© Via Virtuosa - Riproduzione riservata

© Via Virtuosa - Riproduzione riservata
Ma cosa è un Incidente Informatico?
?

© Via Virtuosa - Riproduzione riservata
Cosa Vuol dire essere resilienti?
Resilienza deriva dal verbo “resalio”, che nell’antichità
indicava il tentativo di risalita dalle barche rovesciate.

© Via Virtuosa - Riproduzione riservata
Il rischio informatico nel business
Allianz Risk Barometer 2022 THE MOST IMPORTANT BUSINESS RISKS IN 2022

© Via Virtuosa - Riproduzione riservata
L’esposizione al Rischio Cyber nel NE
Via Virtuosa Research. Sample of 120 NE Companies ranked using “Determining Your
Organization’s Information Risk Assessment and Management” – ENISA Methodology
40% devono evitare
il rischio

© Via Virtuosa - Riproduzione riservata
Il Business dell’attaccante
L’impatto del ransomware può essere
devastante: il riscatto medio per il ripristino a
seguito di un attacco ransomware si è attestato
nel 2021 a 1,4 milioni di dollari e il ritorno alla
normale operatività ha richiesto in media fino a
un mese.
Webinar CSA 4-10-22 IT manager il caso Nital
S.p.A. – Ci faranno la fattura?
https://www.bitmat.it/blog/sicurezza/riscatto-ransomware-il-46-delle-aziende-ha-deciso-di-pagarlo/

© Via Virtuosa - Riproduzione riservata
L’impatto del Ransomware
Il 90% delle aziende ha inoltre affermato
che l’attacco subito ha inficiato
seriamente il regolare svolgimento
della propria attività e l’86% delle
vittime nel settore privato ha segnalato
di aver subito perdite economiche e
opportunità di business a causa degli
effetti del ransomware
https://www.bitmat.it/blog/sicurezza/riscatto-ransomware-il-46-delle-aziende-ha-deciso-di-pagarlo/

© Via Virtuosa - Riproduzione riservata
Lesson Learned sul Ransomware
29-07-22 2^ Cena 2022 CSA - Tappa Trentino
Alto Adige – Il caso Gibus Spa

© Via Virtuosa - Riproduzione riservata
Obiettivi e vettori dell’attaccante
1. Soldi
2. Informazioni
3. Danno Reputazionale
Posso essere un obiettivo di attacco
indiretto verso un mio cliente

© Via Virtuosa - Riproduzione riservata
Vettori di attacco: Il Phishing

© Via Virtuosa - Riproduzione riservata
Come finisce e dove si sbaglia
25-11-22 3^ Cena 2022 CSA - Tappa Veneto
– Non avrei mai voluto fare questa
telefonata… – Il caso Dolomiti Energia

© Via Virtuosa - Riproduzione riservata
Vettori di attacco: Truffe On Line
http://www.video.mediaset.it/video/striscialanotizia/servizi
o/man-in-the-email_540014.html

© Via Virtuosa - Riproduzione riservata
Come finisce
16 Mln.
Euro
http://www.ictbusiness.it/cont/news/il-ceo-in-realta-e-
un-hacker-truffata-l-italiana-maire-
tecnimont/42825/1.html#.XDxGplxKiM9

