Presentazione a supporto dell'intervento di Ivan Grumelli, DussmannS al webinar "15 ANNI DAL D.LGS.81/2008 E
L’EVOLUZIONE DELLA FIGURA DEL RSPP: PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
2. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi
3. Facility Management
Sanificazione ospedaliera
Pulizie civili e industriali
Sanificazione sui mezzi di trasporto
Manutenzione e gestione degli edifici
Servizi per la terza età
Sicurezza armata e non armata
Sterilizzazione set chirurgici
Food services
Servizi di ristorazione ospedaliera, aziendale,
scolastica, per la terza età
Catering e banqueting
Servizi accessori
Technical Solutions
Hard maintenance
Gestione e manutenzione impiantistica
Costruzione Impianti
Termomeccanici
Elettrici
Idraulici
Reti
Speciali
Scenario di riferimento: cosa fa Dussmann?
4. Scenario di riferimento:
i numeri
• +26.000 dipendenti (90% blue collar)
• Food services: 45 Milioni di pasti/anno
• Facility Management: 25 Milioni di m2 gestiti / anno (+15 MLD puliti) ;
2500 pulizie treni/giorno; 2000 clienti Sicurezza; 48 RSA gestite;
+2000 ferri medici sterilizzati al giorno
• Technical Solutions : 150 impianti; +130.000 componenti
• +2000 production sites
5. Dove siamo
Italy ICT Dept - Lansdcape
5
Dussman Service HQ
Kursana
Capriate S. G. (BG)
Securducale Vigilanza
Parma
Steritalia
Pierantonio (PG)
Regional Offices
Caresanablot (VC)
Modugno (BA)
Olbia (OT)
Acireale (CT)
Rome
Trieste
Cooking Center
La Spezia
Aosta
Fossalta
Vibo Valentia
Prato
Padova
Settimo M.
Marghera
Brescia
Pavia
Torino
Gorgonzola
Dussmann Service
Branch sites
Nord Ovest
Capriate S. G. (BG)
Torino
Sud
Napoli
Nord Est
Marghera (VE)
Centro
Prato
Adriatica
Cesena (FC)
B&I Catering
Capriate S. G. (BG)
B&I IFM
Capriate S. G. (BG)
Trasporti
Napoli
Ristorazione scolastica
Capriate S. G. (BG)
6. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi
7. Le minacce - 1
Attacchi andati “a buon fine” (hanno generato danni significativi e sono divenuti di dominio
pubblico)
Gli attacchi verso vittime italiane rappresentano il 9,6%
[Fonte: Rapporto Clusit 2023 - Sicurezza ICT in Italia]
11. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi
12. Cybersecurity in Dussmann - 1
• Il tema delle sicurezza delle informazioni in Dussmann è stato
affrontato da tempo su anche su sollecitazione della capo Gruppo
• Molte misure sono state traguardate sulle iniziative legate alla
normativa sulla Privacy con decisa accelerazione con l’avvento della
normativa europea (GDPR)
• La diffusione della digitalizzazione anche nei processi di facility
management e l’aumento delle minacce di cybercrime ha ulteriormente
messo attenzione sul tema anche al di fuori dell’area ICT
13. Le informazioni da proteggere
Data Center
Impiegati di
ufficio
Pulitori
Cucine
Dietiste
Capi
commessa
Referenti
servizio
Manutentori
Asset Informativi
30 applicazioni principali
+1.800 postazioni di lavoro
circa 5.000 smartphone/tablet
+600.000 mail/mese
30 milioni di documenti archiviati
(incluso documenti di gara, contratti,
documenti operativi, ….)
