Attacchi informatici in Italia: la situazione dal Rapporto 2015 OAI

Transcript

1 Attacchi informatici in Italia: la situazione dal Rapporto 2015 OAI Marco R.A. Bozzetti CEO Malabo Srl Ideatore e curatore OAI Consiglio Direttivo e Communication Officer AIPSI 1

2 Marco R.A. Bozzetti 1973 Laurea in Ingegneria elettronica al Politecnico di Milano CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete europea di ricerca (tipo ARPA) a commutazione di pacchetto Olivetti R&D Ivrea:Responsabile ONE, Olivetti Network Environment, e comitati standard ISO, CCITT (ora ITU-C), ECMA (chairman VFS) Italtel: Responsabile Laboratorio R&D Reti Dati Private, Italtel Telematica : responsabile pianificazione strategica Arthur Andersen Management Consultants fondatore e Partner Ibimaint System Engineers : fondatore e Partner C.A.SI, Consulenti Associati Sicurezza Fondatore e Presidente Integration&Engineers nel Gruppo MET CIO Gruppo ENI Fondatore e Presidente ClickICT Srl Gruppo GeaLab Dal 2001 Fondatore e Amministratore Unico Malabo Srl FTI, Forum delle Tecnologie dell Informazione (fondatore) EITO, European Information Technology Observatory ( Co-ideatore e Chief Scientist) ClubTI di Milano (Past President) FidaInform, Federazione Italiana delle Associazioni Professionali di Information Management (Past President) AIPSI-ISSA, Consiglio Direttivo Comms Officer 2

3 AIPSI, Associazione Italiana Professionisti Sicurezza Informatica Capitolo italiano di ISSA, Information Systems Security Association, ( Soci, la più grande associazione non-profit di professionisti della Sicurezza ICT ISSA Journal, Webinar, Conferenze, AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i professionisti della sicurezza, sia dipendenti sia liberi professionisti ed imprenditori del settore Primari obiettivi AIPSI diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli utenti digitali, offrire ai propri Soci qualificati servizi per la loro crescita professionale Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce Collaborazione con varie associazioni ICT ed Enti per eventi, progetti ed iniziative congiunte: AICA, Anorc, ClubTI Milano e Roma, CSA Italy, FidaInform, Inforav, Polizia Postale, Smau, ecc. 3

4 OAI, Osservatorio Attacchi Informatici in Italia Obiettivi iniziativa Fornire informazioni sulla reale situazione degli attacchi informatici in Italia Contribuire alla creazione di una cultura della sicurezza informatica in Italia Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica Che cosa fa Indagine annuale condotta attraverso un questionario on-line indirizzato a CIO, CISO, CSO, ai proprietari/ceo per le piccole aziende Rubrica mensile OAI sulla rivista Office Automation di Soiel da marzo 2010 Gruppo OAI su Linked Come Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i costi di realizzazione) Stretto anonimato dei rispondenti al questionario on line via web Collaborazione con numerose associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori 4

5 5

6 Sponsorizzazioni e patrocini OAI 2015 con la collaborazione di Patrocinatori 6

7 Indice Rapporto OAI Executive Summary 1En. Executive Summary in English 2. Introduzione 2.1 Le motivazioni dell Osservatorio sugli Attacchi Informatici in Italia 2.2 Aspetti metodologici dell indagine OAI 3. Le tipologie di attacco considerate 4. Gli attacchi informatici rilevati 4.1 Gli impatti degli attacchi rilevati 4.2 I dati dalla Polizia Postale e dal Cnaipic 4.3 Nuovi e vecchi attacchi Vulnerabilità e codici maligni Heartbleed Antivirus insicuri Il rischio Malvertising Targeted Attack e Advanced Persistent Threat Gli attacchi Watering Hole Gli attacchi per l Internet delle Cose (IoT, Internet of Thinks) La situazione a livello europeo secondo ENISA 5. L individuazione e la gestione degli attacchi 6. Strumenti e misure di sicurezza ICT adottate 6.1 Sicurezza fisica 6.2 Sicurezza logica 6.3 Gli strumenti per la gestione della sicurezza digitale 6.4 Le misure organizzative Conformità a standard e a buone pratiche Audit ICT La struttura organizzativa interna per la sicurezza ICT 7. Gli attacchi più temuti nel futuro Allegato A - Il campione emerso dall indagine A.1 Chi ha risposto: ruolo e tipo di azienda/ente A.2 Macro caratteristiche dei sistemi informatici del campione emerso dall indagine Allegato B - Profili Sponsor Allegato C - Riferimenti e fonti C.1 Dall OCI all OAI: un po di storia... e di attualità C.2 Le principali fonti sugli attacchi e sulle vulnerabilità Allegato D - Glossario dei principali termini ed acronimi sugli attacchi informatici Allegato E - Profilo dell Autore 62 pagine A4 11 Tabelle 63 Grafici 7

