Attacchi digitali in Italia: ci dobbiamo veramente preoccupare? E come ci possiamo difendere?

1. Attacchi digitali in Italia:
ci dobbiamo veramente
preoccupare?
E come ci possiamo difendere?
M. R. A. Bozzetti
Presidente AIPSI, Ideatore e curatore OAD, CEO Malabo Srl

2. AIPSI è il Capitolo Italiano
di ISSA, la più grande
associazione non-profit di
professionisti della
Sicurezza ICT con circa
13.000 associati al mondo
AIPSI aiuta i suoi Soci,
singole persone, a
crescere e ad affermarsi
professionalmente

3. • Trasferimento di conoscenza: convegni,
workshop, newsletter, webinar, ISSA
Journal
• Piani di carriera
• Supporto alle certificazioni professionali
• Collaborazione con altre associazioni
SERVIZI AI SOCI

4. • Che cosa è
• Indagine via web cui liberamente rispondono i diversi interlocutori:
il Rapporto annuale non ha stretta validità statistica ma fornisce
chiare e valide indicazioni sulla situazione e sul trend in Italia,
basilari per un’efficace analisi dei rischi ICT
• Obiettivi iniziativa
• Fornire informazioni sulla reale situazione degli attacchi informatici
in Italia
• Contribuire alla creazione di una cultura della sicurezza informatica
in Italia
• Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
• Che cosa fa
• Indagine annuale condotta attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole
aziende
• Gruppo OAI su Linked
• Come
• Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i
costi di realizzazione)
• Stretto anonimato sui rispondenti al questionario on line via web
• Collaborazione con numerose associazioni (Patrocinatori) per
ampliare il bacino dei rispondenti e dei lettori
OAD, Osservatorio Attacchi Digitali
in Italia (ex OAI)

5. Rapporto 2016 OAD, Osservatorio
Attacchi Digitali in Italia
Per poter scaricare il Rapporto
OAD 2016
http://www.malaboadvisoring.it/index.php?
option=com_sfg&formid=43
Codice coupon AIPSI: ABmi5VmTIH

6. Sponsorizzazioni e patrocini OAD 2016
Patrocinatori
con la collaborazione di
Sponsor Silver
Sponsor Gold

7. Indice del Rapporto 2016
1. Executive Summary in Italiano e in Inglese
2. Introduzione
3. Le tipologie di attacco considerate
4. Gli attacchi informatici rilevati
4.1 Gli impatti dagli attacchi subiti
4.2 Gli attacchi alle infrastrutture critiche italiane: i dati dalla Polizia Postale e delle Comunicazioni e
dal C.N.A.I.P.I.C.
4.3 Financial Cybercrime
4.5 Nuovi e vecchi attacchi
4.6 La situazione a livello europeo secondo ENISA
5. L’individuazione e la gestione degli attacchi
6. Strumenti e misure di sicurezza ICT adottate
6.1 Sicurezza fisica
6.2 Sicurezza logica
6. 3 Gli strumenti per la gestione della sicurezza digitale
6.4 Le misure organizzative
7. Gli attacchi più temuti nel futuro e le probabili motivazioni
Allegato A - Aspetti metodologici dell’indagine OAD
Allegato B - Il campione emerso dall’indagine
Allegato C - Profili Sponsor
Allegato D – Riferimenti e fonti
Allegato E - Glossario dei principali termini ed acronimi sugli attacchi informatici
Allegato F - Profilo dell’Autore
Allegato G - Malabo Srl
Allegato H - Nextvalue Srl
Allegato I - Note
• 128 pagine A4
• 5 Tabelle
• 67 Grafici

8. Le risposte al Questionario 2016 OAD
• Questionario online via web con 65 domande e risposte,
multiple o singola, da selezionare con un click tra quelle
predefinite
• Risposte completamente anonime
• Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di
Malabo, di NextValue, dei Patrocinatori
• 294 rispondenti in totale

