, nuovi materiali e manifatturiere avanzate. 2 Umberto Gori, Luigi Sergio Germani. Information Warfare 2011, Franco Angeli The Innovation Group

15 Approccio Delle Aziende Italiane Alla Cybersecurity Il 74% delle aziende intervistate dichiara di aver avuto lo scorso anno almeno un incidente riconducibile ad un attacco informatico, e in alcuni casi gli incidenti sono stati numerosi. Analizzando le risposte, si ottiene che i settori in cui le aziende subiscono il maggior numero di incidenti da cyber attacchi (superiore a 7) sono l industria, il settore pubblico e il settore delle telecomunicazioni. Figura 7: Numero di incidenti dovuti a Cyber attacchi Domanda: Qual è il numero approssimativo di incidenti dovuti a Cyber attacchi registrati negli ultimi 12 mesi nella sua azienda? 60% 45% 40% 20% 26% 22% 0% 4% 2% 1% Nessuno Tra 1 e 2 Tra 3 e 6 Tra 7 e 10 Tra 11 e 20 Superiore a 40 Fonte: Cybersecurity Survey, TIG, aprile N=103 Tra le conseguenze degli attacchi vengono citati numerosi aspetti, in principal modo l interruzione delle attività e il danno d immagine. Invece, il danno economico non è ritenuto al momento prioritario, ma questo aspetto è probabilmente legato al fatto che si sottostima l impatto economico di un incidente informativo. Figura 8: Conseguenze degli attacchi informatici - secondo le aziende Domanda: Quali sono state secondo lei le principali conseguenze degli attacchi subiti? Interruzione dell attività Danni al Brand/alla reputazione Perdita di dati e Intellectual Property Perdita economica Costi dovuti a problemi legali Costi per attività investigative Perdita di clienti Nuovi investimenti in Cybersecurity Perdita del valore della società Nessun danno 15% 13% 12% 9% 2% 5% 44% 38% 31% 26% Fonte: Cybersecurity Survey, TIG, aprile N=115 0% 20% 40% 60% The Innovation Group

16 Approccio Delle Aziende Italiane Alla Cybersecurity Obiettivi, attività ed efficacia della funzione Security Con riferimento agli obiettivi attribuiti alla funzione security nelle aziende italiane, i principali sono la protezione dei dati e delle infrastrutture oltre che la compliance alle norme. La risposta a nuove forme di attacco o malware viene citata come obiettivo, ma purtroppo soltanto da un 38% delle aziende: il restante 62% delle aziende non lo considera evidentemente prioritaria. Questo conferma quanto visto in precedenza, ossia che la pericolosità dei nuovi attacchi (ad esempio quelli del tipo APTs) è ampiamente sottostimata dai responsabili della security. Figura 9: Obiettivi della Funzione IT Security Domanda: Quali sono gli obiettivi che si pone la funzione security nella vostra azienda? Proteggere dati sensibili e Intellectual Property 71% Essere compliant alle norme 63% Rispondere a nuove forme di malware/attacchi informatici 38% Definire un GRC Management integrato e in linea con le richieste del business (GRC) Analizzare i dati della security in modo da essere proattivi (Security Intelligence) Risolvere le problematiche di security dovute a device Mobile Far dipendere le scelte di security da una valutazione d'impatto sul Business Automatizzare le attività legate alla security 20% 19% 16% 15% 13% Definire un modello operativo di security per l uso del Cloud Computing 5% Fonte: Cybersecurity Survey, TIG, aprile N=115 0% 20% 40% 60% 80% Tematiche che rientrano negli obiettivi di una minoranza di responsabili sono: Governance, Risk e Compliance Management integrato (GRC): si tratta di allineare e gestire tramite piattaforme integrate gli aspetti di Governance della security con il più ampio campo di attività relativo al Risk e Compliance management. E un ambito in sviluppo del mercato, che nella nostra indagine viene citato solo da un 20% delle aziende intervistate. The Innovation Group

