Il Cybercrime, la sicurezza e i rimedi

Contesto
In Italia, la categoria di frode più diffusa è l’appropriazione indebita, (65% circa delle frodi dichiarate). Seguono le frodi informatiche (“cybercrime”, 22% dei casi) e le frodi contabili. Poi la corruzione, le violazioni della proprietà intellettuale, le frodi nell’area degli acquisti e le frodi fiscali.

(fonte PwC – GECS 2014)

Il Rapporto Clusit2 settembre 2014 indica che nel mondo dal 2011 al 2013, il numero di attacchi informatici gravi di pubblico dominio è cresciuto del 245%. Nel 2013 (a parità di criteri di classificazione) la media mensile è stata di 96, con un picco di 123 attacchi registrati nel mese di gennaio. Nel primo semestre 2014 il picco si è avuto sempre a gennaio, con 85 attacchi gravi .

Un aspetto da tenere presente, sottolineato da PwC e da Clusit è che non tutti gli attacchi informatici vengono denunciati dalle vittime per motivi principalmente reputazionali o di sicurezza.

Sempre nel Rapporto Clusit 2014 vengono stimati in 882.000.000 i record personali rubati nel corso di 2164 incidenti registrati nel 2013

Esempi di attacchi a grande impatto:
• Cryptolocker, il ransomware che ha costretto centinaia di migliaia di vittime a pagare un “riscatto” per riavere accesso ai dati del proprio computer criptati dal malware
• L’aggressione ai server di Adobe nell’ottobre 2013 con oltre 150 milioni di identità violate
• Un altro mezzo per risultati di grande rilevanza sono gli attacchi DDoS (Distribute Denial of Service):un attacco DDoS ha lo scopo di rendere un server, un servizio o un’infrastruttura indisponibile sovraccaricando la banda passante del server, o utilizzando le risorse fino all’esaurimento.
Nel corso del 2013 gli attacchi DDoS volumetrici (basati cioè sulla quantità di traffico generato per disabilitare il bersaglio) superiori a 10 Gbps sono cresciuti, rispetto all’anno precedente, del 41,6%, con picchi di oltre 300 Gbps3 con una crescita della dimensione media superiore al 43%.

• PWC Global Economic Crime Survey 2014 │Addendum Italiano │Executive Summary – www.pxc.com/it
• Clusit – Rapporto 2014 sulla Sicurezza ICT in Italia – www.clusit.it
• Fonte Arbor Networks Inc. www.arbornetworks.com

Quanto

+ 26%
+ 26%
+ 16%
+ 16%
Chi

Negli ultimi periodi si è assistito ad una diminuzione dei “colpi”, ma contemporaneamente ad una maggiore aggressività degli stessi, grazie anche ad associazione e coordinamento dei cyber criminali, alla caccia di una maggiore “redditività” dal loro punto di vista.
Mentre fino a poco tempo fa la maggior parte degli hackers erano occidentali, negli ultimi anni (e nel 2013 in particolare), grazie alla maggior diffusione di notizie e tecnologie, c’è stata una grande crescita di capacità anche molto avanzate e di azioni intraprese da parte di persone originarie di paesi in via di sviluppo e del terzo mondo.

Un intreccio si è anche sviluppato tra forme di cyber criminalità e forme di hacktivism, (da wikipedia: utilizzo dei computer e delle reti a scopo politico, di protesta, per rivendicazioni di diritti umani, scopi etici, sociali, ecc.) oltre a vere e proprie iniziative di cyberwarfare, spesso di origine “istituzionale” (come ad esempio l’attacco del Syrian .Electronic .Army.a siti americani come quello dell’Harvard University)

Cybercrime e hactivism rappresentano circa il 90% degli attaccanti nel primo semestre 2014, seguiti da sabotaggio/spionaggio (7%) e cyberwarfare (3%) (fonte Clusit)