600.000 fatture / anno
5.000 ricette; 200.000 articoli;
Clienti
Dipendenti
Clienti dei clienti
(alunni, genitori, pazienti, visitatori, …)
Fornitori
Minori
Dati personali comuni
Dati con categorie particolari (diete, …)
Dati videosorveglianza
Tipologia di dati
14. Cybersecurity in Dussmann - 2
• Allo scopo di raggiungere un livello adeguato di sicurezza sono state
definite dal Gruppo alcune misure minime in linea con lo standard
ISO27001
• E’ stato istituito un ruolo dedicato per la protezione delle informazioni
(CISO) ad oggi in carico alla Direzione Sistemi Informativi
• E’ stato varato un piano di iniziative che si sviluppa in tre direzioni
• Sensibilizzazione
• Organizzativo-procedurale
• Tecnologiche
15. Da dove siamo partiti
Cyber/InfoSec
Per capire come eravamo posizionati abbiamo fatto un self-assemment basato sui controlli
ISO27001:2013 e identificato un piano di azioni di miglioramento
Maturity Assessment
• Capire l’attuale livello di maturità per Cyber and Data Protection Maturity
Risultati
• Identificate le good practice
• Identificati i punti di debolezza
• Identificati controlli da mettere in campo
Miglioramenti
• Plan, Do, Check, Act:
o Definito un programma per di inziative
o Continuo miglioramento
ARRIVA CONFIDENTIAL
DPA
PCI-DSS
GDPR
16. Sensibilizzazione
• Formazione obbligatoria su piattaforma elarning
• Attivata piattaforma dedicata di sensibilizzazione
• Portale Information Security - MySafeDussman
• Newsletter bi-settimanale
• Campagne di phishing con messaggi formativi
• Mail periodiche di richiamo alle buone norme
17. Piattaforma dedicata
17
Security Day 20/09/2022
Attacchi BEC: argomenti comuni
• Più di 400 pillole formative (5-20 min)
Video animati
Video Interattivi
Video con attori
Storie con e decisioni/scelte
Training Game
• Materiale per Sensibilizzazione
Poster/Infografiche/Flyer
Presentazioni/ Screensaver
18. Tecnologia - 1
• Aggiornamento antivirus nuova generazione
• Segregazione reti
• Multi Factor Authentication
• Monitoraggio reti/comportamenti con ausilio AI
• Cyber Treath intelligence
• Controllo complessità / password
• Vulnerability assessment periodico
19. Tecnologia - 2 Attività periodica di RED TEAM per simulazione di attacchi multi
sorgente e relative piano di contromisure da mettere in campo
20. Organizzazione - 1
• Avviato comitato permanente (BLU TEAM)
multi-divisionale.
• Tale comitato è presieduto dall’AD e
composto da
• CISO/ Direttore Sistemi Informativi
• Security Team IT
• Direttore Sviluppo Risorse Umane
• Responsabili di Struttura / Direzioni
• Riferimenti della comunità utenti di
appalto
• Obiettivo: condividere strategia per cybersecurity,
aggiornare piano di azioni non tecniche, analizzare
report su incidenti e vulnerabilità e valutare
allineamento con le linee guida di Gruppo / ISO27001
21. Organizzazione - 2
• Integrazione attività DPO nei processi aziendali
• Piattaforma per gestione trattamenti dati personali
• Attivazione Security Operations Center
• Revisione impianto Security Policies
• Certificazione ISO27001:2022
raggiunta a dicembre 2023!!
22. Agenda
• Facility Management: scenario di riferimento
• Cybersecurity: minacce esterne ed interne
• Il percorso per la protezione delle informazioni:
l’esperienza Dussmann Service
• Lezioni imparate e prossimi passi
23. • Non abbassare mai la guardia
• Le persone sono la prima area di
vulnerabilità ….
• Usare tutti i canali e le occasioni per
diffondere la cultura della sicurezza
• Dare il buon esempio
SFIDE FUTURE
• Risorse specialistiche
• Sicurezza IOT / Cifratura
• Sorveglianza ISO27001
Editor's Notes
Già l’anno scorso avevamo scritto “l’Italia è nel mirino”, avendo subito il 7,6% degli attacchi globali (contro un 3,4% del 2021).Questo trend si conferma in crescita anche nel 2023, dato che nel primo semestre gli attacchi verso vittime italiane rappresentano il 9,6% del nostro campione totale, a parità di fonti utilizzate.Considerato che l’Italia rappresenta il 2% del PIL mondiale e lo 0,7% della popolazione, questo dato fa certamente riflettere.
Analisi degli attacchi in Italia
Nel I semestre 2023 registriamo ancora una crescita del 40% degli attacchi inItalia, quasi 4 volte superiore al dato globale, analogamente a quanto avvenuto nel 2021 (si passa da 15,7 attacchi al mese rilevati nel 2022 a ben 22 attacchi al mese nel primo semestre 2023 )
Come accade a livello globale, la maggioranza degli attacchi noti in Italia si riferisce alla categoria “Cybercrime”, che rappresenta il 69% del totale, con una quota in significativo calo rispetto all’anno precedente.