17 Approccio Delle Aziende Italiane Alla Cybersecurity Security Intelligence: nell ambito delle attività di Security Governance, l utilizzo di soluzioni specifiche di Intelligence, come funzioni analitiche relative a informazioni raccolte con molteplici device e dispositivi (SIEM, Security Information e Event Management) permette di ottenere notevoli benefici in termini di controllo unitario, trasparenza e reporting verso il management dell azienda, proattività nell individuare le vulnerabilità, time-to-market nella risposta a eventuali cyber attacchi. Mobile security: solo un 16% delle aziende considera tra gli obiettivi della funzione security anche il controllo di device mobile. Ancora meno importanti nelle aziende del campione analizzato aspetti come legare le scelte di security a valutazioni di impatto sul Business dei rischi informatici, l automatizzazione delle attività legate all operatività quotidiana della security o la definizione di modelli operativi per l utilizzo sicuro dei servizi Cloud. In particolare, automatizzare molte procedure permetterebbe di ridurre i costi del Security Management e spostare l attenzione su attività maggiormente business critical, ma il tema non è attualmente al centro delle strategie per la security. In conclusione, una prima figura che emerge dall analisi degli obiettivi per i responsabili del Security Management, è di un focus prevalente sulla gestione del day-by-day, sul controllo di una serie di strumenti già implementati, scarso coordinamento con altri ambiti dell impresa, e in generale di nuovo un evidente ritardo nella capacità di risposta ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Non il tipo di obiettivi che dovrebbe avere una funzione che governa aspetti con importanza fondamentale per la sopravvivenza stessa del business aziendale, come era stato dichiarato inizialmente. Andando a vedere come nella pratica si traducono gli obiettivi della funzione security, ossia quali sono le attività e i task che quotidianamente vengono svolti, in azienda o tramite fornitori esterni, si ottiene una figura molto articolata su tutti i diversi ambiti. Nell analisi ci siamo concentrati su quelli che riteniamo essere i processi principali del Security Management. Come mostra la figura successiva, trattandosi di attività core, sono per lo più svolte internamente, e quando date all esterno, nella maggior parte dei casi mantenendo comunque all interno la Governance complessiva per cui al fornitore sono demandate soltanto attività operative con una gestione che rimane comunque all interno. Focus prevalente sulla gestione del day-by-day, sul controllo di una serie di strumenti già implementati, scarso coordinamento con altri ambiti dell impresa, e in generale di nuovo un evidente ritardo nella capacità di risposta ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Tutti i processi considerati hanno diffusione molto elevata, in alcuni casi riguardano la totalità delle imprese contattate (considerando sia il fatto che siano svolti internamente che anche da fornitori esterni), con esclusione soltanto degli aspetti di Vulnerability Assessment e di Security Intelligence (SIEM), che registrano invece quote di adozione più basse, tra il 70 e l 80% (contando anche l apporto dei fornitori esterni), e mostrano contemporaneamente una più elevata propensione all outsourcing. The Innovation Group

18 Approccio Delle Aziende Italiane Alla Cybersecurity Figura 10: Attività della Funzione IT Security Domanda: Quali delle seguenti attività sono svolte dalla funzione IT Security, totalmente o in parte, o in alternativa da fornitori esterni? Controllo / gestione accessi 76% 20% 2% Disegno di policy di Security Enforcement delle policy 64% 70% 32% 23% 3% 2% Internamente Backup e recovery/bc 66% 23% 4% Formazione degli utenti Event/Log Management 66% 65% 21% 19% 5% 5% 8% 5% Governance interna e attività date all'esterno Patch Management Risk Management 64% 66% 19% 21% 7% 7% 3% 8% Svolto in toto da fornitori esterni Compliance Management 63% 21% 3% 11% Incident Response 57% 23% 6% 11% Attività non svolta Vulnerability Scanning 39% 25% 19% 14% SIEM/Security Intelligence 43% 21% 9% 25% 0% 20% 40% 60% 80% 100% Fonte: Cybersecurity Survey, TIG, aprile N=112 La figura mostra quindi un buon livello di Readiness in termini di processi fondamentali del Security Management, considerando anche il fatto che stiamo parlando di aziende di tutti i settori di mercato e, per un 7% dei casi, di aziende con dimensioni inferiori ai 50 addetti 3. In particolar modo, gli ambiti che ottengono maggiore attenzione sul fronte delle attività di Security Management sono il controllo e la gestione degli accessi, il disegno e l enforcement di policy di security, le attività di backup, recovery o business continuity volte a salvaguardare i dati e in alcuni casi anche la continuità dei servizi ICT. Dove si comincia ad osservare una percentuale minoritaria di aziende che non svolge alcuna attività (intorno al 10%) è soltanto per aspetti di Compliance e Risk Management, di Incident Response oltre che di Vulnerability Scanning e Security Intelligence, come detto in precedenza. Come rendere più efficace la funzione security nelle sue attività di operatività quotidiana, controllo e definizione di policy? Secondo i responsabili intervistati sarebbe fondamentale poter disporre di maggiori skill nell ambito specifico, altamente specialistico, della Cybersecurity. Quindi possibilità di dotarsi di risorse specializzate, che come noto sono difficili da reperire nel mercato. 3 Le caratteristiche del campione analizzato sono riportate alla fine del presente capitolo. The Innovation Group

