Marco R.A. Bozzetti. Presidente AIPSI Ideatore e curatore OAD CEO Malabo Srl. Rapporto 2016

Transcript

1 Marco R.A. Bozzetti Presidente AIPSI Ideatore e curatore OAD CEO Malabo Srl Rapporto 2016 Politecnico di Milano, 20 luglio 2016

2 AIPSI, Associazione Italiana Professionisti Sicurezza Informatica Capitolo italiano di ISSA, Information Systems Security Association, ( >> Soci, la più grande associazione non-profit di professionisti della Sicurezza ICT AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i professionisti della sicurezza, sia dipendenti sia liberi professionisti ed imprenditori del settore Primari obiettivi AIPSI Aiutare i propri Soci nella crescita professionale e quindi del loro business offrire ai propri Soci qualificati servizi per tale crescita diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli utenti digitali, Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce Collaborazione con varie associazioni ICT ed Enti per eventi ed iniziative congiunte: AICA, Anorc, i vari ClubTI sul territorio, CSA Italy, FidaInform, Inforav, Polizia Postale, Smau, ecc. 2 2

3 OAD, Osservatorio Attacchi Digitali in Italia (ex OAI) Che cosa è Indagine via web cui liberamente rispondono i diversi interlocutori: il Rapporto annuale non ha stretta validità statistica ma fornisce chiare e valide indicazioni sulla situazione e sul trend in Italia, basilari per un efficace analisi dei rischi ICT Obiettivi iniziativa Fornire informazioni sulla reale situazione degli attacchi informatici in Italia Contribuire alla creazione di una cultura della sicurezza informatica in Italia Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica Che cosa fa Indagine annuale condotta attraverso un questionario on-line indirizzato a CIO, CISO, CSO, ai proprietari/ceo per le piccole aziende Gruppo OAI su Linked Come Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i costi di realizzazione) Stretto anonimato sui rispondenti al questionario on line via web Collaborazione con numerose associazioni (Patrocinatori) per ampliare il bacino dei rispondenti e dei lettori 3 3

4 Le precedenti edizioni OAI 4 4

5 Rapporto 2016 OAD Per poter avere il Rapporto 2016 lasciare il biglietto da visita con verrà inviato il codice coupon per scaricarlo 5 5

6 Sponsorizzazioni e patrocini OAD 2016 Sponsor Gold Sponsor Silver con la collaborazione di Patrocinatori 6 6

7 Indice del Rapporto Executive Summary in Italiano e in Inglese 2. Introduzione 3. Le tipologie di attacco considerate 4. Gli attacchi informatici rilevati 4.1 Gli impatti dagli attacchi subiti 4.2 Gli attacchi alle infrastrutture critiche italiane: i dati dalla Polizia Postale e delle Comunicazioni e dal C.N.A.I.P.I.C. 4.3 Financial Cybercrime 4.5 Nuovi e vecchi attacchi 4.6 La situazione a livello europeo secondo ENISA 5. L individuazione e la gestione degli attacchi 6. Strumenti e misure di sicurezza ICT adottate 6.1 Sicurezza fisica 6.2 Sicurezza logica 6. 3 Gli strumenti per la gestione della sicurezza digitale 6.4 Le misure organizzative 7. Gli attacchi più temuti nel futuro e le probabili motivazioni Allegato A - Aspetti metodologici dell indagine OAD Allegato B - Il campione emerso dall indagine Allegato C - Profili Sponsor Allegato D Riferimenti e fonti Allegato E - Glossario dei principali termini ed acronimi sugli attacchi informatici Allegato F - Profilo dell Autore Allegato G - Malabo Srl Allegato H - Nextvalue Srl Allegato I - Note 128 pagine A4 5 Tabelle 67 Grafici 7 7

8 Le risposte al Questionario 2016 OAD Questionario online via web con 65 domande e risposte, multiple o singola, da selezionare con un click tra quelle predefinite Risposte completamente anonime Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di Malabo, di NextValue, dei Patrocinatori 288 rispondenti in totale 8 8