Andando a classificare gli obiettivi per tipologia, troviamo in prima linea gli Organismi governativi, militari e di intelligence, che rappresentano nel primo semestre 2014 più di ¼ (26%) delle vittime degli attacchi. Seguono i servizi online e cloud (12%), testate di informazione e intrattenimento (11%). Poi, nell’ordine istituti di ricerca e istruzione, commercio di software e hardware, banche (queste ultime 6%), ed a seguire istituzioni sanitarie, GDO, ONG, …(Fonte Rapporto Clusit 2014)

• Fonte Gartner, Inc. www.gartner.com/technology/home.jsp
• Ponemon Institute www.ponemon.org

Modi e mezzi

Le grandi organizzazioni vengono sempre più spesso colpite tramite i propri fornitori e outsourcer, individuati come l’anello più debole da colpire per raggiungere il bersaglio.
A dicembre 2013 sono stati sottratti ad una nota catena americana della grande distribuzione organizzata i codici di 40 milioni di carte di credito, infettando i POS a partire dalla connessione VPN di un fornitore specializzato nella manutenzione di banchi frigoriferi

I Social Network, sono uno dei principali veicoli di attività malevole, grazie alla loro diffusione, in particolare con le piattaforme di messaggistica per smartphone e tablet afflitte da importanti vulnerabilità: come accaduto di recente ad una popolare piattaforma, che ha consentito la diffusione non autorizzata di 6 milioni di numeri di telefono appartenenti agli utenti.

Tipologia e distribuzione tecniche d’attacco

Di seguito sono riportate le più diffuse tecniche di attacco informatico, con le percentuali di frequenza:

• Vulnerability: debolezze, crepe presenti in software (in particolare nei sistemi operativi) che possono permettere accessi ai dati o agli stessi software senza autorizzazione 24%
• Malware: in generale software creato per danneggiare computer o sistemi direttamente o permettendo accessi dall’esterno: 15%
• SQLi : pacchetti di software che colpiscono direttamente i database ed il software relativo consentendo all’hacker di accedere al corpo dei dati con le massime autorizzazioni: 13%
• Account cracking: violazione di account per accedere ai dati del singolo o avere autorizzazioni elevate di accesso ai database: 11%
• DDoS: tecniche di blocco dei server o dei programmi mediante invio di grandi quantità di richieste di accesso: 10%
• Minacce multiple/APT (advanced persistent threat) : sistemi che con attacchi mirati installano una serie di malware che poi diventano operativi nel tempo e non sempre sono immediatamente identificabili: 2%
• Phishing: tecnica tesa a indurre un utente a esplicitare i suoi codici di accesso che vengono poi utilizzati da terzi: 1%
• 0-day: tecnica di ricerca di nuove vulnerabilità dei sistemi che può portare notevoli danni per il tempo necessario a riconoscerle e porre rimedi: 1%

Ian Livingston(ex CEO BT Group e Ministro del Commercio UK):
‘There are two types of CEO – those that know they are being hacked and those that don’t.’

Tendenze, previsioni e provenienze

Tra le tendenze previste per I prossimi periodi, vengono viste dai tecnici come minacce in crescita APT, 0_day, DDOS e Malware, mentre tra gli obiettivi più bersagliati si prevedono i social network, i sistemi cloud, le crypto-monete (bit-coin) ed in generale i sistemi mobile.

Pur essendo quasi impossibile riuscire a capire quale sia l’origine esatta di un attacco in quanto l’attaccante potrebbe lanciare un’operazione rimbalzando su un qualsiasi altro server in giro per il mondo, Fastweb ha analizzato il dato della localizzazione dei server utilizzati come centri di controllo (Command and Control), che vede la metà circa di tali centri ubicati in Asia.
Le nuove frontiere del rischio: I Social Networks e il BYOD

Da qualche anno i social network costituiscono un rischio sia da un punto di vista di immagine (brand reputation) sia da un punto di vista della più classica security aziendale.
Come riporta anche lo studio di A. Pennasilico6, il crescente sviluppo del cosiddetto BYOD (Bring Your Own Device), cioè dell’utilizzo sulle reti aziendali di apparecchi mobili personali (smartphone e tablet, tendenzialmente e storicamente con minori barriere protettive), in abbinamento alla interazione degli stessi apparati sui Social, accresce in maniera esponenziale sia i rischi di esportazione di dati riservati, sia quelli di aprire porte di accesso ad attaccanti esterni, bypassando firewall e altri filtri perimetrali.