19 Approccio Delle Aziende Italiane Alla Cybersecurity Figura 11: Efficacia del Security Management Domanda: Quali elementi secondo voi rendono più efficace il Security Management? Disporre di maggiori skill interni in ambito security Disporre di una struttura dedicata e di un manager dedicato (CSO o CISO) 51% 48% La security è definita a priori, nella fase di progettazione Maggiore integrazione in ottica end-toend delle tecnologie per la security Integrare la Governance della security con il Risk e il Compliance Management Far dipendere gli investimenti in security da analisi su rischi e perdite Disporre di informazioni più complete su tutti i rischi dell'azienda Il CSO/CISO riporta direttamente al Board 28% 24% 23% 19% 18% 13% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile N=112 In secondo luogo, viene citata la necessità di dotarsi di una struttura dedicata e di un management dedicato (Chief Security Officer o Chief Information Security Officer). Non si ritiene però in generale che l organizzazione della struttura di security debba essere fatta in modo da riportare direttamente al Board dell azienda (solo il 13% dei rispondenti pensano che sarebbe un modo per rendere più efficace il Security Management). Anche altri aspetti, come il Security-by-design (la possibilità di inserire la sicurezza informatica nella fase iniziale di progettazione di nuovi prodotti/servizi dell impresa) o l integrazione end-to-end e la visione olistica che abbracci tutti gli aspetti della sicurezza, sono citati come importanti solo da una minoranza dei rispondenti, intorno al 20%. L impressione che si ottiene analizzando le risposte è che i responsabili della security non si stiano oggi interrogando su quali cambiamenti li renderebbero più efficaci. Percepiscono soltanto difficoltà legate al day-by-day, come mancanza di fondi, risorse o skill. Non è stato effettuato, se non in una minoranza dei casi, il salto culturale che dovrebbe portare il Security Management a diventare ambito strategico dell azienda. The Innovation Group

20 Approccio Delle Aziende Italiane Alla Cybersecurity Attività di Incident Response e Application Security Due ambiti su cui abbiamo deciso di concentrare l analisi, trattandosi in entrambi i casi di attività potenzialmente molto critiche (ma spesso sottovalutate dalle aziende italiane) sono quelli dell Incident Response e dell Application Security. Con Incident Response si intendono le attività preposte alla prevenzione e gestione di eventuali incidenti, ossia eventi che hanno comportato una riduzione o un annullamento dell operatività dei servizi, una perdita di dati e quant altro. La gestione degli incidenti è un attività fondamentale, volta a limitarne le conseguenze, in quanto un incidente non gestito può comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a impatti imprevedibili. Un team di Incident Response viene di solito responsabilizzato su tutte le attività specifiche per la gestione e la risposta agli incidenti. Si parte dalle attività preventive (identificazione di possibili falle o vulnerabilità nei sistemi che possono condurre a incidenti) fino alle attività di risoluzione e notifica in caso di incidente a quelle di investigazione successiva per individuare grazie all analisi dei log data le cause dell incidente ed eventuali responsabilità. Un CERT interno (Computer Emergency Response Team) può anche essere incaricato di queste attività. La gestione degli incidenti è un attività fondamentale, volta a limitarne le conseguenze, in quanto un incidente non gestito può comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a impatti imprevedibili. Figura 12: Attività di Incident Response Domanda: Quali attività di Incident Response svolgete? Analisi preventive per verificare eventuali vulnerabilità Analisi degli incidenti con comprensione del loro impatto 52% 56% Analisi per identificare le cause degli incidenti 40% Azioni per minimizzare gli impatti 25% Reportistica sugli incidenti 23% Aggregazioni/analisi comparativa degli incidenti Nessuna delle precedenti risposte 5% 9% Fonte: Cybersecurity Survey, TIG, aprile N=112 0% 20% 40% 60% Le misure preventive sono quelle che di solito fanno capo alle attività di Vulnerability Assessment/Penetration Test. Come mostra la figura successiva, sono quelle più diffuse presso le aziende italiane (con un 56% delle risposte). Dove sicuramente le aziende si mostrano poco preparate non avendo evidentemente strutturato le attività di Incident Response in modo organico e completo sono le attività forensiche (di comprensione The Innovation Group

