Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017

CyberRisk
e Data Protection
Analisi dello stato dell’arte
in Italia ed in Europa
e “buone prassi” da seguire Padova, 21 novembre 2017

I Relatori
Avv. Giovanni Tagliavini
Partner Cortellazzo & Soatto
Avvocato - esperto di tutela del
patrimonio aziendale e
formazione su tematiche di
privacy
Padova, 21 novembre 2017 2
CyberRisk e Data Protection
Dott. Andrea Cortellazzo
Commercialista - Esperto di
riorganizzazione dei processi
aziendali in particolare in contesti
ad elevata digitalizzazione
Ing. Matteo Merialdo
Senior Project Manager
RHEA Group
Ingegnere - Esperto di Software
Engineering, Executive
Management e IT Governance
Ing. Romina Colciago
Direttore Aon Global Risk
Consulting Italy - Aon
Hewitt Risk & Consulting
Ingegnere - Esperto di
Processi di Enterprise Risk
Management e di gestione del
Rischio Cyber
Dott. Giulio Rosati
Unit Director
Financial Lines Specialty
Aon
Esperto in materia di
coperture assicurative
Financial Lines e Cyber Risk

3Padova, 21 novembre 2017
Dalla disciplina della «Privacy» fino alla «Protezione dei Dati»
prevista dal «Regolamento generale sulla protezione dei dati»
(GDPR, General Data Protection Regulation): qual è il filo
conduttore del quadro normativo di riferimento a livello
Europeo e Nazionale
a cura dell’Avv. Giovanni Tagliavini (Cortellazzo & Soatto)

Relatore
Si occupa di assistenza e consulenza legale, giudiziale e
stragiudiziale, prevalentemente nell'ambito della contrattualistica
d’impresa, del diritto societario e concorsuale, del diritto del lavoro,
anche con particolari esperienze di processi di acquisizione e
trasferimento di asset e di tutela del patrimonio aziendale materiale
ed immateriale.
Ha maturato competenze trasversali di diritto civile e penale, diritto
societario e dei mercati finanziari, nazionale, comunitario ed
internazionale, anche in ambiti specifici di verifica dei sistemi e delle
procedure in funzione della aderenza e conformità a normative
speciali (privacy, responsabilità amministrativa degli enti, normative di
settore).
Skills
Avv. Giovanni Tagliavini
Avvocato - esperto di tutela del
patrimonio aziendale e
formazione su tematiche di
privacy

Timeline
the European Commission proposed a
comprehensive reform of data
protection rules in the EU.
2012 2016 2018
2016
On 4 May 2016, the official texts of the
Regulation and the Directive have been
published in the EU Official Journal in
all the official languages.
While the
Regulation will enter
into force on 24 May
2016, it shall apply
from 25 May 2018.
The Directive enters
into force on 5 May
2016 and EU
Member States have
to transpose it into
their national law by
6 May 2018.
5
Padova, 21 novembre 2017
Take control
of your
personal
data

Dalla disciplina della
“Privacy” fino alla
“Protezione dei Dati”
prevista dal “Regolamento
generale sulla protezione
dei dati (GDPR, General
Data Protection
Regulation):
qual’è il filo conduttore
del quadro normativo di
riferimento a livello
Europeo e Nazionale
• Il regolamento generale sulla protezione
dei dati (GDPR, General Data Protection
Regulation- Regolamento UE 2016/679) è
un Regolamento con il quale la
Commissione europea intende rafforzare
e rendere più omogenea la protezione dei
dati personali di cittadini dell'Unione
Europea e dei residenti nell'Unione
Europea, sia all'interno che all'esterno dei
confini dell'Unione europea (UE).
• Il testo, pubblicato su Gazzetta Ufficiale
Europea il 4 maggio 2016 ed entrato in
vigore il 25 maggio dello stesso anno,
inizierà ad avere efficacia il 25 maggio
2018.

Dal 25 maggio 2018, il GDPR andrà a
• sostituire la direttiva sulla protezione dei dati
(ufficialmente Direttiva 95/46/EC) istituita nel 1995;
• abrogherà le norme del Codice per la protezione dei
dati personali (dlgs.n. 196/2003) che risulteranno
con esso incompatibil;
• si attende una normativa italiana "di raccordo" che
metta ordine e inserisca le norme del Codice privacy
non incompatibili all'interno dell'impianto normativo
del Regolamento;
• Con Direttiva UE 2016/680, in aggiunta a questo
nuovo regolamento sarà applicata una disciplina
speciale e in parte derogatrice per i trattamenti dei
dati da parte dell'Autorità Giudiziaria e di tutte le
forze di polizia, che continueranno ad essere
differenti da Stato a Stato ed oggetto di una
legislazione separata nazionale .
Data Protection
Regulation):
Europeo e Nazionale

Informativa e Consenso
Portabilità dei Dati Elettronici
Protezione dei dati dalla Progettazione
Protezione per Impostazione Predefinita
Registro delle Violazioni
Sicurezza delle Informazioni
Valutazione d’Impatto
Standard ISO 29151
Code of Practice for
personally identifiable
information protection
Data Protection
Regulation):
Europeo e Nazionale

Dalla disciplina della “Privacy” fino alla “Protezione dei Dati”
prevista dal “Regolamento generale sulla protezione dei dati”
Il regolamento non riguarda la gestione di dati
personali per attività di sicurezza nazionale o di
ordine pubblico ("le autorità competenti per gli scopi
di prevenzione, indagine, individuazione e
persecuzione di reati penali o esecuzione di
provvedimenti penali").
Possono essere comminate le seguenti sanzioni:
- un'ammonizione scritta in casi di una prima
mancata osservanza non intenzionale.
- accertamenti regolari e periodici sulla protezione
dei dati
- una multa fino a 10 milioni di euro, o fino al 2% del
volume d'affari globale registrato nell'anno
precedente (casi previsti dall'Articolo 83, Paragrafo 4) o
fino a 20 milioni di euro o fino al 4% del volume
d'affari (casi previsti dai Paragrafi 5 e 6).
Il GDPR si applica ai dati dei residenti nell'Unione
Europea e si applica anche a società, aziende,
imprese ed enti con sede legale fuori dall'UE che
trattano dati personali di residenti nell'Unione
Europea, anche a prescindere dal luogo o dai luoghi
ove sono collocati i server e le banche dati.
Secondo la Commissione Europea "i dati personali
sono qualunque informazione relativa a un
individuo, collegata alla sua vita sia privata, sia
professionale o pubblica.
Può quindi riguardare qualunque cosa: nomi, foto,
indirizzi email, dettagli bancari, anagrafiche
amministrative, interventi su siti web di social
network, informazioni mediche, ecc senza
distinguere elementi di maggiore o minore
«sensibilità»

