Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane

Pagina creata da Martina Perna
 
CONTINUA A LEGGERE
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
Sicurezza Informatica e furto di
    identità nel settore finance:
       il caso Poste Italiane

Gerardo Costabile
Tutela Aziendale                                    Daniele Mariani
Responsabile Sicurezza Logica    Tutela Aziendale - Sicurezza Logica
                                         Responsabile Monitoraggio

                 6 maggio 2009                    Tutela Aziendale
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
I Servizi Aziendali
Il Gruppo Poste Italiane è la più grande azienda di servizi del
Paese. Attraverso un sistema di reti commerciali, logistiche e
informatiche, Poste Italiane offre:
                                      •   prodotti postali;
                  •   prodotti finanziari;

                                  •       prodotti assicurativi;

                  •   servizi di CA;
                                  •       servizi aerei (Mistral Air);

                  •   servizi alle pubbliche amministrazioni;

                                 •    telefonia mobile.

                        6 maggio 2009
  6 maggio 2009                                               2
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
Alcuni numeri

• 155.000 dipendenti
• 13 MLN Clienti
• 14.000 uffici postali
• 150 MLD di euro in contanti movimentati (Gruppo POSTE)
• 17 collegamenti aerei al giorno

BancoPosta:
•     5.5 milioni di conti correnti
      di cui:
          • 750.000 conti on line (Bpol + BPClick)
          • 4500 ATM
          • 38000 POS
          • 6 milioni di carte di credito / debito
          • 5 milioni di carte prepagate
          • 1.400 milioni di prestiti/mutui erogati

                      6 maggio 2009
    6 maggio 2009                               3
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
La complessità dell’ICT

  ¾ 500.000 asset fisici             ¾ Supporto ai business
  ¾ 14.000 LAN                         postale/logistico e finanziario
  ¾ 18.000 Server                    ¾ Strategia di lancio nuovi servizi
  ¾ 45.000 linee fonia                 sul digitale
  ¾ 14.000 linee dati
  ¾ 90.000 utenti
  ¾ 660.000 correntisti online
  ¾ 5,5 MLD transazioni/anno
  ¾ 5 sale a presidio di servizi e
    sicurezza
  ¾ 2 siti di Business Continuity
      • Pomezia
      • Milano
                  6 maggio 2009
 6 maggio 2009                          4
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
La Strategia di Difesa
  La Sicurezza dei Servizi è prioritaria per Poste Italiane.
    Le dimensioni e la complessità rendono necessario un
           approccio coordinato a livello aziendale
 Alla
  Allabase
       basedella
            dellastrategia
                    strategiadididifesa
                                  difesadidiPosteItaliane
                                            PosteItalianevivièèililparticolare
                                                                    particolareorientamento
                                                                                orientamentoaa
 contrastare
  contrastarelelefrodi
                  frodiagendo
                        agendoinnanzitutto
                                  innanzituttodall’interno
                                               dall’internoeesenza
                                                               senzaimpatto
                                                                        impattosulla
                                                                                sullaclientela.
                                                                                      clientela.

 Tale obiettivo si raggiunge attraverso l’implementazione
 di soluzioni tecnologiche d’avanguardia finalizzate alla
 prevenzione e contrasto delle frodi, al monitoraggio real
 time dei servizi finanziari.

 Non manca comunque un costante impegno nei rapporti:

        •    di comunicazione con la clientela;

        •    di collaborazione con le forze di polizia.

                         6 maggio 2009
  6 maggio 2009                                           5
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
6
Tutela Aziendale
Costituita
 Costituita nel
             nel 2003
                  2003 con
                        con lolo scopo
                                  scopo didi garantire,
                                              garantire, per
                                                           per ilil Gruppo
                                                                     Gruppo Poste
                                                                              Poste Italiane,
                                                                                     Italiane, lala tutela
                                                                                                       tutela del
                                                                                                               del
patrimonio   materiale  e immateriale    attraverso   il governo     di un efficace Sistema
 patrimonio materiale e immateriale attraverso il governo di un efficace Sistema di Sicurezza    di  Sicurezza
Globale,
 Globale,ededindividua
              individuaeerealizza
                           realizzainiziative
                                      iniziativefinalizzate
                                                 finalizzateadadassicurare
                                                                    assicurareadeguati
                                                                                adeguatilivelli
                                                                                           livellididisicurezza
                                                                                                       sicurezza
nei diversi ambiti di applicazione   (Fisica,  Logica   e di Safety).
 nei diversi ambiti di applicazione (Fisica, Logica e di Safety).

