2019: un anno di innovazione e di evoluzione della sicurezza digitale e un’anteprima della situazione degli attacchi digitali in Italia dall’indagine 2019 OAD

1. 2019: un anno di innovazione e di evoluzione
della sicurezza digitale e un’anteprima della
situazione degli attacchi digitali in Italia
dall’indagine 2019 OAD
Marco R. A. Bozzetti
Presidente AIPSI e CEO Malabo Srl

2. • Laureato in ingegneria elettronica al
Politecnico di Milano, ho operato con
responsabilità crescenti presso primarie
imprese di produzione, quali Olivetti ed
Italtel, e di consulenza, quali Arthur
Andersen Management Consultant e
Gea/Gealab
• Attivo negli anni 70-80 nello
internetworking e nella
standardizzazione modello OSI dell’ISO
• Ideatore e curatore scientifico EITO (’90)
• Ideatore e curatore OAD
• Primo CIO dell’intero Gruppo ENI (1995-
2000).
• Varie certificazioni e Commissario
d’Esame in AICA per eCF (EN 16234)
• Attivo in varie associazioni professionali
dell’ICT
• Ha pubblicato più di 200 articoli e libri
sull’ICT
• Attivo in varie Associazioni ICT
• Founder ed owner di Malabo Srl dal
2001
• Società di consulenza direzionale per
l’ICT, basata su una consolidata rete
di esperti e di società ultra
specializzate
• Formazione, e-culture, innovazione
via ICT, sicurezza digitale, evoluzione
e razionalizzazione sistema
informatico e struttura a support
• Obiettivo primario di Malabo è creare
valore misurabile per il Cliente,
bilanciando adeguatamente gli
aspetti tecnici con quelli organizzativi
e di business
• Per garantire un effettivo
trasferimento di know-how, fornisce
come servizio al Cliente le proprie
metodologie e gli strumenti
informatici usati nell’intervento
consulenziale
Chi sono e cosa faccio
2
2

3. AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• Associazione apolitica e senza fini di lucro
• Capitolo Italiano di ISSA, Information Systems Security Association, (www.issa.org)
che conta >>12.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT nel mondo
• Obiettivo principale: aiutare i propri Soci nella crescita professionale → competenze
→carriera e crescita business
• Offrendo ai propri Soci servizi qualificati per tale crescita, che includono
• Convegni, workshop, webinar sia a livello nazionale che internazionale via
ISSA
• ISSA Journal
• Rapporti annuali e specifici; esempi:
• Rapporto annuale OAD nel nuovo sito https://www.oadweb.it
• ESG ISSA Survey “The Life and Times of Cyber Security Professionals”
• Concreto supporto nell’intero ciclo di vita professionale, con formazione
specializzata e supporto alle certificazioni, in particolare eCF Plus (EN 16234-
1:2016)
• Collaborazione con varie Associazioni ed Enti per eventi ed iniziative
congiunte
• Gruppo Specialistico di Interesse CSWI, Cyber Security Women Italy, aperto a
tutte le donne che in Italia operano a qualsiasi livello nell’ambito della
sicurezza digitale (anche non socie AIPSI)
3

4. • Che cosa è
• Indagine via web sugli attacchi digitali intenzionali ai sistemi informatici in Italia
• Obiettivi iniziativa
• Fornire informazioni sulla reale situazione degli attacchi digitali in Italia
• Contribuire alla creazione di una cultura della sicurezza informatica in Italia, sensibilizzando in
particolare i vertici delle aziende/enti ed i decisori sulla sicurezza informatica
• Che cosa fa
• Indagini annuali e specifiche su argomenti caldi, condotte attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende
• Come
• Rigore, trasparenza, correttezza, assoluta indipendenza (anche dagli Sponsor)
• Rigoroso anonimato per i rispondenti ai questionari
• Collaborazione con numerose Associazioni (Patrocinatori) per ampliare il bacino dei
rispondenti e dei lettori
OAD, Osservatorio Attacchi Digitali in Italia
(https://www.oadweb.it/)
4

