Gli scenari futuri per le imprese e i modelli di gestione dei rischi cyber

Transcript

1 Gli scenari futuri per le imprese e i modelli di gestione dei rischi cyber Stefano Buschi Partner I Deloitte Cyber Risk Services Leader Italia Convegno di Studi -La criminalità informatica e i rischi per le imprese - Scuola di Management ed Economia 28 Novembre 2016, Torino

2 Cyber Security Alcune evidenze significative Le minacce Cyber diventano sempre più «evidenti» per ogni genere di soggetto/organizzazione: per il professionista che vede i propri dati criptati da un ransomware, per la PMI che scopre (non di rado a distanza di mesi) di essere stata derubata del proprio know-how, per la PA che si ritrova nell impossibilità di offrire servizi essenziali ai cittadini, per la grande impresa che subisce un danno economico e di immagine rilevante a seguito di un furto di milioni di dati personali dei propri clienti o di R&D/Proprietà Intellettuale 18 Novembre ,827 informazioni da conti dei clienti dal sistema di gestione upgrade dei device mobili di 3, non sono stati sottratti dati bancari, password, numeri di pin, informazioni di pagamento o di informazioni di credito / debito, ma lo scopo primario è stato l'attività criminale di acquisire nuovi cellulari in maniera fraudolenta 15 Novembre 2016 a più un anno di distanza dal data breach di oltre dati personali (inclusi più di dati bancari!) Talk Talk registra risultati negativi (perdita di clienti di telefonia, cable tv, una multa di oltre , valori delle share stanno continuando a decrescere (circa 20%) nonostante la crescita x3 dei profitti nei primi 6 mesi dell anno Time 2016 N of Data Breached 4 ottobre febbraio E' un nuovo record nella storia della pirateria informatica. La vittima è illustre: JP Morgan Chase, la più grande banca americana. Ben 76 milioni di clienti individuali, più 7 milioni di società, per un totale di 83 milioni. È questo il numero dei conti bancari che sono stati violati Colossale furto di dati personali online le informazioni di 80 milioni di persone, tra clienti e dipendenti dell'assicurazione sanitaria Anthem. La pista che porta a Pechino configura un atto di spionaggio piuttosto che un furto di identità o sabotaggio giugno Aprile 2014 Allarme per le PMI italiane, che stanno subendo una significativa emorragia di proprietà intellettuale, spesso senza nemmeno accorgersene. Uno dei problemi più gravi in questo momento è la durata del tempo che trascorre tra l attacco e la sua scoperta, che ad oggi nel nostro paese in media è di 230 giorni Hacker derubano Benetton, nuova collezione contraffatta in Siria Ponzano Veneto, hacker rubano la nuova collezione di Benetton. L'azienda è stata vittima di un attacco informatico volto ad impossessati dei disegni degli abiti, che sono comparsi contraffatti in Medio Oriente Fonte: (built on data from DataBreaches.net, IdTheftCentre, press reports) Feb

3 Cyber Crime e Cyber Espionage Caratteristiche principali Cybercrime Ricorso ad una combinazione di metodi e tecniche d attacco, da parte di criminali informatici, al fine di provocare un danno economico alle organizzazioni obiettivo Est. $2.1 trillion globally by 2019* Worldwide cost of Cybercrime 1 ca. 500 Billion $ CYBERCRIME Valore riferito sia ai costi diretti che indiretti. I dati utilizzati tengono conto del furto di informazioni aziendali riservate, dei costi aggiuntivi per la protezione delle reti, dei costi di recupero da attacchi informatici, includendo una stima dei danni reputazionali. Redditività media derivante dal Cybercrime: c.a. 20:1 ~ Bilancio costi benefici inerente all esecuzione di cyberattack Mercato del traffico di sostanze stupefacenti ca. 411 Billion $ Costo medio di acquisto di un malware $ Profitto medio derivante da uso di malware $ CARATTERISTICHE IDENTIFICATE DA ANALISI DEI PRINCIPALI DATA BREACH (2015 data) Cyber Espionage Ricorso a strategie e strumenti tecnologici al fine di perpetrare un furto di proprietà intellettuale, in grado di provocare una perdita di vantaggio competitivo alle organizzazioni obiettivo (e/o delle Nazioni) Dati tratti da: Information Security Breaches Survey (UK Deparment for Business Innovation & Skills) - 'Data Breach' Top Concern Of IT Security Pros For 2015 (EIQ Networks) - Boardroom Cyber Watch 2014: Report (IT Governance UK) - Mandiant:Threat Landscape Dell Security Annual Threat Report - *= Juniper Research % % Incremento del tasso di crescita annuo composto (CAGR) degli incidenti di sicurezza rilevati negli ultimi anni (38% YOY) Numero medio di giorni di permanenza degli attaccanti nella rete della vittima prima della rilevazione (243 nel 2014) Percentuale delle vittime che avevano un software anti-virus frequentemente aggiornato 63% Percentuale delle violazioni segnalate da terzi 56% Crescita dei furti di Proprietà intellettuale Il 90% del professionisti IT ha espresso il timore di dover fronteggiare una violazione dei dati nel 2015 Solo il 15% si ritiene preparato a rispondere ad un attacco 3