                                             TUTELA AZIENDALE
                                              Avv. Stefano Grassi

                      AMMINISTRAZIONE E
                                                                    SICUREZZA FISICA
                    CONTROLLO DI GESTIONE

                                                                        MOVIMENTO
                       FRAUD MANAGEMENT
                                                                       FONDI E VALORI

                       GESTIONE E COORD.                          SICUREZZA LOGICA
                     SICUREZZA SUL LAVORO                          Gerardo Costabile

       ANALISI E VALUTAZIONE                  BUSINESS SECURITY                n. 5 AREE TERRITORIALI
               RISCHI                           INTELLIGENCE                      TUTELA AZIENDALE

                             6 maggio 2009
   6 maggio 2009                                                   6
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
7
Sicurezza Logica
Nell’organigramma
 Nell’organigrammadella
                   dellaFunzione
                         FunzionedidiTutela
                                      TutelaAziendale
                                             Aziendalesisiinserisce
                                                           inseriscelalaFunzione
                                                                         FunzionedidiSicurezza
                                                                                      Sicurezza
Logica.
 Logica.

                                               SICUREZZA LOGICA
                    Garantisce, in materia di sicurezza dei dati, le attività di analisi e
                      valutazione dei rischi e la definizione di politiche, linee guida,
                    standard e procedure, controllandone e verificandone la corretta
                                                applicazione.

Politiche e Requisiti di        Protezione delle        Monitoraggio Politiche ed            Gestione del
       Sicurezza                 Informazioni ed          Eventi di Sicurezza                Fabbisogno
                                Analisi dei Rischi                                           Informatico

                               6 maggio 2009
    6 maggio 2009                                                7
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
Il Phishing Oggi
Sebbene il fenomeno del “phishing” sia storicamente legato alle tecniche di social
engineering e all’invio, da parte di ignoti truffatori, di messaggi di posta elettronica
ingannevoli volti a spingere le vittime designate a fornire volontariamente informazioni
personali,…
                               …oggi non è più (soltanto) così!
L’obiettivo di carpire l’identità elettronica (identity theft) dell’utente, oggi è raggiunto attraverso l’utilizzo di
software malevoli (trojan, spyware,..), l’alterazione del sistema DNS o ancora più facilmente ingannando il
computer locale della vittima in modo da dirottare il browser verso “fake site” (pharming).
Per percepire la vastità e la criticità del fenomeno,
 di seguito sono elencate le più importanti tipologie di attacco:
        - Deceptive phishing (phishing ingannevole)
        - Phishing basato su malware (software o codice maligno)
              •   Keylogger o Screenlogger
              •   Session Hijacking (Dirottatori di sessioni)
              •   Web Trojans (Cavalli di Troia sul Web)
              •   Attacchi di riconfigurazione del sistema
        - Phishing con inserimento di contenuti
        - Phishing “Man-in-the-middle”
        - Phishing basato sui motori di ricerca
        - Rock Phish Kit
        - Pharming

                              6 maggio 2009
    6 maggio 2009                                                    8
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
Attuazione di una frode 1/3
                        I frodatori realizzano i siti trappola e identificano una serie di conti correnti,
                        intestati a dei complici (financial manager), tramite cui riciclare i proventi della
        Passo 0         frode. I complici sono spesso reclutati tramite campagne di spamming attraverso
      Preparazione      l’illusione di facili guadagni. L’utilizzo di complici consente al frodatore di operare
                        da paesi stranieri, spesso dell’Est Europa.
                        In alternativa i frodatori aprono tramite false credenziali conti o servizi di
                        appoggio per monetizzare la frode.

                                       Spamming e-mail

                     6 maggio 2009
  6 maggio 2009                                               9
Identità nel settore finance: Sicurezza Informatica e furto di il caso Poste Italiane
Attuazione di una frode 2/3

                             Viene messa in atto la frode, utilizzando le tecniche descritte in precedenza. I
        Passo 1              dati degli utenti vittime, transitando da siti stranieri, finiscono all’interno di basi
 Furto delle credenziali     dati a disposizione dei frodatori.