5. 2019
11 anni consecutivi di indagini via web
sugli attacchi digitali intenzionali in Italia
Rapporto 2019
OAD
In preparazione
Le cover dei rapporti OAD-OAI
5
5

6. L’evoluzione
della sicurezza
digitale
6

7. La sicurezza digitale e nuove logiche di approccio
7
● Fino ad oggi le misure tecniche ed organizzative di sicurezza digitale, dal costo crescente, si articolano
in:
○ misure di prevenzione
○ misure di contrasto
○ misure di back up e ripristino
● Ma sono sufficienti ed efficaci?
○ Sono necessarie ma non sufficienti, con una continua e costosa rincorsa per far fronte alle nuove
vulnerabilità e ai nuovi attacchi, che in molti casi sono comunque a favore degli attaccanti
● Molti esperti, a livello mondiale, ritengono che non si debba più spendere prevalentemente per tali
misure (ma sono ancora necessarie), ma investire di più in misure per bloccare e reprimere
l’hackeraggio/cyber crime, riducendo fortemente i loro alti guadagni con pochissimi rischi
● Occorre inoltre far crescere :
○ La collaborazione internazionale per la repressione del crimine informatico
○ la cultura (conoscenza) e le competenze a tutti i livelli sulla sicurezza digitale sia lato domanda che
offerta
○ l’etica professionale di chi si occupa (lato offerta) di e di chi decide (lato domanda) sulla sicurezza
digitale

8. OAD 2019: dati Polizia Postale - 1
C.N.A.I.P.I.C. Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche
Protezione strutture critiche 1 gen – 31 dic 2018 1 gen – 31 dic 2017 1 gen – 31 dic 2016
Attacchi rilevati 459 1.032 844
Alert diramati 80.777 31.524 6.721
Indagini avviate 74 72 70
Persone arrestate 1 3 3
Persone denunciate 14 1.316 1.226
Perquisizioni n.d. 73 58
Richiesta di cooperazione
internazionale in ambito Rete 24/7
High Tech Crime G8 (Convenzione
Budapest)
108 83 85
8
Indagini/
attacchi
16,12%
Indagini/
attacchi
6,98%
Indagini/
attacchi
8,29%
Arresti/
Denunce
7,14%
Arresti/
Denunce
0,23%
Arresti/
Denunce
0,24%

9. OAD 2019: dati Polizia Postale - 2
Financial Cyber Crime
Financial Cyber Crime 1 gen – 31 dic 2018 1 gen – 31 dic 2017 1 gen – 31 dic 2016
Transazioni Fraudolente Bloccate € 38.400.000,00 € 20.839.576,00 € 16.050.812,50
Somme Recuperate € 9.000.000,00 € 862.000,00 n.d
Cyber Terrorismo 1 gen – 31 dic 2018
Spazi web monitorati 36.000
Contenuti rimossi 250
Cyber Terrorism
9
Recupero/
blocco
23,44%
Recupero/
blocco
4,14%

10. Verso una rivoluzione delle logiche e delle
misure di sicurezza digitale?
… If they [vulnerabilities] are dense, then finding and fixing one more is
essentially irrelevant to security and a waste of the resources spent finding
it.” (da Dan Geer)
But if you care about systemic security […] don't chase and fix vulnerabilities,
[…] design a system around fundamentally stopping routes of impact. (da Bas
Alberts)

11. La gestione efficace della complessità ICT
• I sistemi informatici moderni (SI) sono sofisticati e sempre più complessi da
gestire
• La gestione della loro sicurezza in maniera globale ed efficace è interdisciplinare e
ancor più complessa
• Tale complessità vale sia per il sistema informatico di una piccola organizzazione
che di una grande, fatti salvi i valori di scala
• È necessario automatizzare il monitoraggio ed il controllo con adeguati sistemi
informatici operanti in tempo (quasi) reale: un SI non è più gestibile
«manualmente»
• L’ICT come commodity è una richiesta/sogno, soprattutto per le piccole
organizzazioni: ma a differenza dell’energia elettrca, per essere efficace l’IT deve
essere personalizzato sulle spicifihe esigenze e realtà dell’azienda/ente cho lo usa

