Your SlideShare is downloading. ×
  • Like
TIG White Paper Trends della Cybersecurity _maggio 2013
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

TIG White Paper Trends della Cybersecurity _maggio 2013

  • 337 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
337
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
15
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 2013 Evoluzioni nel mercato italiano della Cybersecurity Maggio 2013
  • 2. SI RINGRAZIANO PER IL LORO SUPPORTO: © The Innovation Group - 2013 |1
  • 3. SOMMARIO SCENARIO INTERNAZIONALE DELLA CYBERSECURITY 4 APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY 7 PRINCIPALI RISULTATI DELL’INDAGINE 7 CRITICITÀ DEL TEMA DELLA CYBERSECURITY NELLE AZIENDE ITALIANE 8 RISCHI INFORMATICI, RESPONSABILITÀ E CONSEGUENZE PERCEPITE 10 OBIETTIVI, ATTIVITÀ ED EFFICACIA DELLA FUNZIONE SECURITY 15 ATTIVITÀ DI INCIDENT RESPONSE E APPLICATION SECURITY 19 SOLUZIONI DI CYBERSECURITY ADOTTATE E PREVISTE 21 AFFRONTARE I NUOVI RISCHI ASSOCIATI A CLOUD, MOBILITY E SOCIAL MEDIA 22 NOTA METODOLOGICA 26 LE AZIENDE ITALIANE E IL TEMA DELLA CLOUD SECURITY 28 DIGITAL FORENSICS E MISURE DIFENSIVE MESSE IN ATTO DALLE AZIENDE 30 POLITICHE EUROPEE E NAZIONALI PER LA SICUREZZA DELLE INFRASTRUTTURE CRITICHE © The Innovation Group - 2013 34 |2
  • 4. Ad un osservatore imparziale appare evidente che lo scenario globale sulle minacce legate a Internet e all’ICT è in costante trasformazione. Da un lato viene sottolineato da più fonti che i rischi sono in crescita e le minacce stanno cambiando natura, responsabilità e target. Dall’altro lato, nuove tendenze che riguardano tutti - gli utenti, le aziende, i consumatori - e che saranno ampiamente discusse nel presente studio, obbligano i decisori aziendali a riconsiderare le proprie politiche e architetture di security per riadattarle ai nuovi contesti. Obiettivo dello studio è quello di fornire ai manager di aziende pubbliche e private, quotidianamente chiamati a prendere decisioni in questo ambito, una fotografia aggiornata sulle evoluzioni in corso nella Cybersecurity. Le conclusioni sono basate da un lato sull’osservazione delle principali dinamiche a livello internazionale, dall’altro lato sullo studio delle scelte effettuate dalle aziende italiane. E’ stata svolta infatti un’indagine che ha coinvolto, nei mesi di marzo e aprile 2013, 115 organizzazioni medio grandi italiane. Il tutto con l’obiettivo di fornire un utile supporto informativo a chi intende attivarsi e cogliere indicazioni concrete su come migliorare il proprio approccio al tema della Cybersecurity. Roberto Masiero Co-Founder The Innovation Group © The Innovation Group - 2013 Ezio Viola Co-Founder The Innovation Group |3
  • 5. Scenario Internazionale Della Cybersecurity SCENARIO INTERNAZIONALE DELLA CYBERSECURITY Guardando alle evoluzioni che a livello globale caratterizzano l’ambito della Cybersecurity, emerge un aspetto che preoccupa più di altri, ossia quello che vede l’affermarsi di attacchi sempre più mirati, rivolti a singole organizzazioni invece che al mass-market e pensati con lo scopo di ottenere forti guadagni sul fronte economico. Si tratta di attacchi progettati per superare le attuali misure di sicurezza, sfruttando debolezze, come l’elemento umano, difficili da prevedere e controllare. Un esempio di questo trend sono gli APTs (Advanced Persistent Threats), attacchi che normalmente durano molto tempo, sono perfettamente orchestrati in modo da utilizzare più tecniche contemporaneamente, si basano (per dare inizio all’attacco) sullo sfruttamento di vulnerabilità umane, ossia la buona fede degli utenti. A questi sono rivolti attacchi di spear phishing congegnati per avere da un lato massima efficacia, dall’altro non essere rilevati dalle soluzioni di security predisposte (ad esempio per il controllo delle mail o della navigazione web). Anche la crescita degli attacchi Zero-days (sfruttano vulnerabilità non ancora note agli stessi vendor del software, per cui hanno successo garantito, non essendoci misure per prevenirli) dimostra quanto l’industria del cyber crime sia oggi avanzata sul fronte delle competenze tecniche e della determinazione nel sfruttarle, anche rivendendole a terzi. Tutte queste attività avvengono per lo più in modo silenzioso, all’insaputa delle vittime, che possono continuare a perdere dati e informazioni rilevanti per anni. Oltre ad avere una maggiore consapevolezza del fenomeno le aziende dovrebbero dotarsi di strumenti per tener traccia di eventuali attività malevole e poter rispondere con azioni legali, come sarà presentato nel capitolo successivo parlando di Digital Forensics. L’industria del cyber crime è sempre più avanzata sul fronte delle competenze tecniche e della determinazione nel sfruttarle Rispetto agli anni scorsi, stanno emergendo le responsabilità di nuove tipologie di attaccanti. Da un lato gli hacktivists, ad esempio Anonymous, che pur usando tecniche di base (DDoS, defacement di siti web), hanno ampliato il campo di azione attaccando anche aziende private, ad esempio dei settori energia e trasporti, per portare a termine proprie azioni di protesta e causare imbarazzo pubblicando informazioni riservate. Dall’altro lato, emerge il ruolo di gruppi di cyber-spie, probabilmente arruolati da stati esteri che volontariamente attuano queste politiche anche a scopo di spionaggio industriale. In questo caso le tecniche di attacco possono essere molto evolute e rimanere silenti nel tempo, per cui solo dopo anni le aziende si accorgono di aver perso informazioni rilevanti come contratti, database clienti, Intellectual Property. Nuove responsabilità tra chi conduce i cyber attacchi Per quanto riguarda la controbilanciata da misure come antivirus, antispyware. Preoccupa la facilità con diffusione di malware, dove si nota una crescita preoccupante è sul fronte dei device mobile. Mentre per altre tipologie di malware infatti il fenomeno, pur rimanendo, è oggi sotto maggiore controllo (e in particolare viene registrata una minore incidenza dello spam rispetto al passato) per quanto riguarda il mobile malware, la diffusione è in crescita e non abbastanza cui il malware riesce a diffondersi fruttando meccanismi come il phishing (anche via SMS) o il download di App non verificate, pratiche sempre più comuni nel mondo consumer, in cui gli utenti sono del tutto impreparati sul fronte della security. Crescita del Mobile malware © The Innovation Group - 2013 |4 L’elemento umano come maggiore vulnerabilità
  • 6. Scenario Internazionale Della Cybersecurity Un aspetto rilevante che sta emergendo è però anche che, guardando all’insieme delle azioni malevole (che non risparmiano in realtà più nessuno, essendo sempre di più le vittime sia lato consumer sia business, in tutti i settori e dimensioni di azienda) escludendo gli attacchi di profilo elevato, per la maggior parte le azioni di furto di dati o interruzione dei servizi potrebbero essere evitate applicando misure minime e prestando maggiore attenzione alla tematica. Inoltre, dove le misure di sicurezza predisposte mostrano maggiormente la loro inadeguatezza è nei casi in cui l’attacco prende di mira gli utenti, ad esempio con tecniche di social engineering o spear phishing. L’elemento umano emerge oggi come la maggiore vulnerabilità nelle politiche di prevenzione e risposta ai rischi della Cybersecurity. Le aziende non fanno evidentemente abbastanza sul fronte del coinvolgimento degli utenti finali nelle attività di prevenzione e risposta: basti pensare che ancora oggi numerose organizzazioni risultano vulnerabili perché le chiavi di accesso utilizzate dagli utenti sono banali, ripetitive e facilmente individuabili! Bisognerebbe quindi lavorare di più per accrescere la cultura della sicurezza all’interno delle organizzazioni nel loro complesso: è evidente che gli strumenti e le metodologie utilizzate finora per creare Security Awareness non hanno funzionato, e vanno ripensati nell’ottica di un maggiore Engagement degli utenti. Richiesta di Awareness e cultura della security Inoltre, dando per scontata oramai la possibilità di un attacco, sarebbe auspicabile che tutte le aziende fossero in grado di reagire tempestivamente. L’analisi di quanto avvenuto ad oggi porta infatti a consigliare misure immediate di risposta all’attacco informatico, anche quando se ne è subito un danno, perché questo aiuta a limitarne gli effetti negativi. Ad esempio, una comunicazione immediata ai clienti in caso di data breach sui loro dati può servire a limitare la perdita di clienti come conseguenza dell’attacco. Il customer churn come conseguenza di un attacco portato a termine rappresenta un elemento da considerare, variabile a seconda del settore in cui opera l’azienda, in genere più alto per servizi finanziari o prodotti High Tech. Necessità di misure immediate di risposta Nel 2012 si è poi assistito all’estensione degli attacchi anche verso le nuove piattaforme dei Social Network (Facebook, Twitter, Pinterest), oltre che verso provider di servizi Cloud (Dropbox). Nel caso degli attacchi ai Social Network, si è trattato più che altro di furti di identità, acquisizione di dati personali, messaggi ingannevoli, quindi utilizzando tecniche di hacking basilari e sfruttando più che altro la limitatezza dei meccanismi di autenticazione delle persone ad oggi adottati da questi siti. Il problema si amplifica però nel caso di utilizzo business dei Social Media, perché in questo caso aumentano rischi di reputazione, danno d’immagine, responsabilità verso terzi, perdita di dati rilevanti o diffusione di malware da comunicazioni provenienti dai Social Media, con possibili implicazioni economiche per le aziende. Attacchi a Social Networks e servizi Cloud Con riferimento invece agli attacchi verso provider Cloud, hanno messo in alcuni casi in evidenza la mancanza di procedure interne di security, per cui ad esempio, nel caso di Dropbox, accedendo all’account di un dipendente della società gli hacker sono entrati in possesso di numerosi account di utenti del servizio di storage online, utilizzandoli in definitiva per inviare spam. Altre situazioni sono apparse però più gravi, in particolare, la temporanea indisponibilità del servizio di Amazon AWS. In questo caso non si è trattato tanto di un attacco informatico ma piuttosto di un problema interno a livello di rete. La mancanza del servizio ha seriamente danneggiato una serie di clienti che basano sui data © The Innovation Group - 2013 |5