9. Gli attacchi digitali
in Italia

10. Attacchi intenzionali: perché?
Lato target (mondo digitale):
• Crescita e pervasività uso ICT
• innumerevoli vulnerabilità dei sistemi ICT, delle applicazioni, degli utenti,
degli operatori
Lato attaccanti:
• Motivazioni criminali  guadagno economicofrodi, ricatti, furti,
spionaggio industriale
• Basso rischio ed alto guadagno (esentasse)
• Hacktivism
• Vendetta-ritorsione individuale
• Esibizionismo competenze attaccante
• Terrorismo
• Cyberwar

11. • Virus in floppy e
allegati
• Script Unix
• Macro virus
• E-mail
• DoS/DDoS
• DoS e DDoS
• Attacchi multipli
(worm + virus +
Trojan)
• Attacchi su più
sistemi
contemporaneame
nte
• TA/APT
• Zero day
attacks
• Attacchi
condotti con
botnet
• Attività criminali
(ramsonware)
• Attacchi alle
infrastrutture
• Attacchi a IoT
• Attacchi in
mobilità (reti
wireless,
cellulari e
palmari)
Obiettivo e
scopo del
danno
1980s 1990s 2000 Odierni e
futuri
Secondi o
mesi/anni
Minuti
Giorni
Settimane
1° generazione
2° generazione
3° generazione
4° generazione
Critical
infrastructure
Corporate
networks
Internet
connected
devices
Single
system
Macro trend evoluzione degli attacchi

12. 62,4%
28,2%
9,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
Mai o non rilevato
Meno di 10 casi
Più di 10casi
% rispondenti
© OAD 2016
37,6%
Attacchi rilevati dai rispondenti nel 2015

13. Confronto percentuale degli attacchi
OAI-OAD (trend non statistico)
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0%
2007 2008 2009 2010 2011 2012 2013 2014 2015
%rispondenti
Mai o non rilevati Meno di 10 Più di 10
© OAD 2016

14. % attacchi ripartiti per dimensione di
azienda/ente rispondente
48,1%
40,0%
25,0%
26,7%
21,4%
0,0%
42,3%
53,3%
66,7%
60,0%
28,6%
50,0%
9,6%
6,7%
8,3%
13,3%
50,0%
50,0%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
< 50
51 - 100
101 - 250
251 - 1000
1001 - 5000
> 5001
% rispondenti
NumerodipendentiperAzienda/Ente
Più di 10 casi
Meno di 10 casi
Mai
© OAD 2016

15. Ripartizione percentuale per tipologia
di attacco (risposte multiple)
78,4%
71,9%
34,0%
29,4%
29,4%
27,5%
19,6%
15,7%
15,7%
14,4%
13,7%
11,1%
9,8%
9,2%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%
Malware
Social Eng.
Furto disp.
Saturaz. risorse
Ricatti ICT
Sfrut. vulnerabilità
Attacchi reti
Acc. non aut. Sis.
Attacchi sic. fisica
Acc. non aut. Programmi
Furto info da PdL mobili
Acc. non aut. Dati
APTe TA
Furto info da risorse fisse
% rispondenti
© OAD 2016
Sempre ai primi 4
posti
nelle 6 edizioni
OAI-OAD

16. Impatto degli attacchi subiti
85,4%
14,6%
Impatto poco significativo Impatto molto significativo
© OAD 2016

17. Tempo massimo occorso per il
ripristino dei sistemi ICT
43,9%
35,5%
2,8%
3,7%
0,0%
14,0%
Meno di un giorno
Meno di 3 giorni
Meno di una settimana
Meno di un mese
Oltre un mese
Non lo so
% rispondenti
80%
© OAD 2016

18. Attività C.N.A.I.P.I.C. nel 2015
© OAD 2016
(Fonte: Polizia Postale e delle Comunicazioni)

19. Attacchi più temuti nel futuro
(risposte multiple)
4,2%
7,6%
15,1%
16,0%
16,8%
21,0%
25,2%
26,1%
27,7%
34,5%
37,0%
44,5%
54,6%
73,9%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0%
Attacco fisico
TA e APT
Furto apparatiICT
Furto di informazioni da dispositivi fissi
Accesso a euso non autorizzato dei programmisoftware(2° Livello)
Accesso a euso non autorizzato dei datitrattati (3° Livello)
Accesso a euso non autorizzato dei sistemi(host- 1° Livello)
Saturazione risorse ICT
Attacchi alle retie ai DNS
Furto di informazioni da dispositivi mobili
Sfruttamento vulnerabilità del codice software
Ricatti sullacontinuità operativa
Attacchi di SocialEngineering, incluso ilPhishing
Codici maligni(malware)
% rispondenti
© OAD 2016