Un valido consenso deve essere esplicitamente dato per la
raccolta dei dati e per i propositi per i quali sono usati
(Articolo 7; definito in Articolo 4). Pertanto se la richiesta
viene inserita nell'ambito di altre dichiarazioni essa va
distinta e formulata con linguaggio semplice e chiaro
(Articolo 7).
Condizione di validità del consenso è che le finalità per cui
viene richiesto siano esplicite, legittime, adeguate e
pertinenti (Articolo 5).
Nel caso in cui il consenso al trattamento dei propri dati
personali per una o più specifiche finalità sia stato espresso da
minori esso è valido solo se il minore ha almeno 16 anni
(ridotta a 13 anni solo se lo stato membro ha previsto con
legge una diversa età purché non inferiore a questa) Qualora il
minore abbia un'età inferiore ai 16 o 13 anni, il consenso al
trattamento deve essere dato da un genitore o da chi eserciti
la potestà, e deve essere verificabile (Articolo 8).
I controllori dei dati devono essere in grado di provare il
consenso ("opt-in") e il consenso può essere ritirato o
modificato con l’introduzione di limitazioni nel trattamento
(art. 18).
Il principio di responsabilità legato al trattamento
dei dati personali resta ancorato (come nel Codice
per la protezione dei dati personali) ad un concetto
di responsabilità per esercizio di attività pericolosa
con una valutazione ex ante in concreto ed una
sostanziale inversione dell'onere della prova.
Per non rispondere del danno commesso derivante
dal trattamento dei dati personali occorre
sostanzialmente provare di aver fatto tutto il
possibile per evitarlo.
Il Regolamento aggancia e sviluppa questo tipo di
responsabilità verso il concetto di Accountability
(art. 5 co. 2). Occorre osservare i principi applicabili
al trattamento dei dati personali di cui all'articolo 5
adempiendo alle relative obbligazioni ed essere in
grado di comprovarlo.

Le valutazioni dell'impatto della protezione dei dati
(Articolo 35)
devono essere effettuate nei casi in cui si verifichino
rischi specifici per i diritti e le libertà dei soggetti dei
dati. La valutazione e la riduzione del rischio sono
richieste insieme ad un'approvazione preventiva da
parte delle autorità per la protezione dei dati (DPA,
Data Protection Authority) per rischi elevati.
I Responsabili per la protezione dei dati (Articoli 37)
sono tenuti a verificare l'osservanza delle norme del
Regolamento da parte dei titolari e nel caso di
valutazioni di impatto, se richiesto dal titolare, sono
tenuti a consultarsi con esso.
I requisiti per le informative agli interessati rimangono e
in parte sono ampliati:
• devono includere il tempo di mantenimento dei dati
personali e occorre fornire i contatti di chi controlla
i dati e del funzionario preposto alla protezione dei
dati.
I principi di Privacy by Design and by Default (Articolo
25) richiedono che la protezione dei dati faccia parte del
progetto di sviluppo dei processi aziendali per prodotti
e servizi e a tal fine le impostazioni di privacy sono
configurate su un livello alto in modo predefinito.
È stato introdotto il diritto di contestazione delle
decisioni automatizzate, compresa la profilazione
(Articolo 22). I cittadini hanno ora il diritto di contestare
e contrastare decisioni che hanno impatto su di loro e
che sono state realizzate unicamente in base ai risultati
di un algoritmo.

Data Breach: Il titolare del trattamento dei dati avrà
l'obbligo legale di rendere note le fughe di dati
all'autorità nazionale e di comunicarle entro 72 ore
da quando ne è venuto a conoscenza.
I resoconti delle fughe di dati non sono soggetti ad
alcuno standard "de minimis" e debbono essere
riferite all'autorità sovrintendente non appena se ne
viene a conoscenza e comunque entro 72 ore.
In alcune situazioni le persone di cui sono stati
sottratti i dati dovranno essere avvertite.
La sicurezza dei dati raccolti è garantita dal titolare
del trattamento e dal responsabile del trattamento
chiamati a mettere in atto misure tecniche e
organizzative idonee per garantire un livello di
sicurezza adeguato al rischio.
A tal fine il titolare e il responsabile del trattamento
garantiscono che chiunque faccia accesso ai dati
raccolti lo faccia nel rispetto dei poteri da loro
conferiti e dopo essere stato appositamente
istruito, salvo che lo richieda il diritto dell'Unione o
degli Stati membri (Articolo 32).
A garanzia dell’interessato il Regolamento UE
2016/679 regolamenta anche il caso di
trasferimento dei dati personali verso un paese
terzo o un'organizzazione internazionale (Articolo 44
e ss) e prevede che l’interessato venga prontamente
informato in presenza di una violazione che metta a
rischio i suoi diritti e le sue libertà (Articolo 33).