  • 7. Scenario Internazionale Della Cybersecurity center di Amazon i propri servizi Internet. Il tema della sicurezza del Cloud è un problema all’attenzione dei governi e di istituzioni, per cui sono prevedibili ampi sviluppi su questo fronte, come sarà illustrato anche nel capitolo successivo. Una ulteriore fonte di preoccupazione viene dalla possibilità che gli hacker spostino in futuro l’attenzione su ulteriori bersagli, costituiti non più da PC, server, o device mobile, ma dai dispositivi elettronici che sempre di più pervadono tutti gli ambiti, dagli autoveicoli, alle abitazioni, alle smart grid. Già oggi il tema delle infrastrutture critiche mette in luce la possibilità che malintenzionati possano prendere il controllo di sistemi e processi la cui indisponibilità avrebbe conseguenze gravissime a livello di intere nazioni (reti elettriche, telecomunicazioni, risorse idriche, sanità, trasporti). Per evitare che questo succeda sarebbe opportuno cominciare a prevedere, fin dalle fasi di design di nuovi prodotti, una sicurezza intrinseca che elimini la possibilità di utilizzi indesiderati. Questo tipo di verifiche e aggiunta di controlli avrebbe però come conseguenza un innalzamento del costo di produzione. L’argomento assume però una tale rilevanza che è diventato oggetto di politiche di sicurezza nazionale. Attualmente vari governi si stanno impegnando in particolare a trovare nuove forme di regolamentazione comune, in modo da mettere a fattore comune gli sforzi che sono richiesti alle diverse parti, pubbliche e private, per mettere in sicurezza le rispettive infrastrutture, trovando giusti bilanciamenti e avviando collaborazioni sia a livello nazionale, sia anche internazionale. Negli USA, è entrato in vigore in febbraio l’ordine esecutivo del Presidente Obama ”Improving Critical Infrastructure - Cybersecurity” rivolto al NIST (National Institute for Standards and Technology) secondo il quale l’istituto dovrà quest’anno collaborare con l’industria nazionale per individuare un framework di azioni volontarie comune. Il NIST in particolare dovrà entro 240 giorni definire una versione preliminare di un apposito sistema - il Cyber Framework - con regole, metodi, procedure di indirizzo e misure di contenimento dei rischi cyber per le infrastrutture. A livello europeo negli ultimi anni sono stati aperti diversi tavoli di discussione, ma di fatto ad oggi sono stati presi soltanto degli impegni piuttosto generici, ad esempio quello che ogni stato membro dell’Unione dovrebbe costituire un proprio CERT nazionale (la tematica sarà approfondita nelle pagine successive). © The Innovation Group - 2013 |6 Infrastrutture critiche e Internet of Things (IoT)
  • 8. Approccio Delle Aziende Italiane Alla Cybersecurity APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY Principali risultati dell’indagine Obiettivo dello studio è stato quello di rilevare, presso un campione di 115 aziende italiane, medio grandi e dei diversi settori verticali, qual è la rilevanza del tema della Cybersecurity; come sta cambiano la percezione sulle minacce in corso; quali sono gli obiettivi e le attività predisposte per il Security Management. Inoltre sono state indagate le soluzioni e le tecnologie utilizzate per i diversi ambiti, con un approfondimento relativo alle attività di Incident Response, Application Security e su ambiti nuovi come Mobility, Social Networks e servizi Cloud. Dall’analisi emerge che le aziende italiane medio grandi attribuiscono elevata importanza al tema della Cybersecurity, ossia delle soluzioni e dei servizi per contrastare malware e altri rischi IT. Hanno però un approccio alla tematica ancora troppo ancorato al passato. Infatti:  Non assegnano sufficiente importanza alle nuove fonti di rischio, dal Mobile, ai Social Networks, al BYOD (Bring Your Own Device).  Hanno scarsa consapevolezza della pericolosità delle nuove minacce, come APTs (Advanced Persistent Threats), attacchi Zero-days e attacchi Scada (Supervisory Control And Data Acquisition), e non vedono nella risposta alle minacce emergenti un obiettivo importante della funzione security.  Sottostimano le perdite economiche legate a incidenti dovuti a cyber attacks, non considerano prioritari per diventare più efficienti aspetti come la Security Intelligence, la gestione end-to-end del problema, l’automatizzazione delle procedure operative. Rispetto a qualche anno fa, oggi la diffusione delle principali misure di Cybersecurity ha raggiunto la maggior parte delle aziende italiane, e le risposte indicano ulteriore crescita dell’adozione. Ciò nonostante rimangono isole di arretratezza su aspetti interni del Security Management che richiederebbero un momento di riflessione da parte dei responsabili.  Nonostante il 74% delle aziende riporti di aver subito almeno un incidente informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi un’adozione ancora molto limitata, soprattutto per aspetti come le analisi forensiche per l’identificazione delle responsabilità, le azioni e la reportistica post incidente.  In tema di Application Security, metà delle aziende definisce guidelines interne per lo sviluppo sicuro di applicazioni, solo un terzo verifica con policy opportune che il software acquisito da terzi sia sicuro. Quello di cui i responsabili della sicurezza si lamentano è la mancanza di risorse interne e di skill dedicati: per questo motivo, il ricorso a fornitori specializzati esterni è frequente, e si configura sia come esternalizzazione di aspetti più operativi (mantenendo la governance all’interno) sia anche come completo passaggio di responsabilità a terzi. © The Innovation Group - 2013 |7 Nonostante il 74% delle aziende riporti di aver subito almeno un incidente informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi un’adozione ancora molto limitata.
  • 9. Approccio Delle Aziende Italiane Alla Cybersecurity La stessa figura comincia ad apparire anche parlando di sicurezza dei Cloud provider. La percezione della sicurezza dei servizi offerti da Cloud provider appare mediamente positiva, con l’eccezione soltanto di un aspetto, il fatto che il Cloud provider possa fornire garanzie sulla localizzazione dei dati. In tema di Mobility e Social Network, le aziende cominciano a mostrare la diffusione di policy interne dedicate a queste tematiche, sia per l’uso aziendale sia quello personale di device mobile e siti social. Dove invece si osserva ancora un salto da effettuare è nella predisposizione di soluzioni di sicurezza dedicate a questi ambienti. Criticità del tema dell a Cybers ecurity nelle aziende italiane La consapevolezza sui rischi informatici è oggi ampiamente diffusa nelle aziende italiane e ad una Awareness elevata corrisponde la predisposizione di numerose attività e misure di Cybersecurity. In un 20% circa delle aziende italiane il tema assume importanza rilevante, tanto da essere considerato fondamentale per preservare il business, la Reputation e quindi, in ultima istanza, la stessa sopravvivenza dell’impresa. Se si analizzano le risposte per settori verticali o per dimensione di impresa si ottengono in alcuni ambiti percentuali ancora più elevate. Il settore finanziario e della pubblica amministrazione sono quelli maggiormente impattati dalla tematica, anche per obblighi normativi che hanno comportato un’elevata attenzione alla sicurezza dei dati e hanno determinato l’adozione di misure e processi volti a prevenire gli incidenti informatici. Tabella 1: Attribuzione di livelli di importanza al tema della Cybersecurity Livello Descrizione Massimo Fondamentale nel preservare il Business e la Reputation dell'azienda Alto La Cybersecurity serve a garantire l'operatività quotidiana Medio Vengono svolte quelle che nel nostro settore sono le misure principali Basso Vengono svolte solo misure di base © The Innovation Group - 2013 |8
  • 10. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 1: Criticità del tema della Cybersecurity Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda? Livello basso 3% Livello massimo 19% Livello medio 33% Livello alto 45% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Si osserva quindi, considerando il complesso delle aziende italiane, una preponderanza di risposte tra chi attribuisce al tema una rilevanza elevata (la Cybersecurity serve a garantire l’operatività quotidiana), con una quota del 45% delle risposte, o media (sono svolte le misure principali), per un ulteriore 33% dei rispondenti. Solo in un 3% delle aziende il tema riveste bassa attenzione, con l’attuazione soltanto di misure minime di security. Figura 2: Criticità del tema della Cybersecurity - per dimensione d’impresa Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda? > 1.000 addetti 24% 50-1.000 addetti < 50 addetti 43% 17% 48% 13% 0% 33% 32% 38% 20% Livello massimo 38% 40% Livello alto 60% Livello medio 3% 13% 80% 100% Livello basso Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 © The Innovation Group - 2013 |9
  • 11. SCENARIO INTERNAZIONALE E ITALIANO DELLA CYBERSECURITY Approccio Delle Aziende Italiane Alla Cybersecurity Per comprendere le diverse attribuzioni di importanza alla tematica è interessante analizzare le risposte per dimensione di azienda o per settore d’impresa. La dimensione dell’impresa è direttamente correlata al tema: tanto maggiore è il numero di dipendenti, tanto più importante sarà avere sotto controllo i possibili rischi informatici e prevedere misure che preservino il Business. Con riferimento al settore, anche in questo caso si nota – come già detto – un’elevata attenzione alla Cybersecurity negli ambiti finance e pubblica amministrazione. A seguire le aziende nel settore dei servizi, utilities, retail e industria attribuiscono, per la maggioranza, importanza medio alta, ma in alcuni casi, ad esempio nei servizi o nel retail, anche scarsa rilevanza della Cybersecurity (con adozione soltanto di misure di base) Figura 3: Criticità del tema della Cybersecurity - per settore verticale Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda? Finance 31% Settore Pubblico 25% Servizi Utilities Retail 62% 46% 14% 40% 34% 20% 14% 33% 40% 14% Livello massimo 15% 58% 10% 0% 29% 56% 8% Industria 8% 10% 52% 40% Livello alto 60% Livello medio 80% 100% Livello basso Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Rischi informatici, responsabilità e conseguenze percepite Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva un approccio ancora troppo legato al passato. I principali rischi che vengono indicati dagli intervistati sono infatti quelli tradizionali, di possibile interruzione del servizio (aspetto che impatta direttamente sulla responsabilità dei manager dell’ICT e quindi viene percepito come maggiormente problematico) o di furto/perdita di dati rilevanti. I nuovi rischi, che stanno emergendo come fonti più probabili di danno e compromissione di sistemi oltre che perdite economiche, come device Mobile, Social Networks, BYOD, ottengono livelli di attenzione troppo bassi, come riporta la figura successiva. La diffusione involontaria di malware ha un peso importante – è citata quasi dalla metà dei rispondenti – e questo sta a indicare che nonostante siano stati effettuati negli ultimi 20 anni numerosi sforzi e siano state impiegate più misure per combattere il malware, tutto questo non sia in realtà considerato sufficiente. © The Innovation Group - 2013 | 10 Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva un approccio ancora troppo legato al passato.