Sebbene il peso percentuale del Cybercrime stia diminuendo (nel 2022 costituiva il 93,1% degli attacchi), è bene però tenere presente che in termini assoluti gli attacchi sembrano invece mantenere un tasso di incessante crescita, con 91 incidenti rilevati in Italia solo nei primi 6 mesi del 2023.
Crescono invece in modo decisamente rilevante gli attacchi classificati come “Hacktivism”, che in questo semestre si attestano al 30% (nel 2022 costituivano il 6,9% degli attacchi).In Italia, gli incidenti afferenti a questa tipologia costituiscono una quota molto superiore rispetto a quella globale (pari al 7,7%): oltre il 37% del totale degli attacchi con finalità “Hacktivism” è avvenuto nei confronti di organizzazioni italiane.Si moltiplicano quindi gli attacchi dimostrativi, molto spesso perpetrati con finalità politica, ai danni di enti o aziende del nostro Paese.Analizzando nello specifico gli eventi registrati di fronte a tutta una serie di azioni legate alla situazione geopolitica, con particolare riferimento al conflitto in Ucraina, nei quali gruppi di attivisti agiscono mediante campagne rivolte tanto al nostro Paese che alle altre nazioni del blocco filo-ucraino.Sebbene sia più che possibile un legame con il governo Russo (o più in esteso, con Paesi che stanno mantenendo una posizione ambigua nel conflitto in corso), non vi sono prove certe per classificare queste azioni come state-sponsored attack, pertanto come è possibile vedere, non risultano azioni afferenti alla categoria “Information Warfare”.
Completa il campione l’1% di attacchi nella categoria “Espionage / Sabotage”:per entità e numerosità, in Italia è la prima volta che si ritrovavano incidenti in questa categoria dal 2020.
Guardando alla distribuzione delle vittime, ancora una volta la categoria merceologica per cui si rileva un maggior numero di attacchi è “Government” (23% del totale), seguita a breve distanza da “Manufacturing” (17%).
La ripartizione è significativamente diversa rispetto a quella del campione a livello mondiale, in cui le due categorie raccolgono rispettivamente il 12% e il 5% degli attacchi (ricoprendo la terza e la settima posizione).
Rispetto a quanto rilevato nel 2022, il malware (e in questa categoria il c.d.ransomware) continua a rappresentare la principale tecnica di attacco utilizzata dai criminali (31%), ma in modo molto meno consistente (era pari al 53% nel 2022) e di 4 punti percentuali inferiore al dato globale.
Sono invece i DDoS a registrare una notevole crescita, passando dal 4% del 2022 allo spaventoso 30% del primo semestre 2023, una quota 5 volte superiore.L’incidenza di attacchi di questa tipologia in Italia è estremamente più elevata rispetto a quella registrata nel campione complessivo, che si ferma al 7,9%: le vittime italiane hanno subito un numero maggiore di attacchi DDoS, tanto da registrare circa il 37% del totale di tali eventi censito nel campione.
Gli attacchi DDoS sono una delle tecniche più utilizzate dagli hacktivist per raggiungere i loro obiettivi ed è quindi evidente, nel panorama italiano, la correlazione tra l’aumento di attacchi che sfruttano questa tecnica e la crescita della quota di incidenti riconducibile proprio alla tipologia “Hacktivism”.Come noto, gli attacchi DDoS mirano a rendere inaccessibile/inutilizzabile un servizio online sovraccaricandone le risorse (di rete, di elaborazione, di memorizzazione, …).Gli hacktivist possono utilizzare questa tecnica per interrompere le attività di un’azienda o di un’istituzione, con lo scopo di attirare l’attenzione mediatica su una causa politica o sociale, esercitando così pressione sulla vittima e mettendone in luce la scarsa capacità di difesa.
Aumenta anche il dato degli attacchi di tipo phishing e ingegneria sociale, che – diversamente da quanto rilevato nel 2022 – in Italia risulta incidere in maniera maggiore rispetto al resto del mondo (14% vs 8,6% globale), indice di una forte necessità di sensibilizzazione e aumento della consapevolezza rispetto alle minacce cyber da parte degli utenti che hanno quotidianamente a che fare con i sistemi informatici.