Portabilità dei dati in quanto una persona deve
essere in grado di trasferire i propri dati personali
da un sistema di elaborazione elettronico a un altro
senza che il controllore dei dati possa impedirlo.
I dati devono essere forniti dal controllore in un
formato strutturato e di uso comune. Il diritto alla
portabilità dei dati è sancito dall'Articolo 18 del
GDPR.
Il diritto alla cancellazione (Articolo 17) stabilisce che il
soggetto dei dati ha il diritto di richiedere la
cancellazione di dati personali relativi a sé sulla base di
una qualsiasi di una serie di giurisdizioni che
comprendono la mancata osservanza dell'articolo 6.1
(legalità), il quale include il caso (f) in cui gli interessi o i
diritti fondamentali del soggetto dei dati richiedente la
loro protezione prevalgono sui legittimi interessi del
controllore.
L’interessato deve poter esercitare questo suo diritto
con la stessa facilità con cui ha espresso il consenso al
trattamento dei suoi dati. Il responsabile del
trattamento, dietro richiesta dell’interessato, dovrà
comunicare all’interessato i destinatari a cui ha
trasmesso la sua richiesta di cancellazione (Articolo 19).
Sul responsabile del trattamento grava lo stesso onere in
caso di richiesta di limitazione o di rettifica dei dati
presentata dall’interessato rispettivamente ai sensi
dell’art. 18 e dell’art. 16 del Regolamento UE 2016/679

In quali ambiti aziendali la “Digitalizzazione” avrà maggiore
impatto:
Quali potranno essere le conseguenze in termini di amplificazione
potenziale dei “dati da proteggere” e dei “rischi da gestire”
come l’organizzazione aziendale può inserire il ruolo del “Responsabile
per la protezione dei dati” (DPO, Data Protection Officer)
a cura del Dott. Andrea Cortellazzo (Cortellazzo & Soatto)

Relatore
Si occupa prevalentemente di supportare imprese e gruppi societari
nell’ambito di interventi volti alla riorganizzazione dei processi aziendali,
anche con l’ausilio dell’introduzione di sistemi gestionali ERP, di sistemi
di Gestione Elettronica Documentale e di Conservazione Sostitutiva,
assumendo incarichi consulenziali sia nella fase di selezione che nella
successiva fase di implementazione delle soluzioni.
Specialista nei processi di eInvoicing, in ambito nazionale e
internazionali, e correlata Compliance IVA.
Interviene anche nell’ambito dello sviluppo ed implementazione di
sistemi di controllo direzionale, di budgeting e di reporting ed ha
maturato esperienze nello sviluppo e nella gestione di modelli
organizzativi ai sensi del D.Lgs. n. 231/2001 e di modelli di internal
audit.
Skills
Dott. Andrea Cortellazzo
Commercialista - Esperto di
riorganizzazione dei processi
aziendali in particolare in contesti
ad elevata digitalizzazione

In quali ambiti
aziendali la
“Digitalizzazione”
avrà maggiore
impatto?
Quali potranno essere le
conseguenze in termini di
amplificazione potenziale
dei “dati da proteggere” e
dei “rischi da gestire”?
Amministrazione / Finanza
/ Controllo
Area Logistica
Gestione Fornitori Area Fiscale
Area Societaria
Gestione Clienti Area Produzione
eGoverment
eCommerce
Mobile Payment
eInvoicing

Quali potranno essere le
conseguenze in termini di
amplificazione potenziale
dei “dati da proteggere” e
dei “rischi da gestire”?
Amplificazione
Esponenziale
dei“dati da
proteggere”
Rischi da Gestire
proporzionali?
DIPENDE ….
✓Approccio al rischio
✓Cultura Aziendale
✓Deleghe e Responsabilità
✓Procedure di Controllo e
Monitoraggio
In quali ambiti
aziendali la
avrà maggiore
impatto?

Il Modello Organizzativo
Approccio al Rischio
Il regolamento pone con forza l'accento
sulla "responsabilizzazione" (accountability
nell'accezione inglese) di titolari e responsabili –
ossia, sull'adozione di comportamenti proattivi e
tali da dimostrare la concreta adozione di misure
finalizzate ad assicurare l'applicazione del
regolamento
Procedure di controllo e Monitoraggio
l'intervento di controllo sarà principalmente "ex
post", successivamente alle determinazioni
assunte autonomamente dal titolare;
NB abolizione a partire dal 25 maggio 2018 della
notifica preventiva dei trattamenti all'autorità di
controllo e il cosiddetto prior checking (o verifica
preliminare. Ora registro dei trattamenti e,
effettuazione di valutazioni di impatto in piena
autonomia.
Cultura Aziendale
viene affidato ai titolari il compito di
decidere autonomamente le modalità, le
garanzie e i limiti del trattamento dei dati
personali – nel rispetto delle disposizioni
normative e alla luce di alcuni criteri specifici
indicati nel regolamento
Deleghe e Responsabilità
A partire dal "responsabile della protezione
dati" (RPD/DPO) si riflette l'approccio
responsabilizzante che è proprio del
regolamento (si veda art. 39)
«la sensibilizzazione e la formazione del
personale»
«la sorveglianza sullo svolgimento della
valutazione di impatto di cui all'art. 35»

In quali ambiti
aziendali la
avrà maggiore
impatto?
Come l’organizzazione
aziendale può inserire il
ruolo del “Responsabile
per la protezione dei dati”
(DPO, Data Protection
Officer)
•Il Titolare del Trattamento - Data Controller o
Responsabile del trattamento
•Il Responsabile esterno del Trattamento /
Amministratore di Sistema - Joint Controller o
Co-responsabile del trattamento
•Il responsabile ed incaricato del trattamento, -
Data Processor e Incaricato del Trattamento o
Data Handler,
•Il responsabile della sicurezza dei dati -Data
Protection Officer ( DPO )