12. Le principali carenze nella cybersecurity in Italia
● La scarsa consapevolezza e competenza sulla sicurezza digitale sia a livello decisionale che degli
utenti finali dei sistemi informatici
○ Mancanza di formazione (con la crisi economica forti tagli)
● Meno di 1/4 delle grandi imprese pone la cybersecurity nei propri piani strategici (EY)
○ Budget insufficiente
● Mancanza di un approccio continuo e senza una base architetturale di riferimento (mancanza di
security by design
○ Mancanza di interazione e coordinamento tra i diversi strumenti di sicurezza digitale
● Carenza sulle misure tecniche ed organizzative di base, e non solo per le PMI: gestione
password, controllo accessi, back up e ripristino → diffusione ed efficacia dei ransomware docet
● Non definizione delle responsabilità, soprattutto nelle PMI
● Mancanza di policy e di procedure organizzative effettivamente definite e seguite
● Dipendenza senza alcun controllo dai fornitori, sovente a loro volta con scarse o nulle
competenze nella cybersecurity
● Mancanza di strumenti centralizzati di monitoraggio e controllo continuo
12

13. I più recenti dati ISTAT per le aziende:
• Fino a 9 dipendenti: 4.180.870
• Da 10 a 49: 184.098
• Da 50 a 249: 22.156
• 250 e più: 3.787
Pubbliche Amministrazioni Centrali (PAC) e Locali
(PAL):
• Circa 55.000 → gran parte di piccole-piccolissime
dimensioni
PMI: 99,91% del totale
Il contesto italiano:
le dimensioni (# dipendenti) delle aziende e degli enti pubblici in
Italia
13
PMI > 99,9%
95,22%
del totale

14. • La stragrande maggioranza delle aziende/enti è di piccolissime dimensioni
• Per loro, ma non solo, l’ICT è considerato come una commodity e l’obiettivo è che costi il
meno possibile: stessa cosa per la cybersecurity
• Solo per poche aziende/enti, indipendentemente dalle loro dimensioni, L’ICT è un asset
strategico
• La sicurezza digitale è un fastidio in più dell’ICT, sempre considerato molto tecnico e per i
più quasi incomprensibile. Sovente la cybersecurity è guidata dai fornitori per fare il loro
business, più che per risolvere i problemi del cliente. → forte diffidenza (es: loro creano i
malware, e poi vendono gli anti-malware)
• Nelle PMI normalmente non ci sono competenze sull’ICT, e tanto meno sulla cybersecurity:
occorre quindi terziarizzare, ma come guidare e controllare temi che si ignorano?
Il problema perdurante in Italia della cultura dell’ICT
e della sua sicurezza
14
14

15. 2019: un anno di novità per la sicurezza digitale
(elenco esempi non esaustivo)● A livello tecnico
○ Nuove logiche e tecniche di autenticazione: out of band, passwordless, etc.
○ Nuove logiche e tecniche di autorizzazione: Diameter, NGAC, NISTIR 8112, etc.
○ Intelligenza artificiale (AI), sistemi esperti, machine learning
○ Analisi comportamentale sistemi e utenti : AI, logiche bayseniane, etc.
○ Crescente integrazione tra security e safety nell’ambito dei cyber physical system
○ Crescente integrazione ed innovazione nei sistemi di monitoraggio e controllo
○ Nuove logiche ed ambienti di sviluppo sw: DevOps, leaning/agile programming, etc.
○ Blockchain: utilizzi al di fuori delle cripto valute, varie vulnerabilità, prevalenza soluzioni private (chiuse)
○ ………….
● A livello organizzativo
○ ITIL 4, profonda evoluzione di ITIL 3/2011
○ COBIT 2019
○ Mancanza competenze e sensibilizzazione (soprattutto ai vertici) sulla sicurezza digitale
○ Crescita terziarizzazione servizi di sicurezza digitale
○ Impatto della gestione e della terziarizzazione della sicurezza digitale sulla struttura organizzativa
● A livello normativo
○ CyberSecurity Act europeo e nuovo ruolo Enisa
○ Impatto crescente compliance GDPR
15