  • 12. Approccio Delle Aziende Italiane Alla Cybersecurity Considerando però la diffusione di malware associata a device BYOD (Bring Your Own Device) o all’utilizzo di Social Network, o in generale a device Mobile aziendali, questi non sono indicati come elementi principali nella determinazione del rischio informatico. Le aziende appaiono in questo modo troppo ancorate a visioni pregresse della security e quindi al mantenimento di soluzioni già esistenti per il controllo del malware. Poco intenzionate invece a far evolvere la propria percezione del rischio verso quelli che sono in effetti i nuovi driver principali Figura 4: Principali rischi informatici percepiti dalle aziende Domanda: Quali dei seguenti ritenete essere i principali rischi informatici per la vostra azienda? Attacchi informatici volti a bloccare i sistemi 55% Furti di dati e informazioni rilevanti 51% Diffusione involontaria di malware da parte di dipendenti/partner 46% Eventi disastrosi che comportano l'interruzione dei servizi/danni ai dati 33% Danni dovuti a comportamenti inconsapevoli (es. su Social Network) 26% Perdita di dati/diffusione di malware associata a device personali (BYOD) 13% Perdita di dati/diffusione di malware per l'utilizzo di device Mobile aziendali 12% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Anche considerando le risposte relative alla pericolosità dei metodi di attacco, riportate nella figura successiva, appare evidente una focalizzazione delle aziende sulle minacce tradizionali. E’ vero che tra i rispondenti della survey molti sono CIO e IT Manager (49% dei rispondenti). Ma anche considerando le risposte soltanto di Chief Security Officer, Security Manager e Security specialists (40% dei rispondenti), si ottengono le stesse percentuali nella distribuzione delle risposte. Chi guarda con occhio critico la figura successiva, non può che rimanere preoccupato vedendo quanto è bassa l’attenzione prestata ai nuovi cyber threats. © The Innovation Group - 2013 | 11
  • 13. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 5: Metodi di attacco ritenuti più pericolosi Domanda: Quali dei seguenti metodi di Cyber attacco ritenete potenzialmente più dannosi per la vostra azienda? Malware (virus, trojans, rootkits, worms) 76% Phishing/Social Engineering 30% Distributed denial of service (DDoS) 29% SQL injection 24% Zero-day attacks 16% APTs/spear phishing 13% Attacchi Scada 8% 0% 20% 40% 60% 80% 100% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 E’ abbastanza sorprendente che chi si occupa di security continui ad attribuire tanta importanza a minacce in buona parte note e in teoria sotto controllo con suite antimalware tradizionali, oramai diffuse nel 98% delle aziende (come sarà mostrato più avanti), mentre invece sia sottostimata così ampiamente la pericolosità degli attacchi Zero-day e APTs (Advanced Persistent Threats), o addirittura Scada (Supervisory Control And Data Acquisition), che pure sono quotidianamente menzionati sui Media come responsabili di enormi danni. Si potrebbe ipotizzare che la figura corrisponda alla percezione delle aziende di essere attaccate con più frequenza con metodi di attacco di tipo tradizionale, ma purtroppo 1 neanche questo è vero. Ad oggi, come ha riportato anche il Report Clusit 2013 , che dipinge la situazione italiana per quanto riguarda le minacce di Cybersecurity, gli attacchi APTs crescono a tassi superiori al 400% per anno, e si posizionano al secondo posto per numerosità dopo quelli SQL Injection, seguiti da attacchi DDoS. Il malware compare soltanto al sesto posto, non è più considerato dagli esperti la tecnica principale per sottrarre informazioni o rendere indisponibili i sistemi. Per quanto riguarda invece l’attribuzione di responsabilità per gli attacchi, la figura che si ottiene intervistando i responsabili della security aziendale rispecchia effettivamente la situazione che emerge da diverse analisi sulle evoluzioni del cyber crime. 1 Clusit, Rapporto 2013 sulla sicurezza ICT in Italia, 2013 © The Innovation Group - 2013 | 12
  • 14. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 6: Responsabili degli attacchi informatici - secondo le aziende Domanda: Quali potrebbero essere secondo lei i maggiori responsabili di Cyber attacchi nel caso della vostra azienda? Cyber Criminals 42% Anonymous/Hacktivists 38% Attacchi dall’interno - dipendenti 27% Attacchi dall’interno - personale a contratto 19% Competitors 11% Stati esteri 10% Business Partner 4% Non è stato possibile determinarlo 15% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Lo sfruttamento delle vulnerabilità dell’ICT per perpetrare frodi con furto di informazioni da parte della criminalità organizzata è un fenomeno in crescita in ogni parte del mondo. I cyber attacchi oggi possono sostanzialmente dividersi in 2 tipologie: quelli attribuiti ai cyber criminals puntano a un ritorno economico immediato, sono volti a sottrarre informazioni che saranno rivendute in seguito nel mercato nero di Internet (cyber espionage). La seconda tipologia di attacchi in forte crescita è invece quella degli hacktivists (Anonymous, WikiLeaks) il cui scopo è effettuare azioni di protesta civile, dove sono lesi i principi della libertà digitale oppure dove si vuole far emergere all’opinione pubblica comportamenti discutibili. Le multinazionali in particolare non sono immuni da attacchi di questo tipo. Come mostra la figura sopra, il rischio collegato ad azioni di hacktivists è oggi considerato come rilevante da parte di molte aziende. In alcuni casi le aziende stanno anche considerando la minaccia proveniente da Stati Esteri. E’ oramai un fatto assodato che alcune nazioni, in particolare la Cina e la Russia, si 2 siano dotate negli ultimi anni di apparati di intelligence che effettuano attività di cyber espionage con sottrazione di Intellectual Property, in particolare in settori avanzati come tecnologie militari, biomediche e farmaceutiche, nuovi materiali e manifatturiere avanzate. 2 Umberto Gori, Luigi Sergio Germani. Information Warfare 2011, Franco Angeli © The Innovation Group - 2013 | 13
  • 15. Approccio Delle Aziende Italiane Alla Cybersecurity Il 74% delle aziende intervistate dichiara di aver avuto lo scorso anno almeno un incidente riconducibile ad un attacco informatico, e in alcuni casi gli incidenti sono stati numerosi. Analizzando le risposte, si ottiene che i settori in cui le aziende subiscono il maggior numero di incidenti da cyber attacchi (superiore a 7) sono l’industria, il settore pubblico e il settore delle telecomunicazioni. Figura 7: Numero di incidenti dovuti a Cyber attacchi Domanda: Qual è il numero approssimativo di incidenti dovuti a Cyber attacchi registrati negli ultimi 12 mesi nella sua azienda? 60% 45% 40% 26% 22% 20% 4% 2% 1% Tra 7 e 10 Tra 11 e 20 Superiore a 40 0% Nessuno Tra 1 e 2 Tra 3 e 6 Fonte: Cybersecurity Survey, TIG, aprile 2013. N=103 Tra le conseguenze degli attacchi vengono citati numerosi aspetti, in principal modo l’interruzione delle attività e il danno d’immagine. Invece, il danno economico non è ritenuto al momento prioritario, ma questo aspetto è probabilmente legato al fatto che si sottostima l’impatto economico di un incidente informativo. Figura 8: Conseguenze degli attacchi informatici - secondo le aziende Domanda: Quali sono state secondo lei le principali conseguenze degli attacchi subiti? Interruzione dell’attività 44% Danni al Brand/alla reputazione 38% Perdita di dati e Intellectual Property 31% Perdita economica 26% Costi dovuti a problemi legali 15% Costi per attività investigative 13% Perdita di clienti 12% Nuovi investimenti in Cybersecurity 9% Perdita del valore della società 2% Nessun danno 5% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 © The Innovation Group - 2013 | 14
  • 16. Approccio Delle Aziende Italiane Alla Cybersecurity Obiettivi, attività ed efficacia della funzione Security Con riferimento agli obiettivi attribuiti alla funzione security nelle aziende italiane, i principali sono la protezione dei dati e delle infrastrutture oltre che la compliance alle norme. La risposta a nuove forme di attacco o malware viene citata come obiettivo, ma purtroppo soltanto da un 38% delle aziende: il restante 62% delle aziende non lo considera evidentemente prioritaria. Questo conferma quanto visto in precedenza, ossia che la pericolosità dei nuovi attacchi (ad esempio quelli del tipo APTs) è ampiamente sottostimata dai responsabili della security. Figura 9: Obiettivi della Funzione IT Security Domanda: Quali sono gli obiettivi che si pone la funzione security nella vostra azienda? Proteggere dati sensibili e Intellectual Property 71% Essere compliant alle norme 63% Rispondere a nuove forme di malware/attacchi informatici 38% Definire un GRC Management integrato e in linea con le richieste del business (GRC) 20% Analizzare i dati della security in modo da essere proattivi (Security Intelligence) 19% Risolvere le problematiche di security dovute a device Mobile 16% Far dipendere le scelte di security da una valutazione d'impatto sul Business 15% Automatizzare le attività legate alla security 13% Definire un modello operativo di security per l’uso del Cloud Computing 5% 0% 20% 40% 60% 80% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Tematiche che rientrano negli obiettivi di una minoranza di responsabili sono:  Governance, Risk e Compliance Management integrato (GRC): si tratta di allineare e gestire tramite piattaforme integrate gli aspetti di Governance della security con il più ampio campo di attività relativo al Risk e Compliance management. E’ un ambito in sviluppo del mercato, che nella nostra indagine viene citato solo da un 20% delle aziende intervistate. © The Innovation Group - 2013 | 15
  • 17. Approccio Delle Aziende Italiane Alla Cybersecurity  Security Intelligence: nell’ambito delle attività di Security Governance, l’utilizzo di soluzioni specifiche di Intelligence, come funzioni analitiche relative a informazioni raccolte con molteplici device e dispositivi (SIEM, Security Information e Event Management) permette di ottenere notevoli benefici in termini di controllo unitario, trasparenza e reporting verso il management dell’azienda, proattività nell’individuare le vulnerabilità, time-to-market nella risposta a eventuali cyber attacchi.  Mobile security: solo un 16% delle aziende considera tra gli obiettivi della funzione security anche il controllo di device mobile.  Ancora meno importanti nelle aziende del campione analizzato aspetti come legare le scelte di security a valutazioni di impatto sul Business dei rischi informatici, l’automatizzazione delle attività legate all’operatività quotidiana della security o la definizione di modelli operativi per l’utilizzo sicuro dei servizi Cloud. In particolare, automatizzare molte procedure permetterebbe di ridurre i costi del Security Management e spostare l’attenzione su attività maggiormente business critical, ma il tema non è attualmente al centro delle strategie per la security. In conclusione, una prima figura che emerge dall’analisi degli obiettivi per i responsabili del Security Management, è di un focus prevalente sulla gestione del day-by-day, sul controllo di una serie di strumenti già implementati, scarso coordinamento con altri ambiti dell’impresa, e in generale di nuovo un’evidente ritardo nella capacità di risposta ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Non il tipo di obiettivi che dovrebbe avere una funzione che governa aspetti con importanza fondamentale per la sopravvivenza stessa del business aziendale, come era stato dichiarato inizialmente. Andando a vedere come nella pratica si traducono gli obiettivi della funzione security, ossia quali sono le attività e i task che quotidianamente vengono svolti, in azienda o tramite fornitori esterni, si ottiene una figura molto articolata su tutti i diversi ambiti. Nell’analisi ci siamo concentrati su quelli che riteniamo essere i processi principali del Security Management. Come mostra la figura successiva, trattandosi di attività core, sono per lo più svolte internamente, e quando date all’esterno, nella maggior parte dei casi mantenendo comunque all’interno la Governance complessiva – per cui al fornitore sono demandate soltanto attività operative con una gestione che rimane comunque all’interno. Tutti i processi considerati hanno diffusione molto elevata, in alcuni casi riguardano la totalità delle imprese contattate (considerando sia il fatto che siano svolti internamente che anche da fornitori esterni), con esclusione soltanto degli aspetti di Vulnerability Assessment e di Security Intelligence (SIEM), che registrano invece quote di adozione più basse, tra il 70 e l’80% (contando anche l’apporto dei fornitori esterni), e mostrano contemporaneamente una più elevata propensione all’outsourcing. © The Innovation Group - 2013 | 16 Focus prevalente sulla gestione del day-by-day, sul controllo di una serie di strumenti già implementati, scarso coordinamento con altri ambiti dell’impresa, e in generale di nuovo un’evidente ritardo nella capacità di risposta ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile.