8 OAI : la crescita del numero di rispondenti Rapporto OAI Rapporto OAI Rapporto OAI Rapporto OAI Rapporto OAI 2015 Rispondenti Contattati 8

9 Attacchi rilevati nel 2013 e nel ,5% 55,3% % rispondenti 28,9% 34,7% 8,6% 10,0% Mai Meno di 10 casi Più di 10 casi OAI

10 Attacchi rilevati dal 2007 nei vari Rapporti OAI % rispondenti 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Mai Meno di 10 Più di 10 OAI

11 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Diffusione tipologia attacchi subiti (risposte multiple) 11 Social Eng. Saturaz. risorse Furto disp. Ricatti ICT Attacchi reti Sfrut. vulnerabilità Frodi Furto info da PdL mobili Acc. non aut. Dati Acc. non aut. Programmi Acc. non aut. Sis. Furto info da risorse fisse Attacchi sic. fisica Altri APT e TA OAI 2015 Malware % rispondenti

12 Ordinamento attacchi per variazione % tra 2014 e 2013 Classifica Tipologia attacchi Variazione 5 Ricatti ICT 8,7% 28,9% 20,2% 16 APT e TA 3,3% 8,9% 5,6% 13 Acc. non aut. Sis. 8,3% 13,4% 5,1% 7 Attacchi reti 14,5% 19,2% 4,7% 10 Acc. non aut. Programmi 9,3% 13,4% 4,2% 3 Saturaz. risorse 38,8% 42,5% 3,7% 6 Sfrut. vulnerabilità 15,8% 19,1% 3,3% 11 Acc. non aut. Dati 11,2% 14,0% 2,8% 2 Malware 65,1% 67,9% 2,8% 8 Frodi 12,4% 15,1% 2,8% 9 Furto info da PdL mobili 11,9% 14,2% 2,3% 12 Furto info da risorse fisse 10,5% 12,7% 2,3% 1 Social Eng. 65,8% 67,1% 1,4% 14 Attacchi sic. fisica 10,4% 11,8% 1,4% 15 Altri 11,4% 11,5% 0,1% 4 Furto disp. 30,3% 29,2% -1,1% OAI

13 Impatto dell attacco >10 casi impatto molto significativo 2,7% 2,5% >10 casi impatto poco significativo 1-10 casi impatto molto significativo 17,3% 17,1% 10,9% 7,8% 1-10 casi impatto poco significativo 69,1% 72,5% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% % rispondenti OAI

14 Tempi medi di ripristino dopo un attacco Non lo so Oltre un mese 0,0% 4,1% Meno di un mese 4,1% Meno di una settimana 9,0% Meno di 3 giorni 17,9% Meno di un giorno 64,8% % rispondenti OAI

15 Attacchi 2014 per macro settore Più di 10 casi 10,5% 10,9% 8,8% Meno di 10 casi 31,6% 39,6% 41,2% Pubblica Amministrazione Terziario Primario e secondario Mai 57,9% 49,5% 50,0% % rispondenti OAI

16 Attacchi 2014 per dimensione dell azienda/ente 40,0% 35,0% % rispondenti 30,0% 25,0% 20,0% 15,0% 10,0% 5,0% Più di 10 casi Meno di 10 casi Mai 0,0% < > 5000 numero dipendenti OAI

17 Azioni dopo un attacco (risposte multiple) Intervento legali Indagini da esterni 5,38% 9,23% Rimpiazzo sistemi 20,00% Eliminati sistemi infrast. Vuln. 30,77% Corsi formazione 39,23% Modifiche alle Policy e proc. organiz. Nuovi strumenti Patch sul software Indagini interne % rispondenti 46,92% 48,46% 52,31% 53,85% OAI

18 Effettuazione analisi dei rischi ICT 11,6% 22,0% 41,6% NO SI E' prevista nel prossimo futuro Non lo so 24,9% OAI

19 Richiesta conformità standard/best practice e certificazioni da OAI 2015 Famiglia ISO All interno interesse/attuato, con o senza certificazioni: 62,4% Dai Fornitori interesse/attuato, con o senza certificazioni: 37,5% ITIL e ISO All interno interesse/attuato, con o senza certificazioni: 38,2% Dai Fornitori interesse/attuato, con o senza certificazioni: 14,5% COBIT All interno interesse/attuato, con o senza certificazioni: 26,3% Dai Fornitori interesse/attuato, con o senza certificazioni: 5,1% Certificazioni personali per la sicurezza ICT All interno interesse/attuato, con o senza certificazioni: 11,6% Dai Fornitori interesse/attuato, con o senza certificazioni: 34,6% OAI