16. Novità a livello
legislativo
16

17. 17
Cybersecurity Act dell’UE - 1
• A fianco della Direttiva Europea NIS del 2016, trasposta in Italia dal D.Lgs. 65/2018 che fa
riferimento a carrier TLC e a infrastrutture critiche, ed istituisce anche il CSIRT, il Gruppo di
intervento per la sicurezza informatica in caso di incidente, al posto dei CERT, è stato
emanato il Regolamento UE 2019_881 Cybersecurity Act che dettaglia un ulteriore quadro
per il rafforzamento della sicurezza cibernetica dei sistemi informatici e delle reti in ogni
paese dell’Unione Europea.
• Questo Regolamento è stato pubblicato in Gazzetta Ufficiale il 7 giungo 2019 ed entrerà in
vigore il 27 giugno 2019
• Esso costituisce la basa della strategia UE per la cybersecurity, che mira a rafforzare la
resilienza dell’Unione agli attacchi informatici, a creare un mercato unico della sicurezza
cibernetica in termini di prodotti, servizi e processi e ad accrescere la fiducia dei
consumatori nelle tecnologie digitali.

18. Cybersecurity Act dell’UE - 2
● Il regolamento Cybersecurity Act si suddivide in due parti:
○ Il nuovo ruolo di ENISA
■ un mandato permanente per l’Agenzia (ora è limitato e scade il 2020)
■ un potenziamento di ruolo e di risorse
■ Il coordinamento di agenzie nazionali
○ L’introduzione di un sistema europeo per la «certificazione» della sicurezza informatica dei
dispositivi connessi ad Internet e di altri prodotti e servizi digitali
■ Rivisitazione di schemi di certificazione/qualificazione della sicurezza digitale di dispostivi, sistemi,
servizi ICT (tipo Common Criteria) e dallo schema nazionale per la valutazione e la certificazione della
sicurezza nel settore della tecnologia dell'informazione (Decreto Del Presidente Del Consiglio Dei
Ministri 30 Ottobre 2003), attualmente in carico all’ Iscom, Istituto Superiore delle Comunicazioni e
delle Tecnologie dell’Informazione, operante presso il Ministero dello Sviluppo Economico
(http://www.isticom.it/)
● Il regolamento prevede 3 livelli di certificazione diversi per sistemi con affidabilità di base,
sostanziale, elevata.
■ La certificazione in oggetto è indirizzata a tutti i dispositivi e sistemi ICT o con parti ICT embedded,
inclusi IoT, domotica, etc., e spinge per l’adozione della security by design e by default
18

19. Novità a livello
organizzativo
19

20. Novità (e problemi) a livello organizzativo
• Forte carenza di effettive competenze sulla sicurezza digitale sia lato
domanda sia lato offerta
• Forte e ragionevole crescita della terziarizzazione
• Difficoltà per i decisori dell’offerta nel rightsourcing digitale, e in
particolare della sua sicurezza
• Prime sanzioni del Garante Privacy in ottica GDPR, ma approccio alla privacy e
alla sicurezza digitale ancora vecchio stile: è ancora considerato più come un
peso burocratico che come un reale diritto dell’utente …
• La terziarizzazione dell’ICT e della sicurezza digitale impatta
sull’organizzazione dell’azienda/ente
• Nuove versioni COBIT e ITIL
20

21. 21

22. 22
ITIL 4: dai processi alle pratiche
Eliminazione ciclo di
vita e transition
services in ottica
DevOps