  • 18. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 10: Attività della Funzione IT Security Domanda: Quali delle seguenti attività sono svolte dalla funzione IT Security, totalmente o in parte, o in alternativa da fornitori esterni? Controllo / gestione accessi 76% Disegno di policy di Security 20% 64% 32% 2% 3% Internamente Enforcement delle policy 70% 23% 2% Backup e recovery/BC 66% Formazione degli utenti 66% Event/Log Management 65% 19% 8% 5% Patch Management 64% 19% 7% 7% Risk Management 66% Compliance Management 23% 21% 23% 39% SIEM/Security Intelligence 25% 43% 0% 20% 21% 40% 3% 8% 21% 57% Vulnerability Scanning 5% 5% 21% 63% Incident Response 4% 60% Svolto in toto da fornitori esterni 3% 11% 6% 11% 19% 9% Governance interna e attività date all'esterno Attività non svolta 14% 25% 80% 100% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112 La figura mostra quindi un buon livello di Readiness in termini di processi fondamentali del Security Management, considerando anche il fatto che stiamo parlando di aziende di tutti i settori di mercato e, per un 7% dei casi, di aziende con dimensioni inferiori ai 50 3 addetti . In particolar modo, gli ambiti che ottengono maggiore attenzione sul fronte delle attività di Security Management sono il controllo e la gestione degli accessi, il disegno e l’enforcement di policy di security, le attività di backup, recovery o business continuity volte a salvaguardare i dati e in alcuni casi anche la continuità dei servizi ICT. Dove si comincia ad osservare una percentuale minoritaria di aziende che non svolge alcuna attività (intorno al 10%) è soltanto per aspetti di Compliance e Risk Management, di Incident Response oltre che di Vulnerability Scanning e Security Intelligence, come detto in precedenza. Come rendere più efficace la funzione security nelle sue attività di operatività quotidiana, controllo e definizione di policy? Secondo i responsabili intervistati sarebbe fondamentale poter disporre di maggiori skill nell’ambito specifico, altamente specialistico, della Cybersecurity. Quindi possibilità di dotarsi di risorse specializzate, che come noto sono difficili da reperire nel mercato. 3 Le caratteristiche del campione analizzato sono riportate alla fine del presente capitolo. © The Innovation Group - 2013 | 17
  • 19. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 11: Efficacia del Security Management Domanda: Quali elementi secondo voi rendono più efficace il Security Management? Disporre di maggiori skill interni in ambito security 51% Disporre di una struttura dedicata e di un manager dedicato (CSO o CISO) 48% La security è definita a priori, nella fase di progettazione 28% Maggiore integrazione in ottica end-toend delle tecnologie per la security 24% Integrare la Governance della security con il Risk e il Compliance Management 23% Far dipendere gli investimenti in security da analisi su rischi e perdite 19% Disporre di informazioni più complete su tutti i rischi dell'azienda 18% Il CSO/CISO riporta direttamente al Board 13% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112 In secondo luogo, viene citata la necessità di dotarsi di una struttura dedicata e di un management dedicato (Chief Security Officer o Chief Information Security Officer). Non si ritiene però in generale che l’organizzazione della struttura di security debba essere fatta in modo da riportare direttamente al Board dell’azienda (solo il 13% dei rispondenti pensano che sarebbe un modo per rendere più efficace il Security Management). Anche altri aspetti, come il Security-by-design (la possibilità di inserire la sicurezza informatica nella fase iniziale di progettazione di nuovi prodotti/servizi dell’impresa) o l’integrazione end-to-end e la visione olistica che abbracci tutti gli aspetti della sicurezza, sono citati come importanti solo da una minoranza dei rispondenti, intorno al 20%. L’impressione che si ottiene analizzando le risposte è che i responsabili della security non si stiano oggi interrogando su quali cambiamenti li renderebbero più efficaci. Percepiscono soltanto difficoltà legate al day-by-day, come mancanza di fondi, risorse o skill. Non è stato effettuato, se non in una minoranza dei casi, il salto culturale che dovrebbe portare il Security Management a diventare ambito strategico dell’azienda. © The Innovation Group - 2013 | 18
  • 20. Approccio Delle Aziende Italiane Alla Cybersecurity Attività di Incident Response e Application Security Due ambiti su cui abbiamo deciso di concentrare l’analisi, trattandosi in entrambi i casi di attività potenzialmente molto critiche (ma spesso sottovalutate dalle aziende italiane) sono quelli dell’Incident Response e dell’Application Security. Con Incident Response si intendono le attività preposte alla prevenzione e gestione di eventuali incidenti, ossia eventi che hanno comportato una riduzione o un annullamento dell’operatività dei servizi, una perdita di dati e quant’altro. La gestione degli incidenti è un’attività fondamentale, volta a limitarne le conseguenze, in quanto un incidente non gestito può comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a impatti imprevedibili. Un team di Incident Response viene di solito responsabilizzato su tutte le attività specifiche per la gestione e la risposta agli incidenti. Si parte dalle attività preventive (identificazione di possibili falle o vulnerabilità nei sistemi che possono condurre a incidenti) fino alle attività di risoluzione e notifica – in caso di incidente – a quelle di investigazione successiva – per individuare grazie all’analisi dei log data le cause dell’incidente ed eventuali responsabilità. Un CERT interno (Computer Emergency Response Team) può anche essere incaricato di queste attività. Figura 12: Attività di Incident Response Domanda: Quali attività di Incident Response svolgete? Analisi preventive per verificare eventuali vulnerabilità 56% Analisi degli incidenti con comprensione del loro impatto 52% Analisi per identificare le cause degli incidenti 40% Azioni per minimizzare gli impatti 25% Reportistica sugli incidenti 23% Aggregazioni/analisi comparativa degli incidenti 9% Nessuna delle precedenti risposte 5% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112 Le misure preventive sono quelle che di solito fanno capo alle attività di Vulnerability Assessment/Penetration Test. Come mostra la figura successiva, sono quelle più diffuse presso le aziende italiane (con un 56% delle risposte). Dove sicuramente le aziende si mostrano poco preparate – non avendo evidentemente strutturato le attività di Incident Response in modo organico e completo – sono le attività forensiche (di comprensione © The Innovation Group - 2013 | 19 La gestione degli incidenti è un’attività fondamentale, volta a limitarne le conseguenze, in quanto un incidente non gestito può comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a impatti imprevedibili.
  • 21. Approccio Delle Aziende Italiane Alla Cybersecurity della dinamica e attribuzione di responsabilità associate agli incidenti) ad oggi svolte soltanto da un 40% delle aziende. Il tema dell’Application Security riguarda invece l’insieme delle attività e delle misure previste dalle aziende per sviluppare, utilizzare e mantenere nel tempo applicazioni software sicure, ossia prive di vulnerabilità gravi che possono mettere in crisi l’operatività del Business o comportare danni economici e di immagine. Oggi un problema molto sentito è quello della realizzazione di App Mobile sicure: sia perché le aziende hanno l’ambizione di arrivare sul mercato in tempi rapidi con App suggestive, da far utilizzare a dipendenti o clienti sui nuovi smartphone o tablet, sia perché tutto il mondo dei device mobile Android, iOS, BlackBerry e Windows ha dimostrato negli ultimi anni di poter essere un veicolo per la diffusione di malware, l’utilizzo improprio di risorse aziendali e anche la perdita/furto di dati rilevanti. Come mostrano i risultati dell’indagine, gli aspetti di Application Security sono tenuti in conto dai responsabili della security (solo un 10% degli intervistati non svolge alcuna attività in questo ambito), ma soprattutto dal punto di vista della definizione di guidelines per lo sviluppo sicuro delle applicazioni. Attività di testing/quality assurance sono svolte soltanto da una minoranza di aziende (43%). Quella che pare molto grave è la scarsa propensione (riguarda soltanto un 17% delle aziende) a verificare la sicurezza delle applicazioni esposte su Internet. Considerando che sempre più spesso le applicazioni aziendali sono “aperte al Web”, è evidente che la mancanza di misure specifiche rappresenta una falla molto grave nelle policy di security. Figura 13: Attività di Application Security Domanda: Quali attività per l’Application Security svolgete? Definizione di guidelines interne per lo sviluppo più sicuro delle applicazioni 52% Testing/quality assurance in fase di rilascio applicativo 43% Policy di security assessment di software sviluppato da terzi 34% Utilizzo di strumenti per testare internamente la sicurezza applicativa 21% Utilizzo di servizi esterni per verificare la sicurezza delle applicazioni aziendali 18% Scanning di applicazioni esposte su Internet 17% La soluzione per i test di sicurezza e' integrata con l’ambiente di sviluppo 9% Non svolgiamo nessuna attività di Application Security 10% 0% 20% 40% 60% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112 © The Innovation Group - 2013 | 20 Sempre più spesso le applicazioni aziendali sono “aperte al Web”, è evidente che la mancanza di misure specifiche rappresenta una falla molto grave nelle policy di security.