Il DPO è obbligatorio in qualsiasi caso
in cui il trattamento sia effettuato:
• da una pubblica amministrazione o
da un suo organismo,
• da società con più di 250
dipendenti,
• da aziende, le cui attività
principali siano costituite, per loro
natura, scopo o finalità, da
sistematico e regolare
monitoraggio delle persone
interessate, oppure se l'attività
principale del titolare implicherà
un trattamento su larga scala di
dati sensibili, relativi alla salute o
alla vita sessuale, genetici, oppure
giudiziari e biometrici. (escluse
comunque le autorità
giurisdizionali)
Il DPO rimarrà in carica, come minimo,
due anni, rinnovabili alla scadenza.
L’incarico potrà essere affidato ad un
soggetto terzo laddove, il precedente
DPO, non detenga più le qualità
richieste dalla norma.
Un DPO dovrà detenere qualità di
natura professionale, esperienza ed
abilità nell’area “legge sulla privacy”,
nonché rispettare i compiti (o parte di
essi come da accordi presi con
l’amministrazione del titolare) previsti
per detta figura.
Il DPO non dovrà avere conflitti di
interesse in azienda e dovrà essere
coinvolto preventivamente nelle
decisioni del management.
Il DPO potrà anche essere un
dipendente interno all'azienda oppure
esterno in forza di un contratto di
servizi.
I requisiti del DPO, Responsabile
della protezione dei dati personali,
nominato dal titolare del
trattamento o dal responsabile del
trattamento, dovrà:
1. possedere un'adeguata
conoscenza della normativa e delle
prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in
piena indipendenza ed in assenza di
conflitti di interesse;
3. operare alle dipendenze del
titolare o del responsabile oppure
sulla base di un contratto di servizio.
Il titolare o il responsabile del
trattamento dovranno mettere a
disposizione del Responsabile della
protezione dei dati personali le
risorse umane e finanziarie
necessarie all’adempimento dei suoi
compiti.
Il «Responsabile per la protezione dei dati»
(DPO, Data Protection Officer)

Il «Responsabile per la protezione dei dati»
(DPO, Data Protection Officer)
I compiti del DPO sono:
• Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
• Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di
protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di
protezione dei dati) ed in materia di verifiche
• Assicurare che la “documentazione” (l’equivalente del nostro DPS) sia redatta ed efficacemente
aggiornata.
• Obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un'ottica
proattiva (c.d. Accountability)
• Obbligo di tenere un registro delle attività del trattamento dei dati personali,
• Monitorare che accessi illeciti ai dati siano notificati all’autorità Garante (c.d. Data Breach
Notification)
• Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (c.d. Data Protection Impact)
• Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
• Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in
azienda.

Cyber Risk:
Gli elementi chiave e la necessità di un approccio integrato
per contenerlo e monitorarlo nel tempo
a cura dell’Ing Romina Colciago (Aon)

Relatore
Ing. Romina Colciago
Direttore Aon Global Risk Consulting
Italy - Aon Hewitt Risk & Consulting
Ingegnere delle tecnologie industriali, inizia il proprio percorso
professionale nel 1996 nella Consulenza di Direzione in ambito
Operations dove sviluppa competenze gestionali in progetti
complessi di reingegnerizzazione dei processi logistico-
produttivi per aziende multinazionali appartenenti a differenti
settori industriali.
Dal 2002 entra nel mondo della Gestione dei Rischi.
Dal 2011 è Direttore della Divisione Aon Global Risk Consulting
in Italia.
Romina ha maturato una profonda conoscenza delle
organizzazioni industriali, finanziarie e sanitarie nella gestione
di numerosi progetti riguardanti l'identificazione, la valutazione,
la quantificazione, la mitigazione e la definizione di una strategia
di rischio con particolare focus sui Rischi Operativi e sui Cyber
Risk.
Skills
25

Cyber Risk:
gli elementi chiave e la
necessità di un
approccio integrato
Il contesto di riferimento e
gli elementi chiave

#9
#5
AGRMS
2015
AGRMS
2017
Source: Aon Global Risk Managemen Survey 2017
… come è cambiata la percezione (e la realtà)
del rischio? CyberRisk e Data Protection

1.
Dinamismo
ed
evoluzione
Aumenta la base di attacco
Aumenta la dipendenza dai sistemi sempre più interconnessi
Aumenta la “facilità di attacco” – Hire an hacker
I Fattori
MILIARDI DI
DEVICES
SARANNO CONNESSI AD INTERNET
ENTRO IL 2020
CI SARANNO 8 DEVICES PER OGNI
PERSONA
NEL MONDO
*Ponemon Institute 2015 Global Cyber Impact Report (sponsored by Aon)
CyberRisk e Data Protection3 elementi chiave

Fonte: DELL sevureworks.com
«Hire an hacker»
3 elementi chiave CyberRisk e Data Protection
1.
Dinamismo
ed
evoluzione

2.
Tema di
Business,
non solo
IT
Third Party
Breach
First Party
Breach Cost
Data &
System
Restoration
Business
Interruption
(during
breach)
Loss of
Intellectual
Property
Extended
Business
Interruption
Bodily Injury
Third party
Liability
Property
Damage
Top 9 Concerns of Board of Directors
1. Source: Aon Cyber Captive Survey 2016
Impatti
Target Corp. +$264m
JP Morgan Chase $250m
Home Depot $232m
• Carbanak 1 Bln
• Wannacry 4 Bln?
Il richio cyber dovrebbe
stare sulle tavole dei Board
e sotto stretto monitoraggio
di tutti gli Organi di Controllo