20. Motivazioni degli attacchi
(risposte multiple)
6,7%
21,8%
22,7%
28,6%
33,6%
34,5%
51,3%
52,1%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%
Terrorismo
Spionaggio (anche industriale)
Azione Dimostrativa
Sabotaggio
Vandalismo
Hacktivism
Ricatto o ritorsione
Frode informatica
% rispondenti
© OAD 2016

21. Livello di affidabilità del sistema
informatico dei rispondenti
3,4%
21,0%
24,4%
26,9%
41,2%
52,1%
Non so
Fermi dell'ICT richiesti per
manutenzione elettricità
Operatività ICT anche in caso di
eventi imprevisti
Fermi necessari per manutenzione
ICT
Piano di Business Continuity
Architettura ad alta affidabilità
(disponibilità > 99,9%)
% rispondenti
© OAD 2016

22. Come proteggersi ?

23. 23 Copyright 2008 - Trend Micro Inc.04/27/08 5 23
Siamo sempre potenzialmente
sotto attacco … anche se siamo
una PMI, uno studio
professionale, un esercizio
commerciale , …
Come proteggersi efficacemente ?
Iniziando ad individuare i rischi più
probabili nel proprio contesto

24. La sicurezza dell’ICT è un elemento chiave per:
• garantire la continuità operativa dell’Azienda o
dell’Ente
• La Business continuity è un problema di business
• le informazioni e le risorse ICT che li trattano sono un
asset e come tali vanno protette
• garantire la compliance alle varie normative e
certificazioni
Sicurezza digitale … non solo un
problema tecnico

25. La sicurezza globale ICT
Governo
Sicurezza
Globale
ICT
Sicurezza fisica
Sicurezza logica
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti

26. I principali strumenti di difesa
• di prevenzione e protezione
• Crittografia, Stenografia
• Periodiche analisi del rischio vs processi ed organizzazione
• Sicurezza fisica: controlli perimetrali, controlli accessi fisici, videosorveglianza, sistemi
antintrusione, UPS, anti-incendio, fumo, gas …
• Sicurezza delle reti: Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming, …
• Identificazione: user-id + pwd, token, biometria
• autenticazione, controllo degli accessi ai sistemi ed agli applicativi: ACL, controller di
dominio (LDAP, Active Directory, ..), SSO, controlli federati, PKI e certificati digitali, …
• Sicurezza intrinseca sw (check list, code inspection, ..) e anti-malware (antivirus,
antispyware, …)
• Architetture hw e sw in alta affidabilità  RAID, cloud , …
• di ripristino
• Back-up
• Disaster Recovery
• di gestione
• Tecnica: monitoraggio, verifica SLA, gestione delle patch e delle release del software (
licenze)
• Organizzativa: formazione e addestramento, operation (ITIL v3), help-desk/contact
center, ERT, ..

27. • Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione
possono non essere sufficienti per individuare e contrastare attacchi come TA
e APT
• ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
• Analisi e gestione dei rischi sistematiche
• Sistematica analisi dei comportamenti anche con tecniche di intelligenza
artificiale, fuzzy logic, statistica bayesiana, ecc.
• Sistematico monitoraggio delle risorse ICT (reti, OS, middleware,
applicazioni), del loro utilizzo ed analisi di eventuali anomale variazioni
rispetto alla “normale” media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
• Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
• Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
• Tecniche euristiche per “problem solving”
Le misure tecniche

28. Le misure organizzative
• Non sono burocrazia
• Non sono solo per le grandi strutture
• Sono necessarie anche per la conformità a numerose norme e leggi nazionali ed
internazionali
• Includono:
• Chiara e pubblica definizione di ruoli e competenzeseparazione dei ruoli
(SoD, Separation of Duties)  matrici RACI
• Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
• Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
• Radiazione dei sistemi obsoleti
• Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
ICT (interni o terzi)
Nuovo
regolamento
europeo sulla
privacy

29. L’effettiva sicurezza ICT dipende da
come viene gestita
• Sia dal punto di vista tecnico
• Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
• Deve essere gestita internamente
• Forte «commitment» dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
• Fare riferimento agli standard ed alle best practice consolidate: Famiglia
ISO 27000, Cobit 5 (4.1- DS5) , ITIL, ecc.