                           6 maggio 2009
  6 maggio 2009                                                     10
Attuazione di una frode 3/3
                                              I frodatori, in possesso delle credenziali di accesso delle vittime sottoscrivono, utilizzando
             Passo 2                          identità false, prodotti o servizi di Poste Italiane che servono per il ritiro del denaro o,
 Operazioni dispositivi su                    effettuano bonifici nazionali su conti correnti dei complici (financial manager) i quali sono
 conti correnti complici e                    stati precedentemente contattati via SMS o E-mail per ricevere le disposizioni ed effettuare
     menetizzazione                           rapidamente prelievi in contante e quindi rinviare il denaro in paesi stranieri.

                                                                                                         MONETIZZAZIONE: Prelievo
                                                                                                         del denaro dagli ATM
                 Frodatore
                  Frodatore                            Vittima
                                                        Vittimaphishing
                                                                phishing

                                                                                                              Apertura di prodotti di Poste Italiane
 MONETIZZAZIONE: Il complice, si reca                                                                         attraverso l’utilizzo di identità false e
 presso la propria Banca (anche solo 20 minuti                                                                spostamento di denaro dal conti
 dopo il bonifico in frode), preleva il contante,                                                             correnti delle vittume.
 trattenendosi la commissione pattuita (5-10%)
 ed invia, per mezzo di società di Money
 Transfer, il denaro così “ripulito” in paesi
 stranieri.                                                    Financial
                                                                Financialmanager
                                                                          manager
                                          6 maggio 2009
     6 maggio 2009                                                                    11
Contromisure
            Prevenzione                       Monitoraggio operazione                   Controllo allo sportello
                                                    dispositive

Informazione                             Le operazioni dispositive sono           Gli Uffici Postali verificano le identità
                                         analizzate attraverso sistemi che        dei clienti attraverso il controllo
Comunicazione                            producono allarmi in base a regole       documentale.
Identif/Autenticazione/Autorizzaz.       antifrode. Gli allarmi sono analizzati
                                                                                  Secondo le norme vigenti segnalano
                                         da personale dedicato all’interno di
Web-Intelligence                                                                  alla centrale antiriciclaggio prelievi in
                                         un processo di monitoraggio, al fine
                                                                                  contanti superiori a € 12.500,00.
                                         di accertare con certezza gli illeciti

                              6 maggio 2009
    6 maggio 2009                                                     12
La Security Room

•    La sicurezza aziendale, secondo il “modello integrato e centralizzato” della Security Room,
     garantisce il soddisfacimento dell’obiettivo preposto, attraverso la convergenza tra i processi
     di monitoraggio, analisi e controllo di tutti gli aspetti di sicurezza fisica, logica e finanziaria.

             Monitoraggio transazioni finanziarie

                Monitoraggio sicurezza fisica

                 Monitoraggio sicurezza logica

                                                                   Supervisione e controllo della

                                                                  sicurezza aziendale secondo un

                                                                  modello integrato e centralizzato

                                 6 maggio 2009
      6 maggio 2009
Le filiere tecnologiche
•   Nel modello di sicurezza integrato della Security Room convergono le
    funzioni:

                             logica e finanziaria                          Business Security
                                                       Sicurezza Logica                        Fraud Management
               Sicurezza

                                                                              Intelligence

                                                                           Sicurezza Fisica
                                                       Sicurezza Fisica
                                 fisica e del lavoro

                                                                                                    Safety
                                                       Telesorveglianza      Servizi C.O.E.
                 Sicurezza

                                                           6 maggio 2009
    6 maggio 2009
Sicurezza                                Fraud

Sicurezza Logica
                                                                                            Business Security
                                                                              Logica           Intelligence        Management

• Il complesso dei sistemi dedicati alla Sicurezza Logica fornisce       Sicurezza Fisica   Sicurezza Fisica
                                                                                                                     Safety
                                                                         Telesorveglianza     Servizi C.O.E.

 all’operatore di Security Room un supporto informatico          alle

 attività di gestione della conformità alla normativa, alle policy ed
agli standard di sicurezza delle informazioni,dei servizi, dei relativi processi e dei sistemi di Poste
Italiane S.p.A..
                                                   • Tale obiettivo è raggiunto attraverso una
                                                     rappresentazione         grafica            dei            livelli         di

                                                     compliance, un repository documentale e un

                                                     modulo di gestione dei piani di intervento e

                                                     con una visione in tempo reale della Sicurezza
 Informatica e degli allarmi/incidenti in corso di gestione, grazie all’integrazione con l’applicativo
 della funzione “Tecnologie delle Informazione” presso il C.O.S. di Torino.