  • 22. Approccio Delle Aziende Italiane Alla Cybersecurity Gli attacchi alle applicazioni Web sono oggi tra le metodologie preferite dagli hacker, anche perché dalle applicazioni si arriva fino ai dati di back-end e quindi alla possibilità di entrare in possesso di informazioni critiche (ad esempio tramite SQL Injection, ad oggi la metodologia di attacco più diffusa secondo diverse fonti). Come sarà mostrato in seguito, le aziende si dotano spesso di appliance specifiche per la protezione delle applicazioni Web (Web Application Firewall, adottate dal 72% delle aziende secondo la nostra indagine). Anche per quanto riguarda il software acquistato, non sono utilizzate se non in una minoranza di aziende (il 34%) policy specifiche per avere garanzia dai vendor che il software sia privo di vulnerabilità. Considerando che sempre più spesso il software aziendale è sviluppato da terze parti, non aver previsto test preventivi formalizzati nel contratto di acquisto del software comporta un’assunzione di rischio da parte delle organizzazioni. A livello internazionale si osserva invece una crescita di interesse per 4 programmi di assessment del software rivolti alle terze parti . Sol uzioni di Cybers ecurity adottate e previste Come mostra la figura successiva, le aziende hanno adottato negli ultimi anni una miriade di tecnologie di Cybersecurity che - a diversi livelli e in modo molto specialistico rispondono a singoli aspetti al problema più ampio della riduzione del rischio informatico. Tradizionalmente l’antivirus, poi evoluto verso suite di endpoint protection inglobando altri aspetti (antispam, antiphishing, DLP) e gli apparati posizionati ai confini della rete aziendale (firewall, VPN) hanno rappresentato la prima barriera contro le minacce. Al crescere dei rischi, l’adozione di nuove soluzioni (web application firewall, gateway per web security ed email security, data loss prevention, encryption e quant’altro) sono andate via via diffondendosi. Oggi la figura mostra un buon livello di protezione da più punti di vista, oltre che tassi di crescita dell’adozione per numerose categorie di prodotti, elemento che conferma le stime di crescita del mercato della Cybersecurity nel suo complesso. Dove si nota invece una potenziale debolezza delle aziende italiane è nell’ambito della Security Intelligence (SIEM/Log management/Event Correlation), con soltanto un 60% delle aziende che si è dotata di queste soluzioni. La possibilità di tenere sotto controllo gli ambienti di security, governare e misurare il proprio livello di risposta alle minacce, passa infatti attraverso consolle unitarie di gestione e analisi degli eventi. Data anche la complessità raggiunta dalle architetture di security, è evidente che solo un controllo centralizzato, automatizzato, multivendor e standard-based di raccolta e analisi dei dati collegati agli eventi può permettere un livello di protezione adeguato. 4 Five Best Practices of Vendor Application Management, WhitePaper, Veracode, settembre 2012 © The Innovation Group - 2013 | 21
  • 23. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 14: Soluzioni di Cybersecurity adottate e previste Anti Malware (antivirus, antispam) 97% 3% Network Technologies - firewall, etc. 96% 4% Access control 94% Backup/recovery 92% Intrusion prevention/detection (IPS/IDS) 3% 4% 79% Web Application Firewall 72% Business continuity/High Availability 8% 13% 71% Identity control (role management) 60% Sender reputation/whitelisting 30% 0% 20% 2012 31% 10% 45% Soluzioni anti-APTs 29% 9% 46% Messaging security 22% 9% 50% Data Loss Prevention/encryption 25% 7% 62% SIEM/Log management/event correlation 3% 40% 12% 42% 8% 46% 11% 40% 2013 59% 60% 80% 100% Non previsto Fonte: Cybersecurity Survey, TIG, aprile 2013. N=110. Affrontar e i nuovi rischi associati a Cloud, Mobility e Soci al Medi a La diffusione di servizi Cloud, dei device Mobile, l’utilizzo di Social Media all’interno o al di fuori dai confini aziendali, oltre che in generale tutto quanto va sotto l’ambito dell’IT Consumerization (tecnologie e servizi Web diventati popolari nell’IT Consumer che passano poi ad essere utilizzati anche in ambito enterprise), crea sfide rilevanti dal punto di vista della gestione della security. Come abbiamo verificato con una precedente ricerca (svolta da The Innovation Group 5 nel gennaio 2013, relativa in particolare al tema della Mobility e del BYOD ) oggi soltanto un terzo delle aziende italiane considera il tema dell’IT Consumerization e del BYOD come un’opportunità aziendale, ad esempio per ridurre i costi della Mobility, che pure sono in continua crescita. 5 Elena Vaciago. Quali strategie per il BYOD? The Innovation Group, febbraio 2013 © The Innovation Group - 2013 | 22
  • 24. Approccio Delle Aziende Italiane Alla Cybersecurity Le aziende dovrebbero maturare maggiore consapevolezza su quale può essere un utile contributo di questi fenomeni se allineati ai bisogni effettivi della singola realtà. Ad oggi il tema della protezione dei dati e degli asset interni dai rischi collegati a Cloud, Mobile e Social Media si traduce principalmente in regole e prassi interne, pensate da un lato per elevare l’Awareness delle persone su questi aspetti, dall’altro lato per predisporre misure, processi e controlli collegati agli effettivi utilizzi. Figura 15: Policy e misure relative ai nuovi rischi di Cybersecurity Domanda: Avete definito policy e misure per la sicurezza di … Utilizzo aziendale di device e App Mobile 67% Utilizzo personale di device e App Mobile (BYOD) 11% 39% Utilizzo aziendale di Social Media 17% 51% Utilizzo personale di Social Media Utilizzo aziendale di servizi Cloud 6% 35% Utilizzo personale di servizi Cloud (BYOS, Bring Your Own Software) 27% 0% Si’ 20% 43% 9% 38% 39% 56% 24% 41% 14% 40% 22% 60% 60% Non ancora ma previsto 80% 100% No e non previsto Fonte: Cybersecurity Survey, TIG, aprile 2013. N=109 Per quanto riguarda invece le misure di security specifiche per l’ambito dei Social Media, dalla presente indagine emerge che le aziende italiane hanno cominciato ad applicare alcune misure, ma in percentuali molto basse. Un uso non conforme dei Social Media può comportare numerose problematiche a livello aziendale. La commistione tra l’utilizzo aziendale e personale dei siti social aumenta il rischio che opinioni personali vadano a ledere l’immagine dell’azienda, o le reti interne possano essere più facilmente attaccate tramite malware scaricato da siti social. Circa un 34% di aziende afferma di avere soluzioni di security assessment per la navigazione online, o di poter rilevare, tramite misure ad hoc, l’accesso ai siti social. Va osservato però che queste forme di controllo effettuate sulla rete aziendale non sono in grado di proteggere tutte le situazioni, dal momento che sempre più spesso gli utenti si collegano ai siti social da mobile. © The Innovation Group - 2013 | 23
  • 25. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 16: Misure di Security specifiche per i Social Media Domanda: Con riferimento ai rischi di sicurezza associati all'utilizzo di Social Media, quale situazione corrisponde alla vostra azienda? Abbiamo un sistema di Security Assesment dedicato alla navigazione Online 34% Siamo dotati di un sistema di rilevazione degli accessi ai sistemi Social 27% Abbiamo un sistema di Security Assesment dedicato ai Social Media 23% Siamo attenti agli agreement sottoscritti nell'iscrizione ai Social Media 6% Nessuna delle precedenti misure 24% 0% 10% 20% 30% 40% 50% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=107 Pochissime aziende poi verificano con attenzione gli agreement sottoscritti al momento dell’iscrizione. Questa problematica riguarda chi utilizza i Social Media per il business, e quindi ad esempio registra una pagina social aziendale su Facebook o altri siti. Non fare attenzione agli agreement sottoscritti al momento dell’iscrizione può comportare la perdita per le aziende di alcuni diritti sulla proprietà dei contenuti che saranno caricati sui siti. Per quanto riguarda la percezione che le aziende hanno della sicurezza offerta dai Cloud provider, la figura successiva mostra in generale un livello elevato, con giudizi per lo più positivi – con l’eccezione soltanto di un aspetto, la possibilità che il Cloud provider fornisca garanzie su una localizzazione dei dati corrispondenti alle norme. L’impressione che fornisce la figura è che con l’utilizzo di servizi Cloud le aziende trasferiscono la responsabilità su processi e tecnologie di Cybersecurity ai loro fornitori. © The Innovation Group - 2013 | 24
  • 26. Approccio Delle Aziende Italiane Alla Cybersecurity Figura 17: Opinioni sulla Security nel Cloud Domanda: Con riferimento ai servizi Cloud pubblici, quanto siete d'accordo con le seguenti affermazioni? I Cloud Service Provider (CSP) offrono meccanismi di data backup e recovery 79% I CSP prevedono tecniche sicure di accesso ai dati da parte dei clienti 21% 75% 25% I CSP offrono garanzie sul Data Removal in caso di cessazione del servizio 61% 39% I CSP sottostanno a regolamentazioni, audit e controlli in ambito Data Security 60% 40% I CSP mettono a disposizione meccanismi per mantenere separati dati di clienti diversi 56% 44% I CSP mettono a disposizione sistemi di encryption di data-in-transit o data-at-rest 55% 45% I CSP permettono ai clienti di scegliere dove localizzare i dati 40% 0% 20% Sempre o abbastanza spesso 60% 40% 60% 80% Poco o per niente Fonte: Cybersecurity Survey, TIG, aprile 2013. N=107 © The Innovation Group - 2013 | 25 100%
  • 27. Nota Metodologica Nota Metodologica Sono riportate di seguito le caratteristiche del campione utilizzato per la survey. L’indagine è stata svolta, in parte con interviste telefoniche dirette e in parte con survey online, tra marzo e aprile 2013. Ha coinvolto 115 aziende dei diversi settori verticali, con una prevalenza di realtà del mondo manifatturiero (29 aziende), della pubblica amministrazione e sanità (25), del settore finanziario (13) e delle utilities (12). Con riferimento al settore finanziario, non si tratta di grandi gruppi bancari ma piuttosto di banche di media dimensione, assicurazioni e intermediari finanziari. Il mondo utilities comprende anche operatori Oil&Gas e numerose municipalizzate. Figura 18: Settore delle aziende del campione Domanda: In quale settore opera la sua azienda? Banche/Finanza Information Sanità Turismo 9% 7% Utility Technology 2% Costruzioni Assicurazioni 10% 2% 3% 3% Settore Pubblico Trasporti/Logisti 15% ca 7% TLC/Media Commercio, 4% Distribuzione 9% Servizi Industria 4% 25% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Con riferimento alla dimensione delle aziende nel campione, si ha una distribuzione su più classi, ma per lo più concentrata su aziende di media dimensione (con 65 casi tra i 51 e i 1.000 addetti) e di grande dimensione (42 casi di aziende con oltre 1.000 addetti, fino a oltre 10.000 addetti, come mostra la figura successiva). La classe delle piccole imprese, con meno di 50 addetti, conta soltanto 8 casi, che non possono quindi essere assunti come significativi della realtà delle piccole aziende. Invece la rappresentatività delle medie e grandi è sufficiente per elaborare considerazioni generali per queste tipologie di aziende. © The Innovation Group - 2013 | 26