© Via Virtuosa - Riproduzione riservata
Vettori di attacco: Ingegneria Sociale
Security Summit 2009 – Social Engineering Roul «Nobody» Chiesa
La psicologia e la naturale tendenza delle persone a fidarsi del
prossimo hanno un ruolo importantissimo; una volta che il
l’ingegnere sociale ha stabilito il contatto con la vittima, può
usare uno o più differenti approcci:
• fingersi autorevole (supporto tecnico, superiore in grado,
esperto, autorità, ecc)
• sfruttare l’ignoranza (tecnica, legislativa, ecc) della vittima
• provocare un senso di colpa (violazione di regolamenti o
leggi, ecc) o panico (virus, situazione critica, ecc) nella
vittima
• sfruttare un desiderio (pornografia, dipendenze, ecc) o
stimolare l’avidità (premi, acquisti scontati, ecc) della
vittima
• abusare della buona fede/compassione della vittima
(richiesta di aiuto tecnico o lavorativo, catene di
sant’antonio, finte campagne di solidarietà, ecc)
La differenza rispetto al passato è
semplice:
Gli Hacker hanno imparato ad
usare l’ingegneria sociale per
l’esecuzione di attacchi
estremamente diversificati e, da
alcuni punti di vista, innovativi e
creativi.
Le informazioni personali reperibili
via Social Network possono –
spesso – rappresentare una vera e
propria miniera d’oro per chi
attacca.
2009 – Social Engineering Roul
«Nobody» Chiesa – il primo Hacker
Italiano

© Via Virtuosa - Riproduzione riservata
Vettori di attacco futuri: Fake News
https://www.youtube.com/watch?v=5YGc4zOqozo
Danno Reputazionale
United breaks guitars: 180 milioni per una chitarra

© Via Virtuosa - Riproduzione riservata
L’importanza della comunicazione
Webinar CSA 21-1-
2021 Accipicchia,
abbiamo subito un
attacco cyber Le basi
per una
comunicazione
efficace, in
emergenza! (a cura
CIO Burgo)

© Via Virtuosa - Riproduzione riservata
Il rischio Cloud
Le mie informazioni (il mio patrimonio) sono in mano ad altri
Vanno analizzati costi e
benefici e dovrai
controllare di più
E’ una grande opportunità ma devo valutare i rischi di Lock-in
Non posso chiedere a chi mi vende il Cloud se va bene.
Per lui è una grande opportunità
Campagna Genialcloud

© Via Virtuosa - Riproduzione riservata
Fabbrica 4.0 e Industrial Cybersecurity
Italia 13-4-2016
http://www.zeusnews.it/n.php?c=24139
Generatore di corrente elettrica
controllato da chiunque via internet
WEBINAR CSA 22-02-22 OT/ICS Cybersecurity:
minacce di oggi e contromisure per resilienza e
continuità operativa

© Via Virtuosa - Riproduzione riservata
Dave e l'utilizzo superficiale e
scontato di strumenti informatici
L’errore umano causa moltissimi incidenti
85%

© Via Virtuosa - Riproduzione riservata
Da dove partire?
La cybersecurity ha delle analogie con la Medicina.
4 PAROLE DA RICORDARE PER LA CYBER SALUTE
1. COMPETENZA: Se vai da un dottore per fare un controllo e il medico è poco competente e di
conseguenza spendi poco, magari ti dice che va tutto bene.
2. SEGREGAZIONE: Il farmacista non è un «bandito» ma deve vendere la merce che ha dietro
al banco. Chiedi a un farmacista cosa è bene per te?
3. TEST: Un penetration test è rischioso come fare un vaccino. Ti inoculano un po’ di malattia
perché ti costruisci una immunità. Puoi avere una reazione ma è meglio che contrarre la
malattia.
4. CONSAPEVOLEZZA: Se ne va della tua salute vai da un MEDICO specialista e costa di più.
Ma se ti ha salvato il ROI (return of investiment) è infinito.

© Via Virtuosa - Riproduzione riservata
La Cybersecurity non è un investimento che produce
guadagni ma previene le perdite
Call to Action
1. Andate da un dottore competente per capire la
situazione ed identificate il rischio Cyber
2. Evitate di chiedere all’oste (farmacista) se il vino è
buono.
3. Non siate Dave: Grandi aziende, PMI e Professionisti
sono esposti ad un grande rischio e serve
consapevolezza. Potreste causare danni ai vostri clienti.
4. Pensare ad una polizza paracadute in caso di incidenti
Cyber. Ma fatevi aiutare da una terza parte
indipendente a capire se il paracadute vi frenerà