Cyber crime in Italia - la situazione dal Rapporto OAD 2016 e pragmatici suggerimenti su come proteggersi
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Marco R.A. Bozzetti
Presidente AIPSI
Ideatore e curatore OAD
CEO Malabo Srl
Cyber crime in Italia
la situazione dal Rapporto OAD
2016 e pragmatici suggerimenti su
come proteggersi
AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• http://www.aipsi.org/
• Capitolo italiano di ISSA, Information Systems Security Association,
(www.issa.org)
• >>10.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT
• ISSA Journal, Webinar, Conferenze, …
• AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i
professionisti della sicurezza, sia dipendenti sia liberi professionisti ed imprenditori
del settore
• Primari obiettivi AIPSI
• Aiutare i propri Soci nella crescita professionale e quindi del loro business
• offrire ai propri Soci qualificati servizi per tale crescita
• diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli
utenti digitali,
• Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce
• Collaborazione con varie associazioni ICT ed Enti per eventi ed iniziative
congiunte: AICA, Anorc, i vari ClubTI sul territorio, CSA Italy, FidaInform, Inforav,
Polizia Postale, Smau, ecc.
2
OAD, Osservatorio Attacchi Digitali in Italia (ex OAI)
• Che cosa è
• Indagine via web cui liberamente rispondono i diversi interlocutori:
il Rapporto annuale non ha stretta validità statistica ma fornisce
chiare e valide indicazioni sulla situazione e sul trend in Italia,
basilari per un’efficace analisi dei rischi ICT
• Obiettivi iniziativa
• Fornire informazioni sulla reale situazione degli attacchi informatici
in Italia
• Contribuire alla creazione di una cultura della sicurezza informatica
in Italia
• Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
• Che cosa fa
• Indagine annuale condotta attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole
aziende
• Gruppo OAI su Linked
• Come
• Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i
costi di realizzazione)
• Stretto anonimato sui rispondenti al questionario on line via web
• Collaborazione con numerose associazioni (Patrocinatori) per
ampliare il bacino dei rispondenti e dei lettori
3
Le precedenti edizioni OAI
4
Rapporto 2016 OAD
• In corso di completamento,
sarà pubblicato il 20 luglio
2016
• Workshop-conferenza stampa
di presentazione dei risultati il
20 luglio 2016
• Chi fosse interessato a
ricevere il Rapporto 2016 lasci
il suo biglietto da vista con
email. Gli verrà inviato il
codice coupon per scaricare
(gratuitamente) il Rapporto
OAD 2016
5
Gli attacchi digitali in Italia:
una anteprima dal Rapporto 2016
6
Le risposte al Questionario 2016 OAD
• Questionario online via web con 65 domande e risposte, multiple o
singola, da selezionare con un click tra quelle predefinite
• Risposte completamente anonime
• Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di Malabo, di
NextValue, dei Patrocinatori
• 294 rispondenti in totale
7
Attacchi rilevati nel 2015
Più di 10 casi 9,4%
37,6%
Meno di 10 casi 28,2%
Mai o non rilevato 62,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
% rispondenti
© OAD 2016
8Confronto percentuale degli attacchi rilevati nelle varie
edizioni di OAI-OAD (indicatore di trend NON STATISTICO)
80,0%
70,0%
60,0%
% rispondenti
50,0%
40,0%
30,0%
20,0%
10,0%
0,0%
2007 2008 2009 2010 2011 2012 2013 2014 2015
Mai o non rilevati Meno di 10 Più di 10
© OAD 2016
9Percentuale numero di attacchi ripartiti per
dimensione di azienda/ente
50,0%
> 5001 50,0%
0,0%
Numero dipendenti per Azienda/Ente
50,0%
1001 - 5000 28,6%
21,4%
13,3%
251 - 1000 60,0%
26,7%
Più di 10 casi
8,3%
101 - 250 66,7% Meno di 10 casi
25,0%
Mai
6,7%
51 - 100 53,3%
40,0%
9,6%
< 50 42,3%
48,1%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
% rispondenti
© OAD 2016
10Ripartizione percentuale per tipologia di attacco
(risposte multiple)
Furto info da risorse fisse 9,2%
APT e TA 9,8%
Acc. non aut. Dati 11,1% Sempre ai
Furto info da PdL mobili 13,7%
primi 4 posti
Acc. non aut. Programmi 14,4%
nelle 6 edizioni
Attacchi sic. fisica 15,7%
OAI-OAD
Acc. non aut. Sis. 15,7%
Attacchi reti 19,6%
Sfrut. vulnerabilità 27,5%
Ricatti ICT 29,4%
Saturaz. risorse 29,4%
Furto disp. 34,0%
Social Eng. 71,9%
Malware 78,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%
% rispondenti
© OAD 2016
11Attacchi nei servizi in cloud (risposte multiple)
NO 75,6%
Non vengono utilizzati servizi in cloud 27,7%
Non so 19,3%
SI nei servizi SaaS 3,4%
SI nei servizi IaaS 2,5%
SI nei servizi PaaS 0,0%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0%
% Rispondenti
© OAD 2016
12Impatto degli attacchi subiti
© OAD 2016
14,6%
85,4%
Impatto poco significativo Impatto molto significativo
13Quali gli attacchi più temuti nel prossimo futuro?