21 Approccio Delle Aziende Italiane Alla Cybersecurity della dinamica e attribuzione di responsabilità associate agli incidenti) ad oggi svolte soltanto da un 40% delle aziende. Il tema dell Application Security riguarda invece l insieme delle attività e delle misure previste dalle aziende per sviluppare, utilizzare e mantenere nel tempo applicazioni software sicure, ossia prive di vulnerabilità gravi che possono mettere in crisi l operatività del Business o comportare danni economici e di immagine. Oggi un problema molto sentito è quello della realizzazione di App Mobile sicure: sia perché le aziende hanno l ambizione di arrivare sul mercato in tempi rapidi con App suggestive, da far utilizzare a dipendenti o clienti sui nuovi smartphone o tablet, sia perché tutto il mondo dei device mobile Android, ios, BlackBerry e Windows ha dimostrato negli ultimi anni di poter essere un veicolo per la diffusione di malware, l utilizzo improprio di risorse aziendali e anche la perdita/furto di dati rilevanti. Come mostrano i risultati dell indagine, gli aspetti di Application Security sono tenuti in conto dai responsabili della security (solo un 10% degli intervistati non svolge alcuna attività in questo ambito), ma soprattutto dal punto di vista della definizione di guidelines per lo sviluppo sicuro delle applicazioni. Attività di testing/quality assurance sono svolte soltanto da una minoranza di aziende (43%). Quella che pare molto grave è la scarsa propensione (riguarda soltanto un 17% delle aziende) a verificare la sicurezza delle applicazioni esposte su Internet. Considerando che sempre più spesso le applicazioni aziendali sono aperte al Web, è evidente che la mancanza di misure specifiche rappresenta una falla molto grave nelle policy di security. Sempre più spesso le applicazioni aziendali sono aperte al Web, è evidente che la mancanza di misure specifiche rappresenta una falla molto grave nelle policy di security. Figura 13: Attività di Application Security Domanda: Quali attività per l Application Security svolgete? Definizione di guidelines interne per lo sviluppo più sicuro delle applicazioni Testing/quality assurance in fase di rilascio applicativo Policy di security assessment di software sviluppato da terzi Utilizzo di strumenti per testare internamente la sicurezza applicativa Utilizzo di servizi esterni per verificare la sicurezza delle applicazioni aziendali Scanning di applicazioni esposte su Internet La soluzione per i test di sicurezza e' integrata con l ambiente di sviluppo Non svolgiamo nessuna attività di Application Security 21% 18% 17% 9% 10% 34% 43% 52% Fonte: Cybersecurity Survey, TIG, aprile N=112 0% 20% 40% 60% The Innovation Group

22 Approccio Delle Aziende Italiane Alla Cybersecurity Gli attacchi alle applicazioni Web sono oggi tra le metodologie preferite dagli hacker, anche perché dalle applicazioni si arriva fino ai dati di back-end e quindi alla possibilità di entrare in possesso di informazioni critiche (ad esempio tramite SQL Injection, ad oggi la metodologia di attacco più diffusa secondo diverse fonti). Come sarà mostrato in seguito, le aziende si dotano spesso di appliance specifiche per la protezione delle applicazioni Web (Web Application Firewall, adottate dal 72% delle aziende secondo la nostra indagine). Anche per quanto riguarda il software acquistato, non sono utilizzate se non in una minoranza di aziende (il 34%) policy specifiche per avere garanzia dai vendor che il software sia privo di vulnerabilità. Considerando che sempre più spesso il software aziendale è sviluppato da terze parti, non aver previsto test preventivi formalizzati nel contratto di acquisto del software comporta un assunzione di rischio da parte delle organizzazioni. A livello internazionale si osserva invece una crescita di interesse per programmi di assessment del software rivolti alle terze parti 4. Soluzioni di Cybersecurity adottate e previste Come mostra la figura successiva, le aziende hanno adottato negli ultimi anni una miriade di tecnologie di Cybersecurity che - a diversi livelli e in modo molto specialistico - rispondono a singoli aspetti al problema più ampio della riduzione del rischio informatico. Tradizionalmente l antivirus, poi evoluto verso suite di endpoint protection inglobando altri aspetti (antispam, antiphishing, DLP) e gli apparati posizionati ai confini della rete aziendale (firewall, VPN) hanno rappresentato la prima barriera contro le minacce. Al crescere dei rischi, l adozione di nuove soluzioni (web application firewall, gateway per web security ed security, data loss prevention, encryption e quant altro) sono andate via via diffondendosi. Oggi la figura mostra un buon livello di protezione da più punti di vista, oltre che tassi di crescita dell adozione per numerose categorie di prodotti, elemento che conferma le stime di crescita del mercato della Cybersecurity nel suo complesso. Dove si nota invece una potenziale debolezza delle aziende italiane è nell ambito della Security Intelligence (SIEM/Log management/event Correlation), con soltanto un 60% delle aziende che si è dotata di queste soluzioni. La possibilità di tenere sotto controllo gli ambienti di security, governare e misurare il proprio livello di risposta alle minacce, passa infatti attraverso consolle unitarie di gestione e analisi degli eventi. Data anche la complessità raggiunta dalle architetture di security, è evidente che solo un controllo centralizzato, automatizzato, multivendor e standard-based di raccolta e analisi dei dati collegati agli eventi può permettere un livello di protezione adeguato. 4 Five Best Practices of Vendor Application Management, WhitePaper, Veracode, settembre 2012 The Innovation Group