20 Attacchi maggiormente temuti nel futuro (risposte multiple) Altro Frodi tramite software Modifiche non autorizzate programmi Accesso e uso non autorizzato sistemi ICT Attacchi sic. fisica TA e APT Acc.e modifiche non autorizzate dati Attacchi alle reti e ai DNS Sfruttamento vulnerabilità software Saturazione risorse ICT Ricatti Furto di apparati informatici Codici maligni (malware) Furto info da dispostivi mobili e fissi Social Engineering incluso Phishing 1,8% 13,8% 14,2% 17,9% 20,2% 20,6% 21,1% 22,0% 23,9% 23,9% 26,1% % rispondenti 35,3% 39,0% 40,4% 40,8% OAI

21 Possibili motivazioni per i futuri attacchi temuti (risposte multiple) Altro Terrorismo 6,9% 8,7% Azione Dimostrativa Spionaggio 17,4% 17,9% Hacktivism Vandalismo Ricatto o ritorsione Sabotaggio Frode informatica 22,9% 26,6% 28,0% 28,4% % rispondenti 47,7% OAI

22 Il campione dei rispondenti emerso 22

23 22,2% 20,9% 20,9% 8,2% 8,2% 5,7% 5,1% 3,8% 3,8% 0,6% 0,6% 23 % rispondenti Telecom- Media e Servizi ICT Industria Servizi- Commercio PAL Istruzione Utility PAC Turismo- Trasporti- Logistica Banche- Assicurazioni Sanità Settore primario Settore merceologico di appartenenza OAI 2015

24 Alta affidabilità del sistema informatico (risposte multiple) 35,4% Architettura alta affidabilità (> 99,9%) 50,0% Piano Business Continuity per ICT attivo OAI

25 Uso della terziarizzazione (risposte multiple) Non si è terziarizzato 37,7% Gestione sicurezza ICT terziarizzata 7,8% Gestione e/o governance ICT terziarizzata 13,0% Hosting o housing totale 13,6% Hosting o housing parziale 47,4% % rispondenti OAI

26 Come proteggersi? 26

27 La sicurezza globale ICT Sicurezza fisica Sicurezza Globale ICT Sicurezza logica Aspetti organizzativi: Procedure e normative Ruoli & responsabilità Fonte: dal volume Sicurezza Digitale ed di Marco Bozzetti 27

28 Le misure tecniche Le misure tecniche ed organizzative tradizionali di prevenzione e protezione possono non essere sufficienti per individuare e contrastare attacchi come TA e APT ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc. Analisi e gestione dei rischi sistematiche Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale, fuzzy logic, statistica bayesiana, ecc. Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni), del loro utilizzo ed analisi di eventuali anomale variazioni rispetto alla normale media Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, ) Analisi dei log degli utenti e soprattutto degli operatori di sistema Scannerizzazione intelligente delle sorgenti di connessioni e di dati Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi Tecniche euristiche per problem solving 28

29 Le misure organizzative Non sono burocrazia Non sono solo per le grandi strutture Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed internazionali Includono: Chiara e pubblica definizione di ruoli e competenze organigramma separazione dei ruoli (SoD, Separation of Duties) matrici RACI Definizione delle Policy e delle relative procedure organizzative Definizione dei controlli e di come attuarli Selezione e controllo del personale e dell uso dell ICT Auditing Analisi dei log degli operatori e degli utenti ICT Radiazione dei sistemi obsoleti Sensibilizzazione, formazione, addestramento degli utenti e degli operatori 29

30 D. Lgs. 16 gennaio 2013, n. 13 certificazione delle competenze Da professionista a Professionista Certificato Art. 3 Sistema nazionale di certificazione delle competenze Art. 17 Riordino della formazione professionale UNI 11506: Attività professionali non regolamentate - Figure professionali operanti nel settore Ict - Definizione dei requisiti di conoscenza, abilità e competenze In vigore da settembre 2013 EUCIP e-cf 3.0 UNI e-cfplus (AICA) 30

31 OAI 2016: prossimi passi Si stanno già impostando tutte le iniziative del prossimo Rapporto 2016 Chi fosse interessato a sponsorizzarlo è pregato di contattarmi: marco.bozzetti@malaboadvisoring.it m.bozzetti@aipsi.org 31

32 Riferimenti