(risposte multiple)
Codici maligni (malware) 73,9%
Attacchi di Social Engineering, incluso il Phishing 54,6%
Ricatti sulla continuità operativa 44,5%
Sfruttamento vulnerabilità del codice software 37,0%
Furto di informazioni da dispositivi mobili 34,5%
Attacchi alle reti e ai DNS 27,7%
Saturazione risorse ICT 26,1%
Accesso a e uso non autorizzato dei sistemi (host - 1° Livello) 25,2%
Accesso a e uso non autorizzato dei dati trattati (3° Livello) 21,0%
Accesso a e uso non autorizzato dei programmi software (2° Livello) 16,8%
Furto di informazioni da dispositivi fissi 16,0%
Furto apparati ICT 15,1%
TA e APT 7,6%
Attacco fisico 4,2%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0%
% rispondenti
© OAD 2016
14Quali le motivazioni degli attacchi? (risposte
multiple)
Frode informatica 52,1%
Ricatto o ritorsione 51,3%
Hacktivism 34,5%
Vandalismo 33,6%
Sabotaggio 28,6%
Azione Dimostrativa 22,7%
Spionaggio (anche industriale) 21,8%
Terrorismo 6,7%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%
% rispondenti
© OAD 2016
15Come proteggersi ?
Alcune considerazioni «pratiche»
16Sicurezza digitale … non solo un problema tecnico
• La sicurezza dell’ICT è un elemento chiave per:
– garantire la continuità operativa dell’Azienda o dell’Ente
• La Business continuity è un problema di business
• le informazioni e le risorse ICT che li trattano sono un asset
e come tali vanno protette
• garantire la compliance alle varie normative e certificazioni
17La sicurezza globale ICT
Sicurezza fisica
Sicurezza Sicurezza logica
Globale
ICT
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
18Le misure tecniche
• Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione possono
non essere sufficienti per individuare e contrastare attacchi come TA e APT
– ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
• Analisi e gestione dei rischi sistematiche
• Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale,
fuzzy logic, statistica bayesiana, ecc.
– Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni),
del loro utilizzo ed analisi di eventuali anomale variazioni rispetto alla “normale”
media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
• Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
• Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
• Tecniche euristiche per “problem solving”
19Nuovo
Le misure organizzative regolamento
europeo sulla
• Non sono burocrazia privacy
• Non sono solo per le grandi strutture
• Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed
internazionali
• Includono:
• Chiara e pubblica definizione di ruoli e competenzeseparazione dei ruoli
(SoD, Separation of Duties) matrici RACI
• Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
• Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
• Radiazione dei sistemi obsoleti
• Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
ICT (interni o terzi)
20L’effettiva sicurezza ICT dipende da come viene
gestita
• Sia dal punto di vista tecnico
– Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
– Deve essere gestita internamente
– Forte «commitment» dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
• Fare riferimento agli standard ed alle best practice consolidate:
Famiglia ISO 27000, Cobit 5 (4.1- DS5) , ITIL v.3, ecc.
21Come scegliere fornitori e consulenti realmente
competenti?
• La maggior parte delle aziende e degli enti (PAL) italiani sono
dimensionalmente piccoli, e non possono avere qualificate ed
aggiornate competenze interne per la sicurezza digitale (e più in
generale per tutto l’ICT)
• Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso
delegano completamente e senza alcun controllo tutti gli aspetti della
sicurezza digitale (e/o dell’intero loro sistema informatico)
• Le certificazioni professionali sono uno degli strumenti a livello sia di
singola persona sia di azienda/ente.
• Ma ne esistono molte, quali sono quelle di riferimento e realmente
affidabili?
22Da professionista a Professionista Certificato
• D. Lgs. 16 gennaio 2013, n. 13
– Art. 3 Sistema nazionale di certificazione delle competenze
– Art. 17 Riordino della formazione professionale
• UNI 11506: Attività professionali non regolamentate - Figure
professionali operanti nel settore ICT - Definizione dei requisiti di
conoscenza, abilità e competenze
– In vigore
e-CF UNI
EUCIP
3.0 11506
e-CFPlus
(AICA) 23Perché fare riferimento alle certificazioni eCF?
• Il sostanziale valore aggiunto della certificazione e-CF (UNI 11506,
CEN 16234) è indicato nei seguenti punti
• ha valore giuridico in Italia e in Europa (se erogata da una
associazione registrata presso il MISE)
• può valorizzare alcune altre certificazioni indipendenti
• si basa sulla provata esperienza maturata sul campo dal
professionista
• qualifica il professionista considerando l’intera sua biografia
professionale e le competenze ed esperienze maturate nella sua
vita professionale (e non solo per aver seguito un corso e superato
un esame)
24Si richiedono certificazioni sulla sicurezza digitale?
(risposte multiple)
L'Azienda/Ente intende richiedere nel prossimo futuro questo tipo di
5,9%
certificazioni per taluni ruoli ICT al proprio interno
L'Azienda/Ente richiede questo tipo di certificazioni per taluni ruoli e
6,7%
figure professionali ai suoi Fornitori ICT
L'Azienda/Ente prevede di richiedere nel prossimo futuro questo tipo di
11,8%
certificazioni per taluni ruoli e figure professionali ai suoi fornitori ICT
L'Azienda/Ente richiede questo tipo di certificazioni per taluni ruoli ICT
12,6%
al proprio interno
L'Azienda/Ente non richiede questo tipo di certificazioni per taluni ruoli
37,8%
ICT al proprio interno
L'Azienda/Ente non richiede questo tipo di certificazioni per taluni ruoli
57,1%
e figure professionali ai suoi Fornitori ICT
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%
Titolo
© OAD 2016
• La strada è in salita …
• La certificazione eCFPlus per la reale qualificazione del professionista è
un elemento basilare nell’ambito degli obiettivi di AIPSI per la
crescita professionale dei suoi Soci
25Riferimenti
m.bozzetti@aipsi.org
www.aipsi.org
www.issa.org
www.malaboadvisoring.it
27Puoi anche leggere
