Cyber crime in Italia: analisi del fenomeno dal Rapporto OAD 2016

1. Cyber crime in Italia: analisi del
fenomeno dal Rapporto OAD 2016
Marco R.A. Bozzetti
Presidente AIPSI
CEO Malabo Srl
Ideatore e curatore OAD
.

2. 2
AIPSI, Associazione Italiana Professionisti Sicurezza Informatica
• http://www.aipsi.org/
• Capitolo italiano di ISSA, Information Systems Security Association,
(www.issa.org)
• >>10.000 Soci, la più grande associazione non-profit di professionisti della
Sicurezza ICT
• ISSA Journal, Webinar, Conferenze, …
• AIPSI è il punto di aggregazione e di trasferimento di know-how sul territorio per i
professionisti della sicurezza, sia dipendenti sia liberi professionisti ed
imprenditori del settore
• Primari obiettivi AIPSI
• Aiutare i propri Soci nella crescita professionale e quindi del loro business
• offrire ai propri Soci qualificati servizi per tale crescita
• diffondere la cultura e la sensibilizzazione per la sicurezza informatica agli
utenti digitali,
• Sedi territoriali : Milano, Ancona-Macerata, Roma, Lecce
• Collaborazione con varie associazioni ICT ed Enti per eventi ed iniziative
congiunte: AICA, Anorc, i vari ClubTI sul territorio, CSA Italy, FidaInform, Inforav,
Polizia Postale, Smau, ecc.

3. OAD, Osservatorio Attacchi Digitali in Italia (ex OAI)
• Che cosa è
• Indagine via web cui liberamente rispondono i diversi interlocutori: il
Rapporto annuale non ha stretta validità statistica ma fornisce chiare e
valide indicazioni sulla situazione e sul trend in Italia, basilari per
un’efficace analisi dei rischi ICT
• Obiettivi iniziativa
– Fornire informazioni sulla reale situazione degli attacchi informatici in
Italia
– Contribuire alla creazione di una cultura della sicurezza informatica in
Italia
– Sensibilizzare i vertici delle aziende/enti sulla sicurezza informatica
• Che cosa fa
– Indagine annuale condotta attraverso un questionario on-line
indirizzato a CIO, CISO, CSO, ai proprietari/CEO per le piccole aziende
– Gruppo OAI su Linked
• Come
– Assoluta indipendenza anche dagli Sponsor (coprire, parzialmente, i
costi di realizzazione)
– Stretto anonimato sui rispondenti al questionario on line via web
– Collaborazione con numerose associazioni (Patrocinatori) per
ampliare il bacino dei rispondenti e dei lettori
3

4. 4
Le precedenti edizioni OAI

5. 5
Rapporto 2016 OAD
• In corso di completamento, sarà
pubblicato entro la fine di luglio
2016
• Workshop-conferenza stampa di
presentazione dei risultati entro
la fine di luglio 2016 (giovedì
21/7 pv nel pomeriggio ???)
• Chi fosse interessato a riceverlo
mi lasci il suo biglietto da vista
con email. Gli verrà inviato il
codice coupon per scaricare
(gratuitamente) il Rapporto OAD
2016

6. 6
Sponsorizzazioni e patrocini OAD 2016
Patrocinatori
con la collaborazione di
Sponsor Silver
Sponsor Gold

7. Una anteprima dal Rapporto 2016

8. 8
Le risposte al Questionario 2016 OAD
• Questionario online via web con 65 domande e risposte, multiple o
singola, da selezionare con un click tra quelle predefinite
• Risposte completamente anonime
• Coinvolti potenziali rispondenti dalle mailing list di AIPSI, di Malabo,
di NextValue, dei Patrocinatori
• 294 rispondenti in totale