                          6 maggio 2009
    6 maggio 2009
La Centrale Allarmi
In
In allineamento
   allineamento alla
                  alla politica
                       politica dell’Azienda
                                 dell’Azienda di
                                               di contrasto
                                                  contrasto alle
                                                             alle frodi,
                                                                  frodi, nell’ottica
                                                                         nell’ottica di
                                                                                     di offrire
                                                                                         offrire alla
                                                                                                  alla clientela
                                                                                                       clientela
servizi
servizi sempre
         sempre più
                  più sicuri
                      sicuri ed
                              ed avere
                                  avere una
                                         una tempestiva
                                              tempestiva gestione
                                                            gestione dell’eventuale
                                                                      dell’eventuale emergenza,
                                                                                        emergenza, èè statastata
realizzata
realizzata una
           una Centrale
                Centrale Allarmi
                             Allarmi Antiphishing
                                       Antiphishing cheche raccoglie
                                                            raccoglie ee correla
                                                                          correla tutte
                                                                                   tutte le
                                                                                          le informazioni
                                                                                              informazioni sia
                                                                                                             sia
provenienti
provenienti dall’interno
            dall’interno che
                          che dada fonti
                                   fonti esterne
                                         esterne (ad
                                                  (ad es.
                                                      es. rete
                                                          rete eFraud
                                                               eFraud Network).
                                                                         Network).
                                                                                            FORENSIC Pagine
       Monitoraggio                                                                           Fraudolente

                                                   CENTRALE ALLARMI

      Blocco IP                                                                                      Injection

        IP

        Blocco Mail
                                                                                                  Scansione
           Spam
                                                                                                    WEB

                                                                             Monitoraggio
                      Ricerca Siti Clone
                                                       RSA Fraud             Transazioni
                       tramite Referrer                  Action

                                   6 maggio 2009
      6 maggio 2009                                                   16
Sicurezza       Business Security     Fraud

Fraud Management                             Logica           Intelligence     Management

                                        Sicurezza Fisica   Sicurezza Fisica
                                                                                 Safety
                                        Telesorveglianza     Servizi C.O.E.

         Gli strumenti per la prevenzione ed il
         contrasto delle frodi sono:
                  •   Oracolo
                  •   CAD
                  •   PROF

                       6 maggio 2009
  6 maggio 2009
Sicurezza       Business Security     Fraud

Il Sistema Oracolo                                                              Logica           Intelligence     Management

Il sistema Oracolo è un progetto interamente realizzato                    Sicurezza Fisica   Sicurezza Fisica
                                                                                                                    Safety
                                                                           Telesorveglianza     Servizi C.O.E.
in PosteItaliane. Unico nel suo genere a livello
nazionale, garantisce il monitoraggio della veridicità dei
documenti di identità (C.I., C.F., passaporto,…) utilizzati
allo sportello, la correlazione dei dati storici e l’analisi dei
comportamenti anomali.
                                                                     MINISTERO DELL’INTERNO
                                                                     INA/SAIA
                                                            Il documento esiste o risulta
                                                       1    rubato o smarrito?
                                                                           AGENZIA DELL’ENTRATE
                                                                              (tramite SOGEI)

                                                       2    Il codice fiscale è attribuito?
          Ufficio Postale

                                                       3    Il cliente è stato precedentemente
                                                            identificato come frodatore?
                                                                     BLACKLIST FRODATORI DI
                                                                         POSTE ITALIANE