23. Novità a livello
tecnico
23

24. ● DevOps (dalla contrazione inglese di development, "sviluppo", e operations, qui
simile a "messa in produzione" o "deployment") è un metodo di sviluppo del
software che punta alla comunicazione, collaborazione e integrazione
tra sviluppatori e addetti alle operations dell’ICT.
● DevOps vuole rispondere all'interdipendenza tra sviluppo software e IT operations,
puntando ad aiutare un'organizzazione a sviluppare in modo più rapido ed
efficiente prodotti e servizi software
● Secondo il modello DevOps, i team dedicati a sviluppo e produzione non agiscono
più separatamente. In alcuni casi, al contrario, i due team vengono fusi in un'unità
in cui i tecnici sono attivi lungo tutto il ciclo di vita dell'applicazione, da sviluppo e
testing a distribuzione e produzione, e acquisiscono una serie di competenze non
limitate da una singola funzione.
● In alcuni modelli DevOps, anche i team dedicati a controllo della qualità e sicurezza
spesso sono coinvolti più direttamente nelle fasi di sviluppo e gestione in tutto il
ciclo di vita dell'applicazione.
● Quando in un team di DevOps la sicurezza è il punto focale di tutti, a volte prende il
nome di DevSecOps.
● I team si affidano all'automatizzazione per velocizzare processi manuali che sono
da sempre lenti.
24
DevOps: che cosa è
Fonte: AWS e Wikipedia

25. 25
Autenticazione senza password?

26. 26Fonte: ISSA
Un esempio delle analisi a supporto
dell’identificazione e autenticazione

27. ⚫ Public blockchain:
− Completamente distribuita – replicata in ogni nodo
− Ogni nodo può inserire validare ed inserire blocchi
− La proof of work (POW) ne garantisce la robustezza
− Non richiede una autorità centrale che controlla la correttezza delle applicazioni
⚫ Private blockchain:
− Prevede una autorità responsabile per la correttezza delle operazioni
− I validatori (mainer) sono autenticati dalla autorità
− La struttura non è necessariamente distribuita su tutti i nodi
− I nodi non-validatori possono essere autenticati o meno
⚫ Consortium blockchain:
− Blockchain condivisa tra più organizzazioni/autoritàGiugno ‘19 WWW.ADVANSYS.IT 27
Prevalentemente usata per cripto valuta
Hanno subito vari e significativi attacchi
Le più usate in
ambito aziendale per
diversi settori:
logistica,
documentale, etc.
Uso crescente di tecniche di blockchain in diversi
contesti
27

28. Vulnerabilità e attacchi 5G, rete wireless x 1K più potente
del 4G: upload fino a 10Gbps e latenza < 5 ms
● Distinguere una prima fase di adozione del 5G dal suo consolidamento.
● Nella prima fase soluzioni 5G (URLLC, Ultra-Reliable Low Latency Communications) si
affiancheranno alle reti 3 e 4 G, e probabilmente rimarranno le stesse vulnerabilità di queste
● Seri problemi, anche evidenziati dal Parlamento Europeo, sui sistemi 5G cinesi, preminenti sia negli
US che in Europa, per possibili ”backdoor“ inclusi in questi prodotti, che consentirebbero ai fornitori
e alle autorità cinesi di avere un accesso non autorizzato ai dati e alle telecomunicazioni dei loro
clienti (si rammenta che la Cina è una dittatura comunista)
● Esempi dei principali attacchi previsti anche per 5G, basati su vulnerabilità dei protocolli di rete:
○ Torpedo, TRacking via Paging mEssage DistributiOn
○ Piercer, Persistent Information ExposuRe by the CorE network
○ IMSI-Cracking (medesimo obiettivo di Piercer, scoprire l’identificativo di rete del sistema
attaccato)
○ aLTEr: creazione di una cella che opererebbe come Mitm
28

29. L’utilizzo dell’intelligenza artificiale (AI)
negli strumenti di sicurezza digitale e per la loro gestione
• Crescente utilizzo di tecniche di AI, dalle machine learning agli algoritmi bayseniani,
soprattutto per correlare ed analizzare i molteplici eventi di un sistema informatico, ed
attuare in automatico gli interventi
• Monitoraggio e controllo dei sistemi ICT, con filtraggio delle informazioni raccolte
• Analisi comportamentale sistemi ed utenti
• Analisi vulnerabilità e rischi
• ……
• Problemi emergenti:
• Necessità di grandi capacità di banda, di storage e di elaborazione → operatività e
reazioni in tempo reale
• Possibili contrasti con il diritto alla privacy
• Correttezza algoritmi AI
• Continua messa a punto delle logiche di correlazione e filtraggio
• Problema di fondo: fino a che punto è sensato ed eticamente corretto demandare
talune decisioni in automatico ad algoritmi di AI? 29