4 La rilevanza dei Cyber Risk cresce tra i rischi Globali WEF Risk Report li evidenzia come fonti di rischio steady state nei prossimi 10 anni WEF Global Risk Landscape 2016 «Cyber attacks for WEF will remain one of the most significant Technological risk in their 10 years outlook evaluations» (ed. 2015) Increased System and Device Connectivity (digitalized operations): Companies IT infrastructure continues to extend beyond the walls of their data center. With Bring Your Own Device, business partnerships, mobile and cloud proliferation, data is increasingly exposed to higher risks. Estimates shows globally a 27% CAGR (from 10.3M 43,5M) in the of connected devices on industrial automation processes (+25% CAGR of connected things, from Billion devices) Fonte: The Global Risks Report th Edition 4

5 I Cyber Risk richiedono nuove capacità gestionali C è la necessità urgente di aumentare le capability Detection & Response per contrastare un fenomeno asimmetrico La frequenza degli attacchi informatici è in costante aumento. Gli aggressori hanno un numero illimitato di tentativi di compromettere le difese, ma ci vuole un solo punto debole (vulnerabilità tecnica) per «entrare». Le organizzazioni devono accettare che non è possibile prevenire tutti gli attacchi informatici. Tuttavia, è sempre possibile limitare significativamente i danni attraverso una rapida individuazione della compromissione, e la disponibilità delle competenze per poterla «trattare». Seconds Minutes Hours Days Weeks Months Years 100% Time to compromise Time to Discovery Initial attack to initial compromise Initial compromise to data exfiltration Initial compromise to discovery Discovery to containment 43% 29% 4% 11% 7% 7% 38% 25% 8% 14% 8% 8% 27% 24% 39% 0% 0% 0% 32% 38% 17% 0% 1% 9% 0% 0% 9% 4% 75% 50% 25% Percent of breaches where time to compromise (grey)/time to discovery (blue) was days or less Source: Verizon 2014 and 2016 Data Breach investigations Report

6 Cyber Security Evolved. Esemplificazione. 6

7 La gestione dei Cyber Risk richiede, quindi, un nuovo set di capacità L adeguato mix di prevenzione, monitoraggio e capacità di risposta è il paradigma per una efficace gestione dei Cyber Risk Protect Rafforzare i controlli assegnandovi una priorità basata sul rischio, per proteggersi contro le minacce e per rispettare i regolamenti di settore. Detect Rilevare le anomalie e le violazioni attraverso una migliore consapevolezza della stato di tutto il proprio ambiente tecnologico ed informativo Respond Stabilire una capacità di ripresa rapida verso condizioni operative a pieno regime e riparare i danni provocati al proprio business Un efficace gestione dei Cyber Risk richiede un approccio più attivo, un maggiore coinvogimento e commitment dalla leadership, una maggiore integrazione tra i modelli e gli sforzi delle varie unità aziendali, una cooperazione pubblico-privato pragamtica e efficiente e preparazione per la gestione di situazioni di crisi. 7

8 Il nome Deloitte si riferisce a una o più delle seguenti entità: Deloitte Touche Tohmatsu Limited, una società inglese a responsabilità limitata ( DTTL ), le member firm aderenti al suo network e le entità a esse correlate. DTTL e ciascuna delle sue member firm sono entità giuridicamente separate e indipendenti tra loro. DTTL (denominata anche Deloitte Global ) non fornisce servizi ai clienti. Si invita a leggere l informativa completa relativa alla descrizione della struttura legale di Deloitte Touche Tohmatsu Limited e delle sue member firm all indirizzo Deloitte Risk Advisory.