L’evoluzione culturale/tecnologica che ha aumentato vertiginosamente la sua velocità, porta ora chi si occupa di security in Rete ad avere a che fare con interlocutori che spesso non appartengono nemmeno più alla generazione dei “nativi digitali” (nati avendo già a disposizione computer e internet), ma già a quella dei “mobile born”, che cercano di avere tutto a disposizione con “app”, di cui spesso si controlla soprattutto la gratuità e meno la sicurezza.

• Alessio L.R. Pennasilico, Security Evangelist presso Alba ST, conosciuto nell’hacker underground come -=mayhem=-, è internazionalmente riconosciuto come esperto di sicurezza informatica.

Le istituzioni

A livello istituzionale, sia comunitario che italiano, si è sviluppata attenzione ai problemi legati al rischi informatici.
Sul sito dell’Agenda Digitale Europea il terzo pilastro è rappresentato da “Trust & Security”; vi si trovano però dati relativi al 2012 e riferimenti al test Cyber Atlantic 2011 (USA/EU per valutare risposte ad un attacco informatico su larga scala), un po’ datati dunque; mentre per quanto riguarda il nostro Paese – non certo ai primi posti per informatizzazione (vedi ad es. www.ec.europa.eu/digital-agenda/en/scoreboard ), – a febbraio 2014 sono stati pubblicati il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico (che riporta 6 indirizzi strategici e 11 indirizzi operativi – vedi sotto) e il Piano Nazionale per la protezione cibernetica e la sicurezza informatica. (vedi in calce per i testi)

I 6 indirizzi strategici del QSN:
• miglioramento capacità tecnologiche istituzioni
• potenziamento difese Infrastrutture Critiche
• incentivazione cooperazione tra istituzioni e imprese
• promozione e diffusione sicurezza cibernetica
• rafforzamento contrasto attività illegali
• rafforzamento cooperazione internazionale

Indirizzi operativi del QSN
1) Sviluppo delle capacità del Sistema di informazione …
2) Identificazione di un’Autorità Nazionale NIS …
3) Definizione di un linguaggio di riferimento unico …
4) Rafforzamento dei rapporti di cooperazione e collaborazione …
5) Realizzazione della piena operatività del CERT nazionale …
6) Garantire la continua efficacia delle misure …
7) Individuazione di standard per la sicurezza di prodotti …
8) Cooperazione con il comparto industriale per la definizione di piani …
9) Mantenimento di una stretta coerenza tra comunicazioni e attività …
10) Attribuzione ai settori strategici della P.A. di adeguate risorse …
11) Implementazione di un sistema integrato di Information Risk Management …

Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico
Piano Nazionale per la protezione cibernetica e la sicurezza informatica
Digital Agenda for Europe

Di seguito rappresentiamo un esempio di approccio all’analisi e alla gestione dei rischi informatici.
Lo schema riassume alcune delle fasi essenziali per lo sviluppo di una politica aziendale consapevole e tesa alla creazione di un piano di sicurezza.
Le scelte che ne conseguono dovrebbero essere sia di tipo strategico, con piani pluriennali di investimento nella sicurezza, sia di tipo operativo, con immediati piani di intervento a livello di best practice per il ridimensionamento dei rischi.