23 Approccio Delle Aziende Italiane Alla Cybersecurity Figura 14: Soluzioni di Cybersecurity adottate e previste Anti Malware (antivirus, antispam) 97% 3% Network Technologies - firewall, etc. 96% 4% Access control 94% 3% Backup/recovery 92% 4% Intrusion prevention/detection (IPS/IDS) 79% 8% 13% Web Application Firewall 72% 3% 25% Business continuity/high Availability 71% 7% 22% Identity control (role management) 62% 9% 29% SIEM/Log management/event correlation 60% 9% 31% Sender reputation/whitelisting 50% 10% 40% Data Loss Prevention/encryption 46% 12% 42% Messaging security 45% 8% 46% Soluzioni anti-apts 30% 11% 59% 0% 20% 40% 60% 80% 100% Non previsto Fonte: Cybersecurity Survey, TIG, aprile N=110. Affrontare i nuovi rischi associati a Cloud, Mobility e Social Media La diffusione di servizi Cloud, dei device Mobile, l utilizzo di Social Media all interno o al di fuori dai confini aziendali, oltre che in generale tutto quanto va sotto l ambito dell IT Consumerization (tecnologie e servizi Web diventati popolari nell IT Consumer che passano poi ad essere utilizzati anche in ambito enterprise), crea sfide rilevanti dal punto di vista della gestione della security. Come abbiamo verificato con una precedente ricerca (svolta da The Innovation Group nel gennaio 2013, relativa in particolare al tema della Mobility e del BYOD 5 ) oggi soltanto un terzo delle aziende italiane considera il tema dell IT Consumerization e del BYOD come un opportunità aziendale, ad esempio per ridurre i costi della Mobility, che pure sono in continua crescita. 5 Elena Vaciago. Quali strategie per il BYOD? The Innovation Group, febbraio 2013 The Innovation Group

24 Approccio Delle Aziende Italiane Alla Cybersecurity Le aziende dovrebbero maturare maggiore consapevolezza su quale può essere un utile contributo di questi fenomeni se allineati ai bisogni effettivi della singola realtà. Ad oggi il tema della protezione dei dati e degli asset interni dai rischi collegati a Cloud, Mobile e Social Media si traduce principalmente in regole e prassi interne, pensate da un lato per elevare l Awareness delle persone su questi aspetti, dall altro lato per predisporre misure, processi e controlli collegati agli effettivi utilizzi. Figura 15: Policy e misure relative ai nuovi rischi di Cybersecurity Domanda: Avete definito policy e misure per la sicurezza di Utilizzo aziendale di device e App Mobile 67% 11% 22% Utilizzo personale di device e App Mobile (BYOD) 39% 17% 43% Utilizzo aziendale di Social Media 51% 9% 39% Utilizzo personale di Social Media 38% 6% 56% Utilizzo aziendale di servizi Cloud 35% 24% 41% Utilizzo personale di servizi Cloud (BYOS, Bring Your Own Software) 27% 14% 60% 0% 20% 40% 60% 80% 100% Si Non ancora ma previsto No e non previsto Fonte: Cybersecurity Survey, TIG, aprile N=109 Per quanto riguarda invece le misure di security specifiche per l ambito dei Social Media, dalla presente indagine emerge che le aziende italiane hanno cominciato ad applicare alcune misure, ma in percentuali molto basse. Un uso non conforme dei Social Media può comportare numerose problematiche a livello aziendale. La commistione tra l utilizzo aziendale e personale dei siti social aumenta il rischio che opinioni personali vadano a ledere l immagine dell azienda, o le reti interne possano essere più facilmente attaccate tramite malware scaricato da siti social. Circa un 34% di aziende afferma di avere soluzioni di security assessment per la navigazione online, o di poter rilevare, tramite misure ad hoc, l accesso ai siti social. Va osservato però che queste forme di controllo effettuate sulla rete aziendale non sono in grado di proteggere tutte le situazioni, dal momento che sempre più spesso gli utenti si collegano ai siti social da mobile. The Innovation Group