30. Vulnerabilità
rischi e attacchi
digitali
30

31. Vulnerabilità cause delle minacce
Tutte si basano sulle vulnerabilità tecniche e/o umane-organizzative
• Vulnerabilità tecniche (software di base e applicativo, architetture e configurazioni)
• siti web e piattaforme collaborative
• Smartphone e tablette → mobilità → >>14.000 malware
• Posta elettronica → spamming e phishing
• Piattaforme e sistemi virtualizzati
• Terziarizzazione e Cloud (XaaS)
• Circa il 40% o più delle vulnerabilità non ha patch di correzione
• Vulnerabilità delle persone
• Social Engineering e phishing
• Utilizzo dei social network, anche a livello aziendale
• Vulnerabilità organizzative
• Mancanza o non utilizzo procedure organizzative
• Insufficiente o non utilizzo degli standard e delle best practices
• Mancanza di formazione e sensibilizzazione
• Mancanza di controlli e monitoraggi sistematici
• Analisi dei rischi mancante o difettosa
• Non efficace controllo dei fornitori
• Limitata o mancante SoD, Separation of Duties
La vulnerabilità più
grave e diffusa è
quella del
comportamento
umano (utenti ed
amministratori di
sistemi):
• Inconsapevolezza
• Imperizia
• Ignoranza
• Imprudenza
• Dolo
Aggravata dalla non
o inefficace
organizzazione
Mancanza di
formazione e
addestramento
31

32. Trend generale vulnerabilità e attacchi digitali
● In molti casi mancano le misure di
sicurezza basilari (backup-ripristino,
account personali, password
«serie», etc)
● Riduzione vulnerabilità ZeroDay
● Riutilizzo di vecchie tecniche di
attacco (malware)
● Persistente diffusione ransomware
● Crescita della compromissione di e-
mail aziendali
● Crescenti vulnerabilità a livello
hardware
● Crescente phishing anche su
Office365
● Serie criticità per i sistemi ICT
operanti su cloud non sicuri
● Crescita attacchi su sistemi IoT e
IIoT
32

33. Principali vulnerabilità della blockchain, causa di vari attacchi
● A livello di rete: DoS/DDoS, Sybil attack (allo stesso nodo vengono assegnate molte diverse
identità), Eclipse attack (offuscare i nodi sani da uno malevolo)
● A livello d’utente finale: sfruttando le vulnerabilità del dispositivo d’utente (end point
vulnerability) e botnet
● A livello delle chiavi crittografiche: furto chiavi (con varie tecniche, in primis social
engineering)
● Attacchi a livelli di maining: sfruttando vulnerabilità della piattaforma, ad esempio per bachi
di codice, double-spending attack (si spende per due volte la stessa somma di cripto-valuta,
sfruttando malfunzionamenti, in particolare del client)
● Rischi dei vendor e delle Terze Parti coinvolte: Blockchain integration platforms, Payment
processors, Wallets, Fintech, Blockchain payment platforms, Smart contracts
● Numero dei partecipanti, ai vari livelli, alla blockchain. La blockchain (soprattutto pubblica)
può considerarsi affidabile se e solo il numero di attori è veramente elevato: regola del 51%
● Accordo tra più mainer disonesti
● Più blocchi ha la stessa catena, più capacità elaborativa e di storage è richiesta più lunghi
sono i tempi di risposta per transazione (10 minuti …) → centralizzazione in pochi potenti
nodi …
● Utilizzo di attacchi indipendenti dalle tecniche di block chain 33