  • 28. Nota Metodologica Figura 19: Dimensione delle aziende del campione Domanda: Qual è il numero di dipendenti della sua azienda? 5.001-10.000 8% 10.001+ 9,6% 11-50 7% 1.001-5.000 19% 501-1000 18% 51-100 9% 101-200 9% 201-500 21% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 Hanno risposto all’indagine responsabili aziendali con diversi ruoli, dal direttore generale al responsabile IT, alle figure specialistiche e i manager dedicati alla security. Veniva intervistato di volta in volta chi rispondeva in azienda delle scelte collegate al Security Management. Si nota che nella maggior parte dei casi questo ruolo è affidato al CIO o al responsabile dei sistemi informativi (49% delle risposte) ma in un 28% delle aziende contattate hanno risposto figure con ruolo e responsabilità specifiche, ossia CSO/CISO oppure Security Manager. Nei restanti casi (escludendo le risposte relativi ai CEO/direttori generali) si è parlato con figure tecniche come security engineer/analyst e consultant, che rispondevano direttamente al CIO. Figura 20: Ruolo dell’intervistato Domanda: Qual è il suo ruolo in azienda? Security Manager 20% Security engineer/analys t/consultant/ad ministrator 12% Chief Security Officer (CSO)/ Chief Information Security Officer (CISO) 8% CEO/AD/Diretto re Generale 11% Chief Information Officer (CIO) o Direttore IT 49% Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115 © The Innovation Group - 2013 | 27
  • 29. Aziende italiane e Cloud Security Concludiamo lo studio con 3 interventi specialistici su tematiche che sono state citate, relative alla Cloud Security; al tema delle misure per la Digital Forensics; agli aspetti legati alla Sicurezza delle Infrastrutture Critiche. Le aziende itali ane e i l tema della Cl oud Sec urity Intervista a Alberto Manfredi, Presidente di Cloud Security Alliance Italy CSA (Cloud Security Alliance)è un’associazione internazionale no-profit nata negli USA nel 2009 con lo scopo di promuovere l’uso di best practices che consentano di sviluppare ed utilizzare in sicurezza tutte le forme del Cloud Computing (infrastrutture, piattaforme e applicazioni). Con tali obiettivi l’associazione si rivolge sia al consumatore che al fornitore di servizi Cloud coinvolgendoli, su base volontaria, in gruppi di ricerca (ad oggi ne sono stati attivati più di 20) per produrre delle guide specifiche, disponibili gratuitamente, tra cui citiamo quelle su Mobile, GRC, Audit, CERT, Big Data e la famosa 6 Cloud Security Guidance ormai giunta alla sua versione 3.0 . Ad oggi l’associazione conta più di 45.000 soci individuali, 160 soci aziende e più di 20 associazioni affiliate ed ha filiali operative sia in EMEA che APAC. L’associazione CSA Italy Chapter e` uno dei 60 capitoli nazionali che oltre a promuovere la cultura della sicurezza Cloud svolge anche delle attività di ricerca specifiche per il mercato italiano. In particolare sono attive tre aree di ricerca (Portabilità – Interoperabilità - Sicurezza Applicativa, Privacy & Legal nel Cloud, Traduzioni) che 7 nell’ultimo anno hanno prodotto 4 pubblicazioni ed una risposta ad una consultazione pubblica del Garante per la protezione dei dati personali (Data Breach). “Come emerge dall’indagine di TIG, presentata nel capitolo successivo, solo il 35% delle aziende italiane afferma di avere delle policy e delle misure per la sicurezza per il Cloud ad uso aziendale. Meno che per i social media (50%) e la mobility (70%). Cosa ne pensa? Cosa cambia per le aziende con il Cloud nel gestire la sicurezza?” Per risponderle partirei da alcune considerazioni storiche. Il termine smartphone è stato coniato da Ericsson nel 1997 con il suo modello GS 88 “Penelope” mentre i Social Media sono nati con il “Web” come evoluzione delle BBS (Bulletin Board Systems), inizialmente con servizi quali Geocities (1994, acquisita poi da Yahoo) per arrivare a Google (1998), 8 Linkedin e Myspace (2003), Facebook, (2004), Twitter (2006) . Il Cloud Computing “moderno” (per distinguerlo dalle tecnologie e modi d’uso su cui si fonda, in particolare virtualizzazione e grid computing) nasce di fatto nel 2006 con i servizi Elastic Cloud di Amazon Web Services (2006) a cui si aggiungono quelli di Google 9 Apps nel 2009 . Il Cloud Computing sembrerebbe quindi una delle ultime “tecnologie” (e’ questa la prima percezione) che cerca di entrare nelle nostre aziende. Tuttavia oggi rileviamo come lo smartphone sia lo strumento preferito di accesso ai contenuti delle piattaforme social e queste ultime possano ormai essere considerate dei servizi Cloud. 6 7 8 9 Per la lista completa delle ricerche attivate consultare la pagina cloudsecurityalliance.org/research/ cloudsecurityalliance.it/area-downloads/ www.uncp.edu/home/acurtis/NewMedia/SocialMedia/SocialMediaHistory.html www.computerweekly.com/feature/A-history-of-cloud-computing © The Innovation Group - 2013 | 28
  • 30. Aziende italiane e Cloud Security In realtà, il Cloud Computing non è una nuova tecnologia e non dovrebbe essere gestito come tale, ma può essere considerato un nuovo aggregatore di tecnologie e modalità di utilizzo di utenti-consumer (ormai sempre “connessi”) che mette in risalto l’ormai inscindibile relazione tra Persone, Processi e Tecnologie. Nelle aziende diventa quindi necessario armonizzare le policy IT e di sicurezza sui temi Cloud, Mobile e Social con una logica di inclusione delle nuove tecnologie ed abitudini digitali dei lavoratori-consumer se vogliamo cogliere gli indubbi vantaggi per il business, minimizzare i rischi e, perché no, aumentare la soddisfazione e produttività dei nostri collaboratori. “Secondo le aziende una percentuale tra il 40% e il 60% dei Cloud Service Provider (CSP) offrono servizi Cloud con le caratteristiche necessarie per considerarli sicuri: cosa devono chiedere ai fornitori le aziende e che cosa i fornitori devono predisporre per essere dei CSP sicuri e affidabili?” Se questo nuovo paradigma porta indubbi vantaggi su costi di gestione e fruibilità di dati e applicazioni, riporta anche all’attenzione gli aspetti di sicurezza e privacy. Basti pensare ai temi della localizzazione del dato, della responsabilità del trattamento, della business continuity, della compliance, della sicurezza delle VM/Hypervisor, della cancellazione del dato, della portabilità dei dati (solo per citarne alcuni). Questi punti di attenzione (che rappresentano delle potenziali vulnerabilità) sono ormai noti anche alla criminalità informatica che già nell’ultimo anno ha aumentato gli attacchi verso il settore Online Service e Cloud (che include i Social Networks) con un tasso di 10 crescita superiore al 900% . Per facilitare il dialogo tra domanda ed offerta nel mercato del Cloud, CSA ha lanciato 11 nel 2011 un’iniziativa chiamata CSA Security, Trust & Assurance Registry (STAR) che ha l’obiettivo di incoraggiare i CSP a fornire adeguate informazioni ai potenziali clienti sull’implementazione di misure di sicurezza a supporto della propria offerta cloud. I fornitori possono aderire a questa iniziativa su base volontaria rispondendo, con il supporto di CSA, ad una serie di domande negli ambiti Compliance, Data Governance, Facility Security, HR Security, Information Security, Legal, Operation Management, Risk Management, Release Management, Resiliency, Security Architecture. Il fornitore redige 12 quindi un rapporto che viene reso disponibile su un apposito registro pubblico . Dal 2013 l’iniziativa CSA STAR sarà parte integrante di uno schema di certificazione volontaria per CSP chiamato Open Certification Framework che prevederà un primo livello di autovalutazione con STAR, un secondo livello di audit e certificazione di terza parte (integrato con ISO 27001 e AICPA SSAE16-SOC2) ed un terzo livello di “continuous monitoring”, ovvero la verifica dei livelli di servizio e sicurezza con meccanismi di audit 13 real time . 10 11 12 13 Rapporto Clusit 2013 sulla sicurezza ICT in Italia (www.clusit.it) cloudsecurityalliance.org/star/ cloudsecurityalliance.org/star/registry/ cloudsecurityalliance.org/research/grc-stack/ © The Innovation Group - 2013 | 29 Per facilitare il dialogo tra domanda ed offerta nel mercato del Cloud, CSA ha lanciato nel 2011 un’iniziativa chiamata CSA Security, Trust & Assurance Registry (STAR) che ha l’obiettivo di incoraggiare i CSP a fornire adeguate informazioni ai potenziali clienti.
  • 31. Digital Forensics E Misure Difensive Per i fornitori di servizi di consulenza e progettazione in ambito Cloud CSA ha anche definito il primo profilo professionale di esperto in sicurezza Cloud (certificazione 14 CCSK) . Pertanto, per mantenere le sue promesse di maggiore affidabilità, efficienza e sicurezza, il Cloud Computing richiede l’instaurazione di un nuovo rapporto tra consumatore e fornitore fondato sulla trasparenza, senza il quale prevalgono ancora i modelli “tradizionali” di acquisto dei servizi ICT (con installazioni HW/SW on premises) e si preclude l’accesso alle enormi potenzialità e benefici che può offrire il mercato Cloud, in particolare per la piccola e media impresa (agilità, riduzione costi, qualità del servizio). Digital For ensic s e Misure di fensive messe i n atto dalle aziende Intervista a Giuseppe Vaciago, Avvocato penalista esperto in ICT Law Come avviene ad oggi l’acquisizione di prove legali (Digital Evidence) contro potenziali cyber crime? All’interno di un contesto aziendale è possibile acquisire prove digitali che sia stato commesso un cyber crime o un’altra tipologia di illecito, ma è importante sapere che tale acquisizione deve avvenire nel rispetto di procedure tecniche che garantiscano la piena utilizzabilità della digital evidence raccolta. Per questa ragione è importante che una società abbia previsto procedure di Digital Forensics, materia che disciplina le attività finalizzate a preservare eventuali prove digitali da depositare in giudizio, garantendo che non siano alterate. Oggi assistiamo a numerosi illeciti: società che rimangono vittima di accessi abusivi da parte di società concorrenti oppure con al proprio interno dipendenti che commettano illeciti sottraendo informazioni dai sistemi ICT. In entrambe le ipotesi, è necessario che i vertici della società intervengano immediatamente, poiché l’estrema volatilità del dato digitale impone che siano svolte alcune operazioni preliminari finalizzate alla cristallizzazione di eventuali prove. Nella prassi di molte realtà aziendali italiane, in queste circostanze, viene contattato l’amministratore di sistema che, se da un lato può essere in grado da un punto di vista tecnico di porre in essere le opportune verifiche e investigazioni preliminari, dall’altro lato potrebbe non avere le competenze in ambito di Digital Forensics e quindi rischiare di alterare una prova che invece potrebbe essere di fondamentale importanza in un futuro giudizio. A livello legale sono ammissibili sia le indagini difensive (introdotte dalla legge 397/00 e svolte da un legale esterno alla società) sia anche una più generica attività investigativa, volta comunque a far valere un diritto in sede giudiziaria. Qualora sia necessario svolgere un’indagine difensiva su un’eventuale illecito commesso all’interno della società è sicuramente preferibile, ove sia consentito, adottare le indagini difensive previste dal codice di procedura penale (art. 327-bis e 391-bis e ss. c.p.p.). 14 cloudsecurityalliance.org/education/ccsk © The Innovation Group - 2013 | 30 All’interno di un contesto aziendale è possibile acquisire prove digitali che sia stato commesso un cyber crime o un’altra tipologia di illecito, ma è importante sapere che tale acquisizione deve avvenire nel rispetto di procedure tecniche che garantiscano la piena utilizzabilità della digital evidence raccolta.