• Analisi del contesto
• Modello sistema informativo
• informazioni in azienda
• informazioni scambiate con esterno
• processi che le utilizzano
• definizione requisiti di sicurezza
• Contesto Normativo
• analisi norme e implicazioni sull’azienda
• rispetto degli obblighi da parte di azienda e responsabili
• analisi poteri e limiti di delega, rischi e sanzioni ammin. e penali
• Analisi del sistema informatico
• Analisi e censimento strutture hw
• infrastrutture fisiche
• Apparati
• cablaggi e connessioni
• Analisi ambienti software
• Programmi
• Procedure
• Servizi
• Analisi organizzazione dati e loro utilizzo
• contesti operativi
• requisiti di sicurezza
• politiche di back-up
• Analisi e valutazione dei rischi
• Individuazione delle vulnerabilità
• vulnerabilità fisiche
• flussi di dati
• processi e accessi
• Stima delle probabilità di occorrenza
• classificazione e frequenza eventi
• dati statistici esterni e interni
• stime tempi medi guasti e ripristino
• Stima della perdita economica
• analisi quantitativa: ALE=LxP
• analisi qualitativa: grafico probabilità-impatto
• Studio e gestione delle contromisure
• Individuazione delle contromisure
• analisi modelli e risultati
• rapporto costi/efficacia
• impatto organizzativo e tecnico
• Integrazione delle contromisure
• verifiche di completezza,
• omogeneità,
• adeguatezza,
• attuabilità
• formulazione del piano di sicurezza
• mitigazione dei rischi -> contromisure
• trasferimento dei rischi -> assicurazioni

Alcuni esempi di analisi e classificazione degli ipotizzabili danni, delle possibili contromisure, per giungere ad una valutazione ponderata costi/benefici degli investimenti in sicurezza dal punto di vista informatico.

Classificazione del danno.
Sono varie le possibilità di classificazione del danno (anche ed in particolare di natura informatica):
• Secondo la natura
• Materiale Danneggiamento, furto distruzione di computer, server, macchinari
• Immateriale Cancellazione, danneggiamento, uso illecito di dati interni, di clienti, di fornitori
• Secondo la causa
• Naturale Incendio, terremoto, fulmini, alluvioni, ecc.
• Umana
• involontario (errore, incidente)
• volontario (doloso)
• esterno (concorrente, avversario, hacker…)
• interno (dipendente, collaboratore, outsourcing… )
• Secondo il tipo di area colpita
• Diretto
danneggiamento e/o distruzione macchinari e attrezzature; cancellazione, furto e vendita di dati, trattamento illecito di dati personali
• Indiretto
costi di ripristino, acquisto nuovi macchinari, risarcimenti danni, pagamento penali, cause legali

• Secondo l’esito
• Economico
riduzione del fatturato (ad esempio sanzioni economiche, riduzione efficienza operativa in seguito al blocco delle attività e degli impianti, costi di ripristino, risarcimento danni a terzi, pagamento multe/penali)
• Di immagine
danni reputazionali, danni di immagine sia verso l’interno che verso l’esterno, perdita di clienti, di quote di mercato, di competitività.

Esempi di classificazione delle contromisure
Natura
• Tecnologica
controllo accessi, identificazione e autenticazione utenti, tracciamento, sistemi di protezione nel trattamento e trasferimento dati
• Organizzativa
norme e regole per il corretto utilizzo del sistema informativo (policy sicurezza informatica, corsi di formazione, interventi di comunicazione).
• Comportamentale

Come per ogni altro settore, il risultato di questo risk management dovrebbe essere una scelta consapevole di quali rischi saranno trattenuti in azienda, in quali modi si potranno ridurre o mitigare, per quali rischi sarà opportuno il trasferimento all’esterno dell’azienda con servizi di outsourcing o con servizi di assistenza o assicurativi.

Si trovano numerose guide che offrono spunti di analisi e di riflessione, sia di specialisti che anche di Enti Governativi, a testimonianza dell’importanza attribuita alla corretta gestione delle interazioni con il mondo web.

Esempio di guida alla “cyber preparation”:

la Five-point cheklist di BAE Systems7 :
• Scelta di un responsabile.:define who has board responsibility, who will explain cyber to the board and what information will be used to make decisions
• Comprensione del rischio: understand what information really matters, what types of risk you care about and how exposed you are
• Decisione attiva sul rischio::set your risk appetite, communicate it to all functions and ensure your resources are effectively deployed
• Piano di resilienza::how will you know when you are being attacked? What will you do when you are? Have you taken reasonable preparations
• Prioritià strategiche::ensure your risk mitigation enables growth; that risk controls do not block progress; and that you remain agile enough to exploit opportunities.

Oppure la corposa guida del CPNI8 (organismo facente capo al Governo britannico).