34. 62,9%
52,6%
66,7%
60,2% 59,1% 61,3%
65,2%
57,5%
62,4%
58,43%
54,68%
46,5%
37,1%
47,4%
33,3%
39,8% 40,9% 38,7%
34,8%
42,5%
37,6%
41,57%
45,32%
53,5%
0
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0%
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Confrontodella rilevazione % di attacchi dai rispondenti alle indagini OAI/OAD
negli anni 2007-2018
(valido solo come indicatore del trend, non statisticamente)
Mai subiti o non rilevati nell'anno Attacchi rilevati/subiti nell'anno©OAD 2019
34

35. 20,8%
16,8%
13,6%
12,0%
13,6%
13,6%
9,6%
0% 5% 10% 15% 20% 25%
< 10
10 - 50
51 - 100
101 - 250
251 - 1000
1001 - 5000
> 5001
numerodipendenti
OAD 2019 :dimensione Azienda/Ente rispondenti per numerodi
dipendenti
©OAD 2019
63,2%
Questa ripartizione, nel complesso,
ben rappresenta la realtà italiana
costituita soprattutto da piccole e
piccolissime organizzazioni
35

36. Attacchi all'identificazione, autenticazione e
controllo accessi degli utenti e degli operatori ICT
55,42%
Furto di dispositivi ICT mobili 38,04%
Attacchi alle reti locali e geografiche, fisse e
wireless, e ai DNS 36,71%
Attacco e/o uso non autorizzato risorse ICT nel loro
complesso (dal PC ai server-storage e ai servizi in 35,06%
Saturazione risorse digitali (DoS, DDoS)
32,00%
Distruzione fisica di dispositivi ICT o di loro parti
28,13%
Furto informazioni da sistemi fissi (PC, server,
storage system, etc.) 26,44%
Furto informazioni da sistemi mobili (palmari,
smartphone, tablet, etc.)
23,26%
Attacchi ai propri sistemi in cloud o in
housing/hosting da Fornitori 20,27%
Furto di dispositivi ICT fissi o di loro parti
20,22%
Modifiche non autorizzate ai programmi applicativi
e alle loro configurazioni 14,47%
Modifiche non autorizzate alle informazioni trattate
dai sistemi ICT 10,53%
Attacchi a dispositivi IoT (Internet of Thinks) in uso
2,74%
Attacchi a sistemi e/o servizi usati e basati su
blockchain 2,74%
Attacchi ai propri sistemi di automazione
industriale (DCS, PLC, ..) e/o di robotica 0,00%
OAD 2019: Diffusione %
tipologia attacchi
(che cosa attacco)
rilevati dai rispondenti
nel 2018
(risposte multiple)
36

37. 39,6%
35,7%
35,3%
15,7%
22,1%
15,7%
16,2%
5,1%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
Attacco fisico
Raccolta informazioni (es. social engineering,
phishing, pharming, hoax,scanning, indagini su…
Script e programmi maligni (ramsomware, spyware,
adware, ..)
Agenti autonomi: programmi maligni che si replicano
e diffondono autonomamente, come virus e worm
Toolkit: programmi in grado di scoprire e sfruttare
vulnerabilità (rootkit, metexploit, ..)
Strumenti distribuiti controllati centralmente
(Command Control) quali bootnet
Utilizzzo di due o più delle precedenti tecniche (APT,
Advanced Persistent Threat)
Non si sa o risposta impropria
OAD 2019:diffusione % tecnichedi attacconel 2018
©OAD 2019
37

38. Ultimi giorni per il Questionario 2019 OAD on line
• Compilate o fate compilare il questionario, totalmente anonimo:
● https://www.oadweb.it/limesurvey/index.php/799974?lang=it
• E passate parola ai vostri interlocutori italiani (aziende, enti, studi professionali,
esercizi commerciali, etc.) : più risposte avremo, più autorevole e dettagliata potrà
essere l’indagine
38

39. CI SONO DOMANDE?
39
Grazie
m.bozzetti@aipsi.org
www.aipsi.org
www.oadweb.it
www.malaboadvisoring.it