  • 32. Digital Forensics E Misure Difensive Quali procedure di Digital Forensics devono prevedere le aziende per tutelarsi il più possibile contro eventuali illeciti? A livello tecnico le 4 regole fondamentali su cui si fonda la Digital Forensics sono:  Integrità del dato: quando si effettua un’indagine su un dato digitale (da una singola email, all’intero contenuto del server di una società), è importante garantire che la prova sia autentica e non modificata.  Affidabilità: tale requisito viene soddisfatto quando il sistema informatico nel suo complesso è sicuro. In questo caso, le informazioni prodotte possono anch’esse essere considerate ragionevolmente degne di fiducia.  Catena di custodia (Chain of custody): come avviene nelle indagini tradizionali, tracciare la catena di custodia - ossia fornire evidenza dei vari passaggi che ha fatto il singolo dato digitale - è essenziale per garantire la massima “tenuta” durante l’eventuale giudizio.  Protezione fisica dei dati: tutti i dati recuperati dal sistema compromesso devono essere assicurati fisicamente in un luogo sicuro all’interno dell’azienda o anche all’esterno della realtà aziendale. Si raccomandano in particolare le seguenti azioni:  Copia Bit-stream: prima di iniziare ogni tipo di indagine è opportuno procedere ad una copia bit-stream del supporto di memorizzazione. La copia bit-stream è una sorta di “clonazione” del supporto di memorizzazione che preserva anche l’allocazione fisica dei singoli file oltre che la loro posizione logica.  Impronta di Hash: è una funzione univoca operante in un solo senso (ossia, non può essere invertita), attraverso la quale un documento di lunghezza arbitraria è trasformato in una stringa di lunghezza fissa, relativamente limitata. Tale stringa, che rappresenta una sorta di “impronta digitale” del testo in chiaro, è definita valore di Hash o Message Digest. Sta a indicare qualsiasi eventuale alterazione del documento anche minima, perché in tal caso si ha una modifica dell’impronta. In altre parole, calcolando e registrando l’impronta, e successivamente ricalcolandola, è possibile dimostrare se i contenuti di un file, oppure del supporto, hanno subito o meno modifiche, anche solo accidentali. Quali sono le caratteristiche principali degli strumenti software di Digital Forensics? I software più utilizzati per svolgere attività di Digital Forensics possono essere 15 16 facilmente reperiti in rete sia in versione open source sia closed source . Prevedono numerosi strumenti di particolare utilità per le attività di monitoraggio e di sorveglianza, tra cui:  15 Software di data recovery: consentono il recupero dei dati presenti, cancellati o danneggiati da memorie di massa. Tra i software open source una delle distribuzioni più note è DeftLinux (http://www.deftlinux.net) 16 Tra i software closed source, il più noto è sicuramente Encase Enterprise (http://www.guidancesoftware.com/encase-enterprise.htm) © The Innovation Group - 2013 | 31
  • 33. Digital Forensics E Misure Difensive  Software di data carving: permettono la ricostruzione, ove possibile, di un file danneggiato attraverso il recupero di porzioni dello stesso file.  Software di packet-sniffing: permettono di svolgere un’attività intercettazione passiva dei dati che transitano in una rete telematica. di Tali attività possono essere svolte sia per scopi legittimi (ad esempio l'analisi e l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Ne consegue che, come sempre, è opportuno valutare quali siano i limiti previsti dalla legge italiana all’utilizzo di questi strumenti. Esistono limiti legali ai controlli e alle misure preventive che possono essere predisposte in azienda? L’uso (che talvolta sfocia in abuso) dell’informatica nel contesto aziendale genera non solo i classici rischi ormai noti anche ai non addetti al lavoro (dagli attacchi informatici volti allo spionaggio industriale, al furto o al danneggiamento dei dati digitali), ma comporta sempre di più la necessità di adottare modelli organizzativi in grado di prevenire la commissione di cyber crimes o di reati comunque connessi all’uso delle nuove tecnologie. 17 Il rispetto delle misure di sicurezza previste dal Codice Privacy , non è sempre sufficiente a garantire una vera protezione e diventa necessario adottare procedure e utilizzare strumenti in grado di controllare ogni tipo di anomalia all’interno del sistema informatico. Tali strumenti di controllo possono prevedere ad esempio le seguenti attività:  Monitoraggio della navigazione Web, compreso l’utilizzo di social network.  Controllo dei messaggi di posta elettronica effettuati dal dipendente nell’esercizio della sua attività lavorativa.  Clonazione dell’hard disk del dipendente, al fine di verificare la commissione di un eventuale illecito. Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto della normativa in vigore a tutela della privacy dei lavoratori. Molto spesso, infatti, accade che i controlli eccedano i limiti previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati dagli articoli 113 e 114 del Codice Privacy. Per questo motivo, il Garante della Privacy ha richiesto che il datore di lavoro rispetti i seguenti principi:   Correttezza: le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.  17 Necessità: i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e identificativi dei dipendenti. Pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (ad esempio per scopi difensivi, in caso di illecito commesso ai danni di una società). Art. 34, D.lgs. 196/03 © The Innovation Group - 2013 | 32
  • 34. Digital Forensics E Misure Difensive Il datore di lavoro deve anche adottare le seguenti misure di tipo organizzativo:  Indicare chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione e con quali modalità vengano effettuati controlli.  Predisporre e pubblicizzare una policy interna rispetto al corretto uso degli strumenti informatici e agli eventuali controlli da sottoporre ad aggiornamento periodico.  Predisporre un’adeguata informativa ai sensi dell’art. 13 del Codice Privacy con la quale avvisare il dipendente circa l’attività di controllo alla quale è soggetto. In ogni caso, il datore di lavoro non può procedere in modo sistematico ai seguenti controlli:  Lettura e registrazione dei messaggi di posta elettronica, al di là di quanto tecnicamente necessario per garantire il servizio e-mail aziendale.  Riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal lavoratore.  Lettura e registrazione dei caratteri inseriti tramite la tastiera di un personal computer (keylogger).  Analisi occulta di computer portatili affidati in uso al dipendente. Tuttavia, nel momento stesso in cui ricorrano i presupposti dell’esercizio legittimo di un diritto in sede giudiziaria (c.d. “controllo difensivo”), il datore di lavoro può, in casi eccezionali, superare i divieti sopracitati a patto che:  Sia stato stipulato un accordo con le rappresentanze sindacali o, in assenza di questo, con l’ispettorato del lavoro (art. 4 Statuto dei Lavoratori) circa le modalità del controllo.  Sia in grado di dimostrare che lo strumento di controllo utilizzato fosse da ritenersi indispensabile, nel senso di costituire l'ultima risorsa utilizzabile al fine di evitare danni o pregiudizi agli interessi dell'impresa, di terzi o degli stessi lavoratori. Alla luce di quanto descritto, si può concludere che le indicazioni fornite dal Garante della Privacy in tema di controllo “tecnologico” del dipendente non rendono sempre facile lo svolgimento di un’attività di internal investigation compliant da un punto di vista legale. Tuttavia, è anche vero che la prova raccolta violando le disposizioni in materia di privacy, potrà comunque essere utilizzata sia per fini disciplinari nei confronti del dipendente, sia in sede giudiziaria per instaurare un procedimento civile o penale. © The Innovation Group - 2013 | 33
  • 35. Sicurezza Delle Infrastrutture Critiche Politiche europee e nazionali per l a sicur ezza delle I nfrastr uttur e Critiche A cura di Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security Center Il tema delle Infrastrutture Critiche e della Cybersecurity sono sempre più spesso affrontati congiuntamente. Di fatto, buona parte delle strategie nazionali di Cybersecurity dedicano un’area di attenzione particolare al tema della Protezione delle Infrastrutture Critiche. Questa associazione è evidentemente dovuta all’oramai onnipresenza dei sistemi ICT all’interno delle Infrastrutture Critiche. Non solo: il loro ruolo nell’erogazione dei servizi è divenuto critico, per cui malfunzionamenti, avarie o sabotaggi possono avere impatti rilevanti. Di fatto tutti i servizi critici di un paese oggi vengono erogati attraverso l’uso di avanzati sistemi ICT, i cui malfunzionamenti o sabotaggi possono avere impatti rilevanti. Si prenda ad esempio il sistema elettrico: sebbene i sistemi ICT vengano impiegati per migliorare le capacità di comando e controllo, e sebbene alcuni sistemi elettrici possano tollerare di operare in assenza di sistemi ICT, una loro compromissione intenzionale potrebbe avere effetti rilevanti sulla continuità operativa del servizio. Per non parlare delle nuove “Smart Grid”, per le quali l’ICT è una componente imprescindibile: un non corretto funzionamento di tali sistemi porterebbe all’impossibilità di erogare il servizio o ancor peggio a situazioni anche potenzialmente pericolose per gli operatori e i clienti. In Italia, il tema delle Infrastrutture Critiche è divenuto popolare a seguito delle discussioni avviate nel novembre 2005 dalla Commissione Europea con la pubblicazione 18 del Green Paper su un “Programma Europeo per la Protezione delle Infrastrutture Critiche”. Sebbene già al tempo ci fosse da parte della Commissione Europea la consapevolezza dell’importanza dell’ICT e delle nuove minacce emergenti, il Green Paper non parla di Information Security, si limita a definire in modo molto modesto che cosa siano le “Critical Information Infrastructures”, relegandole ad un paragrafo o poco più 19 dell’appendice. Anche la direttiva pubblicata l’8 dicembre 2006 non solo non fa esplicito riferimento all’Information Security, ma non include tra i settori critici quello dell’ICT. Una delle motivazioni addotte riguarda la complessità del settore, pertanto l’Unione Europea ha ritenuto più opportuno non includere questo settore. Anche per i settori presi in considerazione dalla direttiva, gli aspetti di Information Security non sono sostanzialmente toccati. 18 19 COM(2005) 576 Final del 17/11/2005 Direttiva 2008/114 © The Innovation Group - 2013 | 34
  • 36. Sicurezza Delle Infrastrutture Critiche L’Italia ha recepito la direttiva europea con il Decreto Legislativo dell’11 aprile 2011, 20 n. 61 , non introducendo però alcuna novità rispetto alla Direttiva Europea. Va precisato che la direttiva europea si riferisce esclusivamente a quelle che sono definite “European Critical Infrastructure” (ECI), ovvero Infrastrutture Critiche Europee; si tratta di quelle infrastrutture degli stati membri la cui compromissione può avere impatti transfrontalieri su uno o più paesi membri. Non definisce però cosa vada considerata un’Infrastruttura Critica, pertanto ogni stato membro sta procedendo autonomamente nella definizione dei criteri e nell’individuazione di tali infrastrutture. Poiché la direttiva non indirizza temi di Information Security, la Commissione Europea ha pubblicato nel 2009 una comunicazione sulla Protezione delle Infrastrutture Critiche 21 Informatizzate (Critical Information Infrastructure Protection) , la quale si focalizza sulla protezione dell’Europa da cyber attacchi attraverso l’innalzamento della sicurezza nelle Infrastrutture Critiche. Il 29 aprile 2009 a Tallinn la Commissione Europea ed i rappresentanti degli Stati Membri si sono incontrati e hanno discusso il tema dell’“Information and Network Security”, ottenendo il sostegno degli stati membri. Di fatto l’unico impegno assunto è la costituzione dei “CERT Nazionali”. Nel maggio del 22 2010 l’Unione Europea ha avviato i lavori dell’“Agenda Digitale Europea” , nella quale la Cybersecurity è stata inserita come uno degli elementi fondamentali per una strategia digitale europea. Sebbene non ci sia un vero e proprio focus sulle infrastrutture critiche, l’Agenda Digitale ha delineato attraverso i suoi principi ed il piano di azioni, ciò che poi sarà la struttura portante della Strategia Europea del 2013 e la bozza di direttiva. La pubblicazione di questi due documenti, avvenuta nel febbraio del 2012, è il primo vero passo verso la definizione di norme e di azioni per innalzare il livello di Network and Information Security nelle Infrastrutture Critiche e più in generale, nelle organizzazioni pubbliche e private degli stati membri. Che cosa implica la strategia europea per l’Italia? Di fatto molto poco. L’Europa segue il principio di sussidiarietà, per cui si limita a indirizzare quei temi di interesse europeo, ma da una prospettiva di completamento rispetto alle strategie nazionali. Il vero problema della Strategia di Cybersecurity dell’Unione Europea è che non indirizza quegli aspetti chiave utili ai paesi membri, creando una Europa a più velocità: da una parte i paesi maturi che hanno non solo definito una propria strategia di Cybersecurity, ma che hanno già sviluppato capabilities avanzate e dedicato risorse ed investimenti; dall’altra quei paesi che non hanno un forte committment del governo e che indirizzano la Cybersecurity in modo tattico e destrutturato. L’Italia ha visto recentemente la pubblicazione di un Decreto del Presidente del Consiglio dei Ministri (24 gennaio 2013). Il decreto definisce un modello organizzativo per la Cybersecurity, attribuendo le varie responsabilità a diversi organi e istituzioni. Non definisce però né le priorità, né il piano di azione, elementi decisivi di una Strategia Nazionale. 20 “Attuazione della Direttiva 2008/114/CE recante l’individuazione e la designazione delle infrastrutture critiche europee e la valutazione della necessità di migliorarne la protezione”, pubblicato in Gazzetta Ufficiale n. 102 del 4 Maggio 2011. 21 COM(2009)149 22 COM(2010)245 © The Innovation Group - 2013 | 35 Nel maggio del 2010 l’Unione Europea ha avviato i lavori dell’“Agenda Digitale Europea” , nella quale la Cybersecurity è stata inserita come uno degli elementi fondamentali per una strategia digitale europea.