9 Attacchi rilevati nel 2015 Più di 10 casi 9,4% 37,6% Meno di 10 casi 28,2% Mai o non rilevato 62,4% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% % rispondenti 9 9

10 % rispondenti Confronto percentuale degli attacchi rilevati nelle varie edizioni di OAI- OAD (indicatore di trend NON STATISTICO) 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Mai o non rilevati Meno di 10 Più di

11 Numero dipendenti per Azienda/Ente Percentuale numero di attacchi ripartiti per dimensione di azienda/ente > ,0% 50,0% 50,0% ,4% 28,6% 50,0% ,3% 13,3% 26,7% 25,0% 60,0% 66,7% Più di 10 casi Meno di 10 casi Mai ,7% 40,0% 53,3% < 50 9,6% 42,3% 48,1% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% % rispondenti 11 11

12 Ripartizione percentuale per tipologia di attacco (risposte multiple) Furto info da risorse fisse APT e TA Acc. non aut. Dati Furto info da PdL mobili Acc. non aut. Programmi Attacchi sic. fisica Acc. non aut. Sis. Attacchi reti Sfrut. vulnerabilità Ricatti ICT Saturaz. risorse Furto disp. Social Eng. Malware 9,2% 9,8% 11,1% 13,7% 14,4% 15,7% 15,7% 19,6% 27,5% 29,4% 29,4% 34,0% Sempre ai primi 4 posti nelle 6 edizioni OAI-OAD 71,9% 78,4% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0% % rispondenti 12 12

13 Attacchi nei servizi in cloud (risposte multiple) NO 75,6% Non vengono utilizzati servizi in cloud 27,7% Non so 19,3% SI nei servizi SaaS 3,4% SI nei servizi IaaS 2,5% SI nei servizi PaaS 0,0% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% % Rispondenti 13 13

14 Impatto degli attacchi subiti 14,6% 85,4% Impatto poco significativo Impatto molto significativo 14 14

15 Valori medi e massimi dei costi economici degli attacchi subiti nel 2015 (Fonte OAD 2016) 15 15

16 Tempo massimo occorso per il ripristino dei sistemi ICT Non lo so 14,0% Oltre un mese Meno di un mese Meno di una settimana 0,0% 3,7% 2,8% Meno di 3 giorni 35,5% Meno di un giorno 43,9% 80% % rispondenti 16 16

17 Statistiche generali attività C.N.A.I.P.I.C. nel 2015 (Fonte: Polizia Postale e delle Comunicazioni) 17 17

18 Sottrazioni di denaro sui conti bancari nel 2015 causati da furto di identità digitale Non lo so SI con una sottrazione < ,00 SI con una sottrazione > ,00 6,5% 1,3% 0,0% NO NO 92,2% % rispondenti 18 18

19 Quali gli attacchi più temuti nel prossimo futuro? (risposte multiple) Codici maligni (malware) Attacchi di Social Engineering, incluso il Phishing Ricatti sulla continuità operativa Sfruttamento vulnerabilità del codice software Furto di informazioni da dispositivi mobili Attacchi alle reti e ai DNS Saturazione risorse ICT Accesso a e uso non autorizzato dei sistemi (host - 1 Livello) Accesso a e uso non autorizzato dei dati trattati (3 Livello) Accesso a e uso non autorizzato dei programmi software (2 Livello) Furto di informazioni da dispositivi fissi Furto apparati ICT TA e APT Attacco fisico 4,2% 7,6% 37,0% 34,5% 27,7% 26,1% 25,2% 21,0% 16,8% 16,0% 15,1% 44,5% 54,6% 73,9% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% % rispondenti 19 19

20 Quali le motivazioni degli attacchi? (risposte multiple) Frode informatica 52,1% Ricatto o ritorsione 51,3% Hacktivism 34,5% Vandalismo 33,6% Sabotaggio 28,6% Azione Dimostrativa 22,7% Spionaggio (anche industriale) 21,8% Terrorismo 6,7% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% % rispondenti 20 20