La compliance al nuovo GDPR
Diritto all’oblio
Il Titolare del trattamento deve garantire
all’interessato la cancellazione dei dati
personali che lo riguardano senza
ingiustificato ritardo (Right to be
forgotten)
Portabilità dei dati
Il GDPR sancisce l’obbligo di garantire
all’interessato la trasmissione diretta dei
dati personali da un Titolare all’altro, se
tecnicamente fattibile,
senza impedimenti
Proporzionalità
Deve essere rispettato il principio di
proporzionalità: I dati devono essere
adeguati, pertinenti e limitati a quanto
necessario rispetto alle finalità per le quali
sono trattati.
Privacy by design e by default
Il GDPR disciplina l’obbligo di assicurare
che le misure adottate attuino
efficacemente i principi di privacy by
design (i.e. protezione dei dati fin dalla
progettazione) e privacy by default (i.e.
impostazione predefinita che preveda il
trattamento dei soli dati necessari al
perseguimento delle finalità)
Risk-based approach
Il GDPR prevede un approccio risk-based,
attraverso lo svolgimento del Privacy Impact
Assessment, sono valutati i rischi per i
trattamenti effettuati. Tale attività è volta a
valutare le misure di sicurezza adottate Tra
le misure consigliate per migliorare la data
protection vi sono: la pseudonimizzazione,
la crittografia, la resilienza dei sistemi.
Consenso
Il consenso deve essere esplicito ed
essere prestato liberamente: il GDPR
richiede che l’interessato acconsenta al
trattamento dei dati personali con atto
positivo inequivocabile con il quale
dimostra l’intenzione libera, specifica e
informata di accettare il trattamento di dati
personali che lo riguardano (e.g.: non ci
sono caselle preimpostate)
E inoltre … obbligo di denuncia entro 72 H dal «Data Breach», nuova figura del DPO, ….
2.
Tema di
Business,
non solo IT

Rischio zero?
3.
Non
esiste il
Rischio
ZERO
Source: Aon
Il caso del Pentagono
Luglio 2015 - ll Pentagono ha dovuto mettere fuori servizio il suo
sistema di e-mail dopo aver registrato un "sofisticato attacco
informatico" da parte di presunti hacker russi
Il caso Hacking Team
Luglio 2015 - La società di spionaggio digitale, colpita da un attacco hacker ha perso 400
gb di dati, e dichiara: «Prima dell'attacco potevamo controllare chi aveva accesso alla
nostra tecnologia. Ora, a causa del lavoro di criminali, abbiamo perso la capacità di
controllare chi la utilizza». Che in sostanza vuol dire: i nostri spyware potrebbero essere
finiti nelle mani di chiunque, e potrebbero quindi essere utilizzati per qualsiasi cosa. Il
pensiero va immediatamente al terrorismo, anche perché le cronache recenti raccontano
sempre più spesso di azioni di questo tipo.
Fonte: www.ilsole24ore.com
Fonte: www.rainews.it
Tutti i settori sono colpiti, anche le realtà teoricamente «più
protette»

Il livello di preparazione delle Aziende è ancora limitato
e gli investimenti in cyber security contenuti
Rischio zero?
3.
Non esiste
il Rischio
ZERO

Il caso ransomware «Wannacry» / «Wannacrypt»
Maggio 2017 - WannaCry, chiamato anche
WanaCrypt0r 2.0, è un worm, di tipologia ransomware,
responsabile di un'epidemia su larga scala avvenuta
nel maggio 2017 su computer con sistema operativo
Microsoft Windows. In esecuzione cripta i file presenti
sul computer e chiede un riscatto di alcune centinaia di
dollari per decriptarli. Wannacry sfrutta soprattutto la
natura puramente umana delle vulnerabiltà
propagandosi tramite email, e capace di propagarsi
mediante un software trafugato dall’NSA americana
(eternalblue) per sondare la rete in cerca di punti di
accesso e propagazione dell’infezione. Tra i principali
indiziati dell'attacco informatico c'è la Corea del Nord.
Alcune parti del codice utilizzato in WannaCry
coinciderebbero infatti con quelle utilizzate in altri virus
dispensati in passato dal regime di Pyongyang.
Colpiti 100 mila sistemi in 150 Paesi - La polizia europea lo ha definito un
"attacco senza precedenti" e il G7 è sceso subito in campo per lanciare un
messaggio ai Governi affinché condividano informazioni per combattere le
minacce crescenti dei cyberterroristi. Il virus si è diffuso in 100 mila
organizzazioni in 150 Paesi in tutto il mondo, si contano i danni che vanno
dalle ferrovie tedesche alla Renault che ha fermato gli stabilimenti in
Francia, dal sistema sanitario britannico, dove è andato in tilt un ospedale
su cinque, all'Università di Milano Bicocca.
Un nome pesante, nel casellario delle vittime, è quello dell'olandese TNT
(Gruppo FedEx), in cui il malware, insinuatosi nei computer aziendali
attraverso la rete Lan, ha avuto ripercussioni pesanti. Il sistema di
tracciamento delle spedizioni è praticamente saltato.
Ciò che è avvenuto ha causato un pesante impatto finanziario causando
l’abbassamento delle azioni di FedEx del 3.4%; nonché di notevoli impatti
di immagine.
Fonte: www.corriere.it
WannacryCase History CyberRisk e Data Protection

Petya / (Not)Petya
L’attacco (not)Petya e i suoi effetti
Giugno 2017 – Molte organizzazioni in Europa sono
state colpite dall’attacco «ransomware» di nome
«Petya», giudicato dagli specialisti del settore l’attacco
più critico dei mesi estivi.
Petya, variante del ransomware Wannacry, capace di
sfruttare l'aggiornamento di un software per il mondo
business chiamato MeDoc molto usato in Ucraina,
armato con Eternalblue sviluppato dalla Nsa, in grado
di superare le barriere in entrata attraverso le mail e
sfruttando delle vulnerabilità del software citato. La
prima denuncia di attacco “Petya” è arrivata dalla
compagnia danese di trasporto marittimo, energia e
cantieristica navale Maersk (i cui danni sarebbero stati
stimati dagli analisti in un range tra i 200M$ e i
300M$), seguita poco dopo dal gigante petrolifero
russo Rosneft e dalla sua controllata Bashneft.
In Ucraina sono stati impattati la Banca nazionale, i negozi Auchan, la rete
metropolitana e l’aeroporto Borispol della capitale Kiev e persino la
centrale nucleare di Chernobyl, dove sono andati “parzialmente fuori uso”
i sistemi che monitorano i livelli di radiazione. Il virus si è diffuso anche in
Gran Bretagna, con problemi agli impianti produttivi della Nissan, Francia,
con impatti al colosso dell’automotive Renault, e India. Un’ottantina le
aziende finite nel mirino finora, tra cui Mars, Nivea, il colosso britannico
della pubblicità Wpp (il cui impatto economico per la società
multinazionale britannica impiegata nelle PR è stato stimato pari a 15
M£*), il produttore siderurgico russo Evraz, la ditta francese di
distribuzione di materiali per l’edilizia Saint Gobain e la compagnia
alimentare Mondelez International.Fonte: https://www.theguardian.com
(*)http://www.computerweekly.com/news
Case History CyberRisk e Data Protection