Il futuro del cyberspazio

Le possibili evoluzioni del mondo internet in relazione agli attacchi cyber, viste da Jason Healey9 in “The Five Futures of Cyber Conflict and Cooperation”:

Dominio: cyberspazio = terreno di conquista come terra, aria, mare, in cui è più facile attaccare che difendersi;
Status quo: situazione come oggi : no eventi catastrofici su larga scala, ma diffusione di spionaggio e cybercrime
Balcanizzazione: non una sola internet, ma tante piccole reti nazionali;
Paradiso: una stabilità a lungo termine nel cyberspazio, con gli attaccanti ridotti perlopiù all’impotenza
Cybergddon: una situazione in cui gli attacchi sono tanto più forti delle difese da far sì che poco o nulla di valido circoli su internet

Healey non stabilisce una graduatoria di probabilità tra le varie opzioni citate, anche se sembra che veda maggiori chances per il dominio o lo status quo, ma anche le situazioni più sconvolgenti tipo cybergeddon non sarebbero molto distanti…

Le coperture assicurative “cyber”

Le coperture per i rischi informatici devono di norma abbracciare vari settori, in relazione ai danni che possono insorgere. Di seguito alcuni esempi:
Property: distruzione, danneggiamento di dati o informazioni, furto dati, violazione sicurezza, estorsione, minacce, interruzione di esercizio, di fornitura, spese di ripristino
Liability: responsabilità civile per divulgazione di informazioni riservate, risarcimento danni di terzi per guasti o violazioni sicurezza, spese di indagine, notifica o pubblicità per violazioni privacy
Legal: spese di difesa per sanzioni per violazioni normative, spese ripristino onorabilità in seguito a furto di identità, assistenza in cause civili o penali (ad es. dl 231/01)

Il mercato per questo tipo di assicurazioni esiste già dalla metà degli anni 90. Oggi cyber è un termine usato genericamente per descrivere un certo numero di soluzioni in grado di coprire l’intero sistema informatico di un’organizzazione, compresi dati e attività multimediali.
Rischi legati alle attrezzature, ai dati, alla responsabilità nella gestione o nella perdita di dati propri e di terzi, costi di crisis management e di ripristino, oltre alle spese tecniche e legali connesse.
I grandi gruppi assicurativi e di brokeraggio hanno da tempo sviluppato prodotti destinati alle grandi imprese, specializzandosi anche nel settore denominato Cyber-CAT (catastrofi cibernetiche).
Le PMI, a quanto risulta finora, per ovvi motivi di budget, hanno preferito ricorrere alle tradizionali polizze all risk/elettronica, che però tendono a lasciare fuori copertura il grosso dei danni immateriali e di immagine che possono essere conseguenza di un incidente o un attacco informatico.
Vista la sempre maggiore dipendenza dei cicli economici e industriali dall’informatica, l’utilizzo di sistemi cloud e del cosiddetto Internet of Things, anche le necessità ed i rischi sulle piccole dimensioni si sono modificate.
A tutto ciò cominciano a delinearsi risposte concrete, con progetti e diffusione di coperture assicurative altamente specializzate sul cyber risk, ma “confezionate” e dimensionate in termini di costi alle esigenze delle PMI o delle realtà di minori dimensioni.

Concludendo…

Consapevolezza, Prevenzione & Tutela.

Qualunque sia l’evoluzione del mondo web, non sembra possibile né per le aziende né per i singoli evitarlo in senso assoluto per non correre rischi.
Da quanto detto finora, qualche spunto su Consapevolezza e Prevenzione potrebbe nascere…
Per quanto riguarda la Tutela, torneremo in argomento con le novità del nuovo anno.

a cura di Fabio Meloni
   

Iscriviti alla newsletter e ricevi informazioni utili alla tua attività!
Aggiornamenti, notizie, offerte speciali.
L’iscrizione è gratuita e puoi annullarla in qualsiasi momento.

WhatsUp Online
Invia su WhatsApp

RB Consulting S.r.l.P.I./C.F.: 17044041006 -

Privacy Policy Cookie Policy