                            6 maggio 2009
   6 maggio 2009                                       19
20
   Il Sistema Oracolo
      ...l’introduzione del sistema ORACOLO, consente                                ...l’introduzione del sistema ORACOLO, consente agli
     all’operatore di sportello di verificare in tempo reale                        operatori della security room di monitorare e analizzare
      l’identità del cliente e identificare i clienti sospetti,                             in tempo reale l’identità delle informazioni che
      impedendo la sottoscrizione di un servizio o di un                            provengano dagli sportelli con quelle delle black list,
   prodotto e prevenendo in questo modo l’attuazione della                           delle grey list, delle white list, ovvero dal patrimonio
                               frode.                                                  informativo di Poste Italiane fornendo un supporto
                                                                                                  operativo agli operatori di sportello

                                                                                    Monitoraggio operativo
Incasso di denaro                                         Acquisto di carte                                                                         Archiviazione
(tramite vaglia, money                                    PostePay per              Valutare indicatori                                             segnalazioni
trasfert ecc.) al posto                                   monetizzare le frodi di   operativi di processo e
dell’effettivo destinatario.                              phishing.                 sistemistici.                                                 Recepire le comunicazioni
                                                                                                                                                  provenienti dal territorio
                                                                                             Analisi e accertamento                               sulle frodi sventate
            Incasso di assegni falsi                Accesso al credito                       casi anomali                     Supporto in back office
            con apertura e deposito                 utilizzando l’identità di                                                 Garantire alle strutture di
                                                                                              Identificare e verificare
            su libretti di risparmio.               un ignaro cittadino.                                                      sportello il necessario
                                                                                             particolari scenari di rischio
                                                                                             frode, approfondendo             supporto nella risoluzione di
                                        Frodatore                                            eventuali situazioni anomale     casi complessi

                                                    06/05/2009

           6 maggio 2009
Sicurezza       Business Security     Fraud

I Sistemi CAD e PROF                                                             Logica           Intelligence     Management

                                                                            Sicurezza Fisica   Sicurezza Fisica
                                                                                                                     Safety
                                                                            Telesorveglianza     Servizi C.O.E.

Il sistema CAD garantisce il monitoraggio delle
transazioni generate dai prodotti che utilizzano canali
web operazioni on-line sul sito istituzionale aziendale. Il
sistema attraverso delle regole                permette all’analista
della security room di identificare e gestire le
transazione sospette.

Il sistema PROF garantisce il monitoraggio in tempo
reale dell’utilizzo delle carte postamat e postepay
presso gli esercenti e gli sportelli automatici. Esso
consente           di   identificare     eventuali       punti    di
compromissione nel caso di clonazioni fisiche delle
carte stesse in tutto il mondo con conseguente blocco
automatico delle stesse

                               6 maggio 2009
   6 maggio 2009                                                       21
I risultati
Alcuni risultati ottenuti:
  • Nel 60% dei casi i siti fraudolenti
    vengono bloccati entro le 12 ore
    dal momento della rilevazione. Prima
    dell’attivazione della Centrale Allarmi, i
    tempi di shutdown erano mediamente
    superiori alle 96 ore. I dati rilevati,
    secondo uno studio dell’Università di
    Cambridge, hanno collocato negli ultimi
    anni Poste Italiane ai primi posti per
    tempestività nelle azioni di contrasto.

 Più del 60% delle frodi on-line tentate viene scoperto e bloccato sebbene in alcuni
      casi i tempi, in real time, per alcuni servizi, siano pari a meno di 1 minuto.

   Dati diffusi da ABI quantificano al 39% l’ammontare medio delle frodi bloccate.

                         6 maggio 2009
  6 maggio 2009                                  22
La Protezione dei Dati Finanziari

Lo standard PCI DSS (Payment Cards Industry – Data Security Standard) ha l’obiettivo di
migliorare il livello di garanzia offerto nella gestione di transazioni elettroniche e delle
informazioni ad esse correlate e di diffondere la percezione di sicurezza del sistema
verso i possessori di carte di credito, esercenti e fornitori di servizi.

                   A dicembre 2008,
 Poste Italiane ha raggiunto la Full
                     Compliance.

 Primo Istituto finanziario italiano a
        raggiungere tale risultato

                          Prossimo obiettivo: Compliance PCI-PIN

                           6 maggio 2009
   6 maggio 2009                                       23
Grazie per l’attenzione

                     Mariani Daniele
                    Poste Italiane SpA

6 maggio 2009                   24
Puoi anche leggere