?
® Dove si colloca il mio rischio?
® Quali investimenti posso/devo
implementare perché il mio
rischio sia accettabile?
® Quale quota di rischio trasferire?
® Il Mercato Assicurativo può
accettare questo rischio?
Bilanciare Costi e Benefici degli interventi di Cyber Security, a
tutela del Business e delle Risorse
Dove si posiziona la vostra azienda CyberRisk e Data Protection

Allineare la strategia di cybersecurity strategy con la cultura
aziendale e la tolleranza al rischio
CyberRisk e Data ProtectionSviluppare un’organizzazione Resiliente

Tradurre gli Scenari di Rischio in Impatti Economici
…creare business case utili a supportare le decisioni di
Board, Imprenditori, Manager
La quantificazione del rischio CyberRisk e Data Protection

Source: Framework Nazionale Cyber Security
Il Framework Nazionale di Cyber Security
…un approccio personalizzato per le Grandi Imprese …. e per le PMI (implementare
subcategorie e priorità alta e livello di maturità basso)
Integrare il Rischio Cyber
nei processi di ERM

Il Progetto WISER
Source: www.cyberwiser.eu Co-funded by the European Commission
Horizon 2020 – Grant # 653321
Soluzioni di real-timemonitoring per le PMI CyberRisk e Data Protection

Le opportunità per le Imprese
Con la legge di Stabilità 2017 sono stati introdotti incentivi fiscali (iperammortamento del
250% e superammortamento del 140%) finalizzati a supportare gli investimenti “4.0”
delle imprese italiane. Riguarda l’acquisto di beni strumentali nuovi che “favoriscono i
processi di trasformazione tecnologica e/o digitale in chiave Industria 4.0”.
QUALI INIZIATIVE E INVESTIMENTI SONO FINANZIABILI
Le nove tecnologie abilitanti individuate dal Piano italiano sono:
1. ADVANCED MANUFACTURING SOLUTIONS: Robot collaborativi interconnessi e rapidamente programmabili
2. ADDITIVE MANUFACTURING: Stampanti in 3D connesse a software di sviluppo digitali
3. AUGMENTED REALITY: Realtà aumentata a supporto dei processi produttivi
4. SIMULATION: Simulazione tra macchine interconnesse per ottimizzare i processi
5. HORIZONTAL/VERTICAL INTEGRATION: Integrazione informazioni lungo la catena del valore dal fornitore al
consumatore
6. INDUSTRIAL INTERNET: Comunicazione multidirezionale tra processi produttivi e prodotti
7. CLOUD: Gestione di elevate quantità di dati su sistemi aperti
8. CYBER-SECURITY: Sicurezza durante le operazioni in rete e su sistemi aperti
9. BIG DATA AND ANALYTICS: Analisi di un'ampia base dati per ottimizzare prodotti e
processi produttivi
Industria 4.0 CyberRisk e Data Protection

Cyber Risk:
tecnologie e prassi per la sicurezza delle aziende
a cura dell’ Ing. Matteo Merialdo (Rhea)

Relatore
Ing. Matteo Merialdo
Senior Project Manager
RHEA Group
Matteo Merialdo è un esperto architetto software e project
manager, con la responsabilità di coordinare alcuni dei
principali progetti di sicurezza informatica di RHEA Group per
conto di clienti istituzionali e di grandi dimensioni.
Ha conseguito una laurea in ingegneria delle
telecomunicazioni, un master in Software Engineering, in
Executive Management e IT Governance.
Skills

Tecnologie e prassi
per la sicurezza delle
aziende
Il contesto di riferimento e
gli elementi chiave

The are only two types of companies: those that have
been hacked and those that will be. Even that is merging
into one category: those that have been hacked and those
that will be again.
• Robert Mueller, Former FBI Director on Cyber Threat
• “
”
Tecnologie e prassi per la
sicurezza delle aziende
Cyber risk e Data Protection

Cybersecurity incidents are increasing at
an alarming pace with profound effect on
daily functioning of society & economy

Cyber risk e Data Protection 47
Cyber-risk has become one of the major threats to
business continuity and business reputation.
• 2017 Aon Global Risk Management Survey

Malware attacks “WannaCry” and “Petya” spread through
600,000 systems in 150 countries in 2017, affecting some
of the world’s biggest corporate names, including UK-
based advertising group WPP, Danish shipping company AP
Moller-Maersk, and U.S. delivery service FedEx.
• Financial Times (July 7, 2017)
Cyber risk e Data
Protection
48Tecnologie e prassi per la sicurezza delle aziende

Cyber-Security – problem
Lack of security-driven continuous and dynamic
Management for large and complex ICT systems
Security relies on “know-how” and “expertise”
Priority targets are difficult to identify
Mission/System dependency is difficult to
determine
System interdependency is difficult to assess
Attacks are complex and non-obvious
Optimal mitigations are difficult to determinate
49
External Services
Internal Services
Restricted
Domain
FIREWALL
FIREWALL
FIREWALL
WWW Server
Mission Critical
Workstation
Corporate
Workstation
Intrusion Detection
System

5 STEPS for improving Cyber-Security
resilience
Understand critical assets and interactions
It is not possible to protect everything, thus is mandatory to analyse what really matter for the
organization (starting from a Business Impact Analysis)
Proactively assess cyber-risk
Asset analysis is not sufficient: risk assessment iterations must be carried out regularly in order
to manage the risk
Several methodologies exists (NIST, ISO 27005, HTRA, MEHARI, Magerit)
Typical results, even often useful, usually are purely qualitative
More sophisticated instruments are needed in order to continuously manage cyber risk