30. Come scegliere fornitori e consulenti
realmente competenti?
• La maggior parte delle aziende e degli enti (PAL) italiani sono
dimensionalmente piccoli, e non possono avere qualificate ed
aggiornate competenze interne per la sicurezza digitale (e più in
generale per tutto l’ICT)
• Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso
delegano completamente e senza alcun controllo tutti gli aspetti della
sicurezza digitale (e/o dell’intero loro sistema informatico)
• Le certificazioni professionali sono uno degli strumenti a livello
sia di singola persona sia di azienda/ente.
• Ne esistono molte, ma quali sono quelle di riferimento e
realmente affidabili?

31. Legislazione italiana per le certificazioni
 Dal 2013 in Italia regolamentazione delle certificazioni con il D.Lgs.
13/2013 in base a una direttiva europea
 Le modalità di svolgimento delle certificazioni sono affidate ad Accredia
 ACCREDIA – Ente Italiano di Accreditamento – è l’unico organismo
nazionale autorizzato dallo Stato a svolgere attività di accreditamento.
 Accredia applica la Normativa UNI
 UNI 11506 per disciplina delle attività professionali non regolamentate
come ICT
 Per le professioni ICT e quindi la sicurezza UNI-Accredia utilizzano
eCF (European Competence Framework) definito dalla UE

32. Perché fare riferimento alle
certificazioni eCF?
• Il «vecchio» problema della scelta di collaboratori realmente
competenti e il cui profilo viene riconosciuto sul mercato del lavoro
• Il sostanziale valore aggiunto della certificazione e-CF (UNI 11506,
CEN 16234) è indicato nei seguenti punti
• ha valore giuridico in Italia e in Europa (se erogata da una
associazione registrata presso il MISE)
• può valorizzare alcune altre certificazioni indipendenti
• si basa sulla provata esperienza maturata sul campo dal
professionista
• qualifica il professionista considerando l’intera sua biografia
professionale e le competenze ed esperienze maturate nella sua vita
professionale (e non solo per aver seguito un corso e superato un
esame)
AIPSI, in collaborazione con AICA, sta promuovendo le certificazioni
eCF per i professionisti della sicurezza ICT, fornendo loro supporto e
formazione personalizzata

33. Alcune considerazioni
• Attacchi «di massa» (es: virus, ransomware, ecc.) vs attacchi target
prevalentemente orientati a grandi organizzazioni
• Entrambi pericolosi
• Le maggiori criticità sono di tipo organizzativo
• Spesso mancano gli strumenti e le misure di base correttamente
gestite, quali la gestione delle password, il controllo degli accessi, i
back up
• Le maggiori vulnerabilità
• comportamento delle persone quali utenti dei sistemi informatici
• la sicurezza intrinseca del software, soprattutto di quello
applicativo

34. I 10 comandamenti per la sicurezza
digitale
1.La sicurezza assoluta non esiste
2.La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna essere preparati al
ripristino
3.Il peggior nemico: la “falsa” sicurezza
4.La sicurezza è un processo continuo, sia per la parte tecnica sia per la parte organizzativa e di
gestione
5.La sicurezza “globale” deve essere calata nello specifico contesto dell’Azienda/Ente: i suoi
processi, i suoi sistemi, la sua organizzazione, la sua cultura
6.Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare quello che si è
fatto  compliance normative vigenti: privacy, safety, quality, ecc.
7.Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top management
che deve dare un forte commitment, che deve guidare i fornitori, che deve dare il buon esempio
8.Prevenire, prevenire, prevenire: ma per far questo occorre misurare sistematicamente
9.La velocità e la complessità degli attuali attacchi è tale che i processi di gestione della sicurezza
devono essere automatizzati
10.La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole. Essa deve
quindi essere “ben bilanciata” tra le varie misure e strumenti
32

35. Riferimenti
m.bozzetti@aipsi.org
www.aipsi.org
www.issa.org
www.malaboadvisoring.it