Diminuisce la percentuale di incidenti basati su vulnerabilità note (4% vs 6% nel 2022), mentre compare una quota, seppur contenuta, di “web based attack” (1,5%).Sempre tenendo conto l’elevata quantità di situazioni dove non è stato possibile identificare la tecnica primaria dell’attacco (Unknown, 18% rispetto al 21% nel mondo), tali attacchi sono certamente presenti, ma ancora in quantità limitata.
Come già messo in luce nel 2022, anche in questi 6 mesi si conferma la pressoché assenza in Italia della categoria Multiple Techniques, che, da qualche anno nel nostro campione, include gli attacchi più avanzati.Ciò in parte conferma l’ipotesi precedentemente espressa per cui l’aumento degli attacchi in Italia sia con-causato da forti limiti nella capacità di difesa delle vittime.
Guardando alla distribuzione delle vittime, ancora una volta la categoria merceologica per cui si rileva un maggior numero di attacchi è “Government” (23% del totale), seguita a breve distanza da “Manufacturing” (17%).
Analisi degli attacchi alle organizzazioni governative e alle pubbliche amministrazioni
Tra il 2018 e il primo semestre 2023, il campione ha incluso 1.185 attacchi noti di particolare gravità che hanno coinvolto realtà governative nel mondo. Dopo una crescita particolarmente significativa fra il 2019 e il 2021, il numero di attacchi gravi è rimasto pressoché costante nel 2022, per risalire poi significativamente nel primo semestre 2023.Nell’arco dei cinque anni si è comunque passati dai 15,8 attacchi per mese del 2018 ai 21,5 del primo semestre 2023, con un incremento complessivo del 36%.
La stragrande maggioranza degli attacchi condotti verso il settore pubblico è ancora relativa alla categoria “Cybercrime”, che tuttavia è scesa in questo primo semestre del 2023 dal 67% al 59% del totale: ha infatti improvvisamente preso quota la categoria “Hacktivism” la quale ha quasi triplicato la sua presenza dallo scorso anno, passando dal 12% del 2022 al 30% del primo semestre 2023.- Seguono, molto distaccate, “Espionage/ Sabotage” che è quasi dimezzata passando dal 13% al 8%, e “Information Warfare” crollata dall’8% al 3%.
Rispetto a quanto rilevato nel 2022, il malware (e in questa categoria il c.d.ransomware) continua a rappresentare la principale tecnica di attacco utilizzata dai criminali (31%), ma in modo molto meno consistente (era pari al 53% nel 2022) e di 4 punti percentuali inferiore al dato globale.
Sono invece i DDoS a registrare una notevole crescita, passando dal 4% del 2022 allo spaventoso 30% del primo semestre 2023, una quota 5 volte superiore.L’incidenza di attacchi di questa tipologia in Italia è estremamente più elevata rispetto a quella registrata nel campione complessivo, che si ferma al 7,9%: le vittime italiane hanno subito un numero maggiore di attacchi DDoS, tanto da registrare circa il 37% del totale di tali eventi censito nel campione.
Gli attacchi DDoS sono una delle tecniche più utilizzate dagli hacktivist per raggiungere i loro obiettivi ed è quindi evidente, nel panorama italiano, la correlazione tra l’aumento di attacchi che sfruttano questa tecnica e la crescita della quota di incidenti riconducibile proprio alla tipologia “Hacktivism”.Come noto, gli attacchi DDoS mirano a rendere inaccessibile/inutilizzabile un servizio online sovraccaricandone le risorse (di rete, di elaborazione, di memorizzazione, …).Gli hacktivist possono utilizzare questa tecnica per interrompere le attività di un’azienda o di un’istituzione, con lo scopo di attirare l’attenzione mediatica su una causa politica o sociale, esercitando così pressione sulla vittima e mettendone in luce la scarsa capacità di difesa.
Aumenta anche il dato degli attacchi di tipo phishing e ingegneria sociale, che – diversamente da quanto rilevato nel 2022 – in Italia risulta incidere in maniera maggiore rispetto al resto del mondo (14% vs 8,6% globale), indice di una forte necessità di sensibilizzazione e aumento della consapevolezza rispetto alle minacce cyber da parte degli utenti che hanno quotidianamente a che fare con i sistemi informatici.