  • 37. Sicurezza Delle Infrastrutture Critiche E le infrastrutture critiche italiane? Rimangono un problema aperto, tutto da indirizzare. Il loro livello di complessità e l’impatto di eventuali anomalie e compromissioni è così alto da rendere la loro sicurezza una priorità per il paese. Purtroppo ad oggi la loro protezione è demandata completamente agli operatori, i quali definiscono le priorità in base alla loro percezione del rischio ed in base alle priorità dettate dal Business. Molti di questi operatori hanno ancora un approccio alla Cybersecurity di tipo “tattico”, ovvero legata alla mera implementazione di tecnologie e presidi di sicurezza nell’ambito dei progetti. Manca ancora un approccio strategico alla Cybersecurity, guidato direttamente dal top management, in modo consapevole ed informato. Questo implica evoluzioni degli operatori sia in termini organizzativi che di capabilities. L’Italia dovrebbe identificare una Autorità per la Cybersecurity, la quale dovrà lavorare insieme agli operatori per definire nuovi livelli comuni di sicurezza, attraverso un piano di Standard nazionali dedicati alle infrastrutture critiche. Tale Autorità dovrebbe lavorare in piena sinergia con le controparti europee ed extraeuropee, in modo da poter beneficiare di approcci globali, più efficaci ed efficienti per gli operatori. © The Innovation Group - 2013 | 36
  • 38. L’offerta HP in ambito Security si è arricchita negli ultimi anni di soluzioni avanzate per la protezione dei rischi informatici, con una proposta di servizi correlata, allo scopo di guidare e supportare le aziende durante tutte le fasi della realizzazione di un sistema per la gestione della sicurezza delle informazioni. La piattaforma di offerta “Security Intelligence Platform” di HP include soluzioni derivanti da numerose acquisizioni di società leader di mercato - quali ArcSight, Fortify e TippingPoint - e consente di indirizzare in maniera integrata e proattiva aspetti di analisi e correlazione degli eventi, sicurezza delle applicazioni e meccanismi di difesa dalle intrusioni in ottica end-to-end. Nello specifico, le soluzioni di security offerte da HP sono:  Network Security: HP TippingPoint Next Generation Intrusion Prevention System (NGIPS); HP TippingPoint SSL Solutions.  Application Security: HP Fortify Software Security Center Server.  Data Security: Data Security: Atalla Payments e Data Security.  Security Intelligence: HP TippingPoint Security Management System, Arcsight Information Security.  Virtualization Security: HP TippingPoint CloudArmour. Inoltre, HP, in qualità di Solution Provider, differenziandosi in questo senso dai vendor propriamente di prodotti di sicurezza, mette a disposizione soluzioni end-toend di security volte a risolvere problematiche delle aziende, come ad esempio:  Advanced Persistent Threat: prevenire incidenti legati a minacce APT.  Cloud Security: soluzione per essere compliant alle norme e prevenire le minacce associate a infrastrutture Cloud.  Data Loss Monitoring: servizio di intelligence per proteggere i dati sensibili.  Insider Threat: soluzione per avere visibilità sulle minacce interne.  IT Risk Management e Compliance: servizio globale per essere compliant alle principali norme che impattano sulla security (SOX, PCI, FISMA, HIPAA).  Mobile Application Security: soluzione per ridurre i rischi associati all’utilizzo di terminali Mobile (iPhone, iPad and Android).  Software Security Assurance: utilizzo di servizi e tecnologie avanzate per introdurre in azienda modelli di sviluppo e test sicuro del software. HP conta oggi più di 3.000 professionisti nelle proprie strutture di Security e un portafoglio di servizi tecnologici, di consulenza e gestiti (Managed Security Services) che includono una metodologia proprietaria di Risk Analysis (A.T.O.M. – Access, Trasform, Optimize, Manage). La società si rivolge ai propri clienti sia direttamente, sia attraverso la propria rete di partner. Ha stipulato alleanze con i principali vendor di Security internazionali allo scopo di integrare la propria offerta di tecnologie, nell’ottica di proporsi sul mercato come un player in grado di indirizzare qualsiasi esigenza di Security dei propri clienti. © The Innovation Group - 2013 | 37
  • 39. IBM negli ultimi anni ha incrementato notevolmente il portafoglio dei prodotti hardware e software di Security, grazie a una politica di acquisizioni mirate. Le acquisizioni più recenti sono state quelle della società BigFix nel 2010, relativamente ai prodotti di endpoint management, e Q1 Labs, nel 2011, per la soluzione QRadar di security intelligence software. Grazie alla disponibilità di un framework complessivo hardware, software, servizi professionali e Managed Security Services a supporto, IBM si propone come solution provider nell’ambito della Security, in grado di risolvere esigenze end-to-end dei propri clienti. La piattaforma IBM di soluzioni di security copre i seguenti layer:  Application Security: soluzioni per produrre e mantenere in sicurezza le applicazioni mobile e web, costruendo layer di protezione attraverso tutte le fasi del ciclo di sviluppo e di vita del software.  Identity e Access Management: gestione delle identità (assegnazione di diritti di accesso, change management relativo a ruoli e privilegi, deprovisioning), e degli accessi (secure authentication,single sign-on (SSO), enforcement delle policy di accesso), monitoring, auditing, reporting sulle attività degli utenti.  Data Security: discovery e classificazione di dati critici, protezione dei dati (masking, encryption, monitoraggio degli accessi ai dati, compliance, protezione sia fisica sia virtuale, nel Cloud).  Infrastructure Security: piattaforma Advanced Threat Protection Platform (ATPP) relativa ad aspetti di network security (IPS appliances) e endpoint security.  Security Intelligence: soluzione QRadar, rileva in automatico potenziali vulnerabilità e azioni contrarie alle policy aziendali. Comprende funzioni analitiche e di correlazione dei dati provenienti da centinaia di fonti attraverso l’organizzazione. Anche il portafoglio di servizi di sicurezza di IBM è molto ricco e fa riferimento al Security Framework di IBM, sfruttando le potenzialità dei prodotti software, gli asset e le capacità dei Security Operation Centers, dei laboratori e dei centri di ricerca, per mettere a disposizione dei clienti funzionalità di security intelligence per essere proattivi nell'identificazione e nella gestione degli incidenti. Tra questi citiamo l’Emergency Response Service (ERS, per prepararsi, gestire e rispondere agli incidenti di Cybersecurity in modo efficace); il servizio di Security Operations Optimization (aiuta a valutare il livello delle soluzioni e dei processi di gestione della sicurezza); i nuovi Managed Security Services focalizzati alla gestione delle infrastrutture SIEM (Security Information and Event Management) e il nuovo servizio gestito per la protezione da attacchi DDoS. Il modello di go-to-market IBM, che vede in Italia una crescita degli investimenti per le soluzioni di Security, è misto, in parte diretto (soprattutto verso clienti di grandi dimensioni come banche e PA), in parte attraverso i partner di canale, con cui coprire le esigenze di organizzazioni di minore dimensione distribuite sul territorio. © The Innovation Group - 2013 | 38
  • 40. Hanno collaborato alla realizzazione del White Paper: Elena Vaciago, Research Manager, The Innovation Group Camilla Bellini, Junior Analyst, The Innovation Group Michele Ghisetti, Junior Analyst, The Innovation Group Ringraziamo inoltre per il loro contributo: Alberto Manfredi, Presidente di Cloud Security Alliance Italy Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security Center Giuseppe Vaciago, Avvocato Penalista in ICT Law The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda tramite le tecnologie ICT. The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati, delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi. The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di mercati, tecnologie e best practice. Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata, modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il copyright e comporta penalità per chi lo commette. Copyright © 2013 The Innovation Group. © The Innovation Group - 2013 | 39
  • 41. © The Innovation Group - 2013 | 40