21 Sintesi attività Polizia Postale di contrasto al cyberterrorismo ed ai reati di odio (Fonte: Polizia Postale e delle Comunicazioni) 21 21

22 Il campione emerso 22 22

23 Ruolo dei rispondenti Responsabile Sicurezza Aziendale (CSO) Altro 0,8% 2,5% Responsabile Tecnologie (CTO) 5,9% Consulente o Terza Parte Responsabile Sicurezza Sistemi Informativi (CISO) 7,6% 8,4% Altro ruolo all'interno dell'uosi Proprietario, Presidente, Amministratore, Direttore Responsabile Sistemi Informatici (CIO) 15,1% % rispondenti 24,4% 35,3% 23 23

24 Macro-settori merceologici delle aziende/enti dei rispondenti 10,9% 15,1% 73,9% Secondario Terziario PA 24 24

25 Numero dipendenti Dimensioni aziende/enti dei rispondenti per numero di dipendenti > ,1% ,9% ,6% ,1% ,6% < 50 43,7% % rispondenti 25 25

26 Esistenza del ruolo di responsabile della sicurezza digitale (CISO) NO, il CISO non è formalmente definito e le sue funzioni sono terziarizzate 3,1% NO, il CISO non è formalmente definito ma le sue funzioni sono svolte di fatto da un'altra figura interna 17,1% NO, il CISO non è formalmente definito ma le sue funzioni sono svolte di fatto dal CIO 18,6% NO, il CISO non è previsto nell'organigramma 21,7% SI, il CISO è definito ed è operativo 39,5% % rispondenti 26 26

27 Livello di affidabilità del sistema informatico e/o di sue parti (risposte multiple) Architettura ad alta affidabilità (disponibilità > 99,9%) Piano di Business Continuity 41,2% 52,1% Fermi necessari per manutenzione ICT Operatività ICT anche in caso di eventi imprevisti Fermi dell'ict richiesti per manutenzione elettricità 24,4% 21,0% 26,9% Non so 3,4% % rispondenti 27 27

28 I Sistemi Operativi in uso (risposte multiple) Mainframe (System z,...) 7,6% Windows Server ,3% IBM OS/400 17,6% Unix 17,6% Hypervisor (Z/VM, VMware ESX, Hyper-V, ecc.) 58,8% Linux 63,9% Windows Server ,9% Windows Server versioni precedenti alla ,3% % rispondenti 28 28

29 Si richiedono certificazioni sulla sicurezza digitale? (risposte multiple) L'Azienda/Ente intende richiedere nel prossimo futuro questo tipo di certificazioni per taluni ruoli ICT al proprio interno L'Azienda/Ente richiede questo tipo di certificazioni per taluni ruoli e figure professionali ai suoi Fornitori ICT L'Azienda/Ente prevede di richiedere nel prossimo futuro questo tipo di certificazioni per taluni ruoli e figure professionali ai suoi fornitori ICT L'Azienda/Ente richiede questo tipo di certificazioni per taluni ruoli ICT al proprio interno L'Azienda/Ente non richiede questo tipo di certificazioni per taluni ruoli ICT al proprio interno L'Azienda/Ente non richiede questo tipo di certificazioni per taluni ruoli e figure professionali ai suoi Fornitori ICT 5,9% 6,7% 11,8% 12,6% 37,8% 57,1% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% Titolo 29 29

30 Perché fare riferimento alle certificazioni ecf? Il sostanziale valore aggiunto della certificazione e-cf (UNI 11506, CEN 16234) è indicato nei seguenti punti ha valore giuridico in Italia e in Europa (se erogata da una associazione registrata presso il MISE) può valorizzare alcune altre certificazioni indipendenti si basa sulla provata esperienza maturata sul campo dal professionista qualifica il professionista considerando l intera sua biografia professionale e le competenze ed esperienze maturate nella sua vita professionale (e non solo per aver seguito un corso e superato un esame) La strada è in salita La certificazione ecfplus per la reale qualificazione del professionista è un elemento basilare nell ambito degli obiettivi di AIPSI per la crescita professionale dei suoi Soci 30 30

31 Riferimenti