Make awareness a priority
Following most common cyber-security standards (e.g. ISO 27001), improving cyber security
awareness in the organization and its policies is fundamental
Many threats depends on misbehaviours of the employees
Fortify the organization
Use the results from the risk assessment in order to plan mitigation actions (network configuration,
patches, policies and procedures) able to decrease the level of the risk
Prepare for the inevitable
Implement a security incident management process in order to deal with incoming attacks
Transfer the residual risk to an insurance company
5 STEPS for improving Cyber-Security
resilience

IT SECURITY MANAGERS NEED…
Situational
Awareness
Proactive
Policies
Reactive
Policies
Fact-based
Synthetic / visual
Business quantitative
Non-invasive
Automation support
Standardized
Open to market COTS
Tools / Process
requirements
… a synthetic, clear, actionable, comprehensive and always
updated view on the cyber risk exposure of their managed
infrastructures, based on objective evidences, including a
quantitative assessment of potential impacts on economics
…a recommended set of actionable interventions on the
infrastructure (patches, policies) maximizing the benefit to
cyber-risk exposure while minimizing costs; instrumental
to optimize/justify IT security budgets
…a near real-time cyber-threat detection and reaction
capability, based on a set of alarms and/or reactive
policies predefined on the IT infrastructure and its security
monitoring system

Starlings soar®
A mature, non-invasive diagnostic system
to manage and quantify cyber-risk.

Based on the panoptesec concept
The Starlings Soar® solution originates
from a 3-year (2013-2016), multi-million
R&D project sponsored by the European
Commission, Seventh Framework
Programme, DG Connect

A unique, end-to-end modular system
Business impact and risk quantification
Business Processes map vs IT assets
Evaluation of overall infrastructure risk
(operational / financial impact)
Vulnerability and attack paths
Complete mapping of vulnerability surface
Full calculation of possible attack paths
Network discovery and data collection
Acquisition of network knowledge (scan,
topology data-flows, assets characteristics)
Flexible and open interface to COTS sensors
and systems
Vulnerabilities
& attack paths
Business impact and
risk quantification
Network discovery &
data collection
Risk
assessment
Mitigation
policies
identification
and
prioritization

Starlings soar® - the process
Business impact
& risk
quantification
Vulnerabilities
& attack paths
Network
discovery & data
collection

Cyber Risk:
la polizza assicurativa Cyber Risk quale strumento di
trasferimento del rischio
a cura del Dott. Giulio Rosati (Aon)

Relatore
Dott. Giulio Rosati
Unit Director
Financial Lines Specialty
Aon Italia S.p.A,.
Laureato in economia entra nel settore assicurativo nel 2007
come underwriter Financial lines in Italiana Assicurazioni.
Dal 2008 entra nel mondo del brokeraggio in Italia e dal 2010 al
2012 a Londra sempre nel brokeraggio
Dal 2013 passa in QBE come underwriter sempre nel financial
lines .
Dal 2017 è Unit Director nella Unit Financial Lines in AON Italia.
Giulio ha maturato una profonda conoscenza sul piazzamento
con focus anche nella sottoscrizione dei rischi visto il pregresso
come underwriter con particolare focus sui Rischi financial lines
incluso il Cyber Risk.
Skills

L’evoluzione del
rischio Cyber e
l’offerta assicurativa
1. Introduzione
2. Il mercato assicurativo
3. Esempi di eventi dannosi
4. La Polizza Cyber

?????
Regolamento
UE
679/2016
1 miliardo
capacità per
polizza
77
mercati
assicurativi
Panoramica mondiale CyberRisk e Data Protection

Il mercato assicurativo
Dimensione:
Il mercato assicurativo Cyber si è sviluppato a
livello mondiale negli ultimi 15 anni ed in Italia
da 5 anni.
Nel mondo vi sono circa 77 compagnie di
assicurazione che offrono prodotti assicurativi
Cyber. Il livello di customizzazione e
taylorizzazione ottenibile è molto elevato e
necessario.
Capacità del mercato per ogni singola copertura
assicurativa eccede il miliardo di euro.
0
200
400
600
800
1000
1200
Liability Business
Interruption
Crisis
Expense
Reputation
Damage
Capacity (€MM)

Il mercato assicurativo
La situazione del mercato assicurativo:
• Da survey del Ponemon Research Institute, condotta su 2243
aziende in 37 paesi:
– Il valore degli asset digitali ha ormai raggiunto quello degli asset fisici;
– Il livello di protezione assicurativa degli asset digitali resta però
sensibilmente inferiore rispetto a quella degli asset fisici;
– La probabilità di danni ad assets digitali è maggiore rispetto a quella per
assets fisici;
– A seguito di danno «business disruption» l’ammontare delle perdite sugli
asset digitali è superiore a quello sugli asset fisici.
Fonte: Ponemon report on Cyber Crime, PPE stays for Property, Plant &
Equipment

La punta di un iceberg
per proteggere azienda, brand, board,
azionisti etc.
Gran parte
degli incidenti
NON viene
comunicata

Sinistri major negli ultimi anni
Anthem (compagnia assicurazioni sanitaria): Furto di circa 80 milioni
di record contenenti i dati personali dei clienti e degli impiegati
compresi nomi, date di nascita, indirizzi email, dati sul reddito e altro
ancora. La stima dei danni è ancora in corso, ma si preannuncia
molto pesante sia in termini di immagine che di risarcimenti agli
utenti superando il miliardo di dollari (si stimano 145 dollari per
report perso o rubato).
Ashley Madison (servizio web): Un gruppo di hacker è riuscito a
compromettere da remoto e rendere pubblico il database dei 37
milioni di utenti.
Carbanak: Un gruppo di hacker si è infiltrato con tecniche di
phishing all’interno di diverse organizzazioni finanziarie, infettandole
con malware realizzato ad-hoc riuscendo a sottrarre un totale
stimato di 1 miliardo di dollari tramite operazioni apparentemente
lecite ed autorizzate.
Hacking Team (azienda specializzata in produzione software):
Copiate e pubblicate online una impressionante quantità di
informazioni sensibili (oltre 400 Gigabyte).
Dipartimento di Stato USA: Infiltrazione e compromissione della
rete. Per fermare l’attacco l’amministrazione è stata costretta a
fermare i sistemi ed a re-installarli da zero.