Diminuisce la percentuale di incidenti basati su vulnerabilità note (4% vs 6% nel 2022), mentre compare una quota, seppur contenuta, di “web based attack” (1,5%).Sempre tenendo conto l’elevata quantità di situazioni dove non è stato possibile identificare la tecnica primaria dell’attacco (Unknown, 18% rispetto al 21% nel mondo), tali attacchi sono certamente presenti, ma ancora in quantità limitata.
Come già messo in luce nel 2022, anche in questi 6 mesi si conferma la pressoché assenza in Italia della categoria Multiple Techniques, che, da qualche anno nel nostro campione, include gli attacchi più avanzati.Ciò in parte conferma l’ipotesi precedentemente espressa per cui l’aumento degli attacchi in Italia sia con-causato da forti limiti nella capacità di difesa delle vittime.
Guardando alla distribuzione delle vittime, ancora una volta la categoria merceologica per cui si rileva un maggior numero di attacchi è “Government” (23% del totale), seguita a breve distanza da “Manufacturing” (17%).
Analisi degli attacchi alle organizzazioni governative e alle pubbliche amministrazioni
Tra il 2018 e il primo semestre 2023, il campione ha incluso 1.185 attacchi noti di particolare gravità che hanno coinvolto realtà governative nel mondo. Dopo una crescita particolarmente significativa fra il 2019 e il 2021, il numero di attacchi gravi è rimasto pressoché costante nel 2022, per risalire poi significativamente nel primo semestre 2023.Nell’arco dei cinque anni si è comunque passati dai 15,8 attacchi per mese del 2018 ai 21,5 del primo semestre 2023, con un incremento complessivo del 36%.
La stragrande maggioranza degli attacchi condotti verso il settore pubblico è ancora relativa alla categoria “Cybercrime”, che tuttavia è scesa in questo primo semestre del 2023 dal 67% al 59% del totale: ha infatti improvvisamente preso quota la categoria “Hacktivism” la quale ha quasi triplicato la sua presenza dallo scorso anno, passando dal 12% del 2022 al 30% del primo semestre 2023.- Seguono, molto distaccate, “Espionage/ Sabotage” che è quasi dimezzata passando dal 13% al 8%, e “Information Warfare” crollata dall’8% al 3%.
Security Scorecard
Open -ES
Sono attivi: a) un servizio di controllo per l’identificazione e l’analisi continua
del perimetro esposto con report trimestrale e scoring delle vulnerabilità
riscontrate b) un monitoraggio continuo del dark e il deep web per verificare
se l'azienda è stata oggetto di attenzione da parte di gruppi criminali con
verifica di domini, email e indirizzi IP pubblici ed eventuale allerting in caso
di riscontro di credenziali o di dati esfiltrati. c) un monitoraggio continuo di
internet per verificare se un dominio similare a quello aziendale viene creato
inviando alert all'azienda in caso positivo.
Vengono effettuati due volte l’anno attività di Red team per identificare punti
di debolezza della rete, dei sistemi/applicazioni e delle risorse umane
L’azienda ha identificato i ruoli e le responsabilità relativi al trattamento e alla
protezione dei dati aziendali, inclusi i dati personali trattati dall’azienda in
qualità di titolare o responsabile.
Il responsabile della funzione IT presidia i processi relativi alla Sicurezza IT
con formale delega. Oltre al Comitato di IT Security dal 2022 è presente un
comitato permanente multi-divisionale (BLU TEAM) con l’obiettivo di
condividere strategia e lanciare/favorire iniziative non tecniche per potenziare
la protezione dagli attacchi informatici.
Dal 2022 sono attivi due Security Operation center esterni attivi 24x7 per
monitoraggio continuo allarmi di sicurezza provenienti da sistemi e postazioni
di lavoro. Il processo di gestione dei diritti di accesso a dati e sistemi
informativi aziendali è in carico alla funzione IT, su input della funzione
Risorse Umane, e prevede prassi consolidate e formalizzate per
l’attribuzione, revoca e modifica dei diritti d’accesso, definiti coerentemente
con i ruoli e le responsabilità previsti per il trattamento di dati personali
effettuati.