Experian / T-Mobile (società di recupero crediti): Cyber criminali
hanno aggredito la società, sottraendo i dati di quindici milioni di
clienti. Questo genere di furti su larga scala viene solitamente
realizzato per facilitare ulteriori crimini, quali il furto di identità,
tramite il quale poi si realizzano truffe online di vario genere.
John Brennan (Direttore CIA): Violata la casella mail personale
su America on Line e pubblicazione del contenuto.
VTech – smart toys e gadgets (società giocattoli tecnologici): Le
informazioni personali di circa 5 milioni di genitori ed oltre
200.000 ragazzi sono state rubate a seguito della
compromissione di un sito web della società.
Office of Personnel Management (agenzia USA): Violazione del
software e sottrazione informazioni molto sensibili, relative a tutti
indipendenti federali dal 2000 in avanti.
Ukraine Power Grid / Kiev Airport (rete elettrica ucraina): Un
attacco realizzato tramite malware ha consentito agli attaccanti di
alterare il funzionamento di alcune sottostazioni della rete
elettrica, con il risultato di provocare un black-out che ha
interessato circa 80.000 utenze.
Sinistri major negli ultimi anni CyberRisk e Data Protection

Proposal form
• Aon ha sviluppato un questionario che consente di fornire una
prima quotazione della polizza cyber, intercettando i principali
players di mercato;
• Questa fase è gratuita e non vincolante per l’azienda, che
potrà decidere sulla base delle quotazioni se approfondire sul
testo della polizza, le condizioni, le esclusioni etc.;
• Aon è disponibile a supportare il Cliente nella fase di
compilazione del questionario e nell’individuazione di
franchigie e massimali adeguati;
• Aon è disponibile ad effettuare degli incontri mirati ad
approfondire l’intera gamma dei servizi.

Cosa considerare per strutturare
un programma assicurativo?
Programma
ottimale
Rischi
assicurabili
Requisiti
contrattuali
Budget
Tolleranza al
rischio
Ipotesi di
perdita
Ricostruzione
dei dati
Oggetto della
copertura /
controllo
Limiti di
Mercato

Proposal form –
Cosa vuole sapere il mercato assicurativo?
Informazioni
richieste
Sinistri e
circostanze
precedenti
Sicurezza
informazio
ni personali
Gestione
rischi IT
Trattative
con terze
parti
Formazione
e
conoscenza
Raccolta dei
dati
Coperture
richieste
Informazion
i finanziarie
e societarie

Third party
First party

Le principali coperture della polizza Cyber
Vi sono due aree di rischio tutelabili dalla polizza cyber: First party e Third party.
1. First party (danni propri dell’assicurato)
-Business interruption  Indennizzo per i costi per consulenti legali, esperti informatici e consulenti di crisi per
capire cos’è successo al fine di provare l’ammontare e la natura delle perdite coperte. + Indennizzo per i costi
di ripristino del sistema. + Rimborso per la perdita di profitto subita per interruzione dell’attività come diretta
conseguenza della indisponibilità totale o parziale del sistema informatico della società.
-Perdita di dati propri  indennizzo per i costi di recupero e ripristino dei dati limitatamente ai costi di
reimmissione, ricarico, ricopiatura, reinserimento di informazioni digitalizzate ai fini delle memorie distrutte o
cancellate.
-Cyber-extortion  Indennizzo per i costi necessari per porre fine alla minaccia estorsiva.
2. Third party (tutela per la responsabilità civile contro terzi)
-Perdita di dati di terzi con conseguente violazione di obblighi di riservatezza o della privacy di terzi 
Indennizzo dei costi di notifica quali stampe, spedizioni e altri tipi di comunicazione alle parti lese. +
Indennizzo in caso di azioni legali o costi di difesa derivanti da richiesta di risarcimento di parti terze lese.
-Violazione della sicurezza di rete  Indennizzo per i costi per riparare ad un errore che ha portato ad una
violazione della rete.
-Responsabilità media indennizzo per i costi di difesa derivanti da richiesta di risarcimento di terzi in seguito
ad eventi media quali ad esempio calunnia, diffamazione, violazione di copyright, nomi di dominio, segni
distintivi o semplicemente divulgazione di dati di terze parti.

2017 Global Cyber Risk Transfer
Comparison Report
L’Edizione 2017 dell’EMEA Cyber Risk Trasfer Comparison Report realizzata da Aon in
collaborazione con Ponemon Institute, rivela come, nonostante le aziende riconoscano il
crescente valore della tecnologia dei dati rispetto agli asset «materiali», spendano quatto
volte in più per le coperture assicurative di rischi relativi a proprietà immobiliari, stabilimenti
e attrezzature…
«Il primo passo per le aziende è che ci sia consapevolezza da parte del Top Management e
delle funzioni operative riguardo le minacce cyber e all’impatto sul business. Quello
successivo è sviluppare processi integrati di risk management che prevedano meccanismi di
prevenzione, controllo, real time monitoring, incident response e insurance transfer»
Enrico Vanin – CEO Aon SpA e Aon Hewitt Risk&Consulting

Comparison Report

75
CyberRisk e Data ProtectionChi è Aon
Aon nel Mondo
500 uffici in tutto il mondo
120 paesi in cui Aon è presente
72k collaboratori Aon nel mondo
Aon in Italia
+1200 dipendenti
25 uffici presenti su tutto il territorio
Aon è Glocal
Aon nel Nord-Est
4 Uffici (Pordenone, Treviso, Verona e
Vicenza)
+80 collaboratori
Circa 1000 Aziende gestite

Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017

Similar to Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 (20)

Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017