9. 9
Tassonomia degli attacchi considerati
• Attacchi fisici.
• Furto di apparati
• Furto di informazioni e loro uso illegale da dispositivi mobili Furto di
informazioni e loro uso illegale da dispositivi non mobili
• Attacchi di Social Engineering e di Phishing
• Ricatti sulla continuità operativa e sull’integrità dei dati del sistema
informativo
• Accesso a e uso non autorizzato degli elaboratori, delle applicazioni
supportate e delle relative informazioni
• Modifiche non autorizzate ai programmi applicativi e di sistema, alle
configurazioni ecc.
• Modifiche non autorizzate ai dati e alle informazioni trattate
• Utilizzo vulnerabilità del codice software
• Codici maligni (malware) Attacchi per la saturazione di risorse ICT
• Attacchi alle reti, fisse o wireless, e ai DNS
• Attacchi mirati (targeted) e APT, Advanced Persistent Threats,

10. 10
Attacchi rilevati nel 2015
62,4%
37,6%
Mai o non rilevato Ha subito attacchi© OAD 2016

11. 11
Dettaglio del numero di attacchi subiti nel 2015
62,4%
28,2%
9,4%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
Mai o non rilevato
Meno di 10 casi
Più di 10 casi
% rispondenti
© OAD 2016

12. 12
Confronto percentuale degli attacchi rilevati nelle varie
edizioni di OAI-OAD (indicatore di trend NON STATISTICO)
0,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
80,0%
2007 2008 2009 2010 2011 2012 2013 2014 2015
%rispondenti
Mai o non rilevati Meno di 10 Più di 10
© OAD 2016

13. 13
Percentuale numero di attacchi ripartiti per dimensione
di azienda/ente
48,1%
40,0%
25,0%
26,7%
21,4%
0,0%
42,3%
53,3%
66,7%
60,0%
28,6%
50,0%
9,6%
6,7%
8,3%
13,3%
50,0%
50,0%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
< 50
51 - 100
101 - 250
251 - 1000
1001 - 5000
> 5001
% rispondenti
NumerodipendentiperAzienda/Ente
Più di 10 casi
Meno di 10 casi
Mai
© OAD 2016

14. 14
Ripartizione percentuale per tipologia di attacco
78,4%
71,9%
34,0%
29,4%
29,4%
27,5%
19,6%
15,7%
15,7%
14,4%
13,7%
11,1%
9,8%
9,2%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 80,0% 90,0%
Malware
Social Eng.
Furto disp.
Saturaz. risorse
Ricatti ICT
Sfrut. vulnerabilità
Attacchi reti
Acc. non aut. Sis.
Attacchi sic. fisica
Acc. non aut. Programmi
Furto info da PdL mobili
Acc. non aut. Dati
APT e TA
Furto info da risorse fisse
% rispondenti
© OAD 2016
Sempre ai primi
4 posti
nelle 6 edizioni
OAI-OAD

15. 15
Impatto degli attacchi subiti
85,4%
14,6%
Impatto poco significativo Impatto molto significativo
© OAD 2016

16. Come proteggersi ?

17. • La sicurezza dell’ICT è un elemento chiave per:
– garantire la continuità operativa dell’Azienda o dell’Ente
• La Business continuity è un problema di business
• le informazioni e le risorse ICT che li trattano sono un asset e
come tali vanno protette
• garantire la compliance alle varie normative e certificazioni
Sicurezza digitale … non solo un problema tecnico

18. La sicurezza globale ICT
Sicurezza
Globale
ICT
Sicurezza fisica
Sicurezza logica
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità

19. 19
19
• Le misure tecniche ed organizzative “tradizionali” di prevenzione e protezione possono
non essere sufficienti per individuare e contrastare attacchi come TA e APT
– ma sono comunque necessarie: DMZ, IPS/IDS, antivirus, antispyware, ecc.
• Analisi e gestione dei rischi sistematiche
• Sistematica analisi dei comportamenti anche con tecniche di intelligenza artificiale,
fuzzy logic, statistica bayesiana, ecc.
– Sistematico monitoraggio delle risorse ICT (reti, OS, middleware, applicazioni),
del loro utilizzo ed analisi di eventuali anomale variazioni rispetto alla “normale”
media
• Analisi dei carichi di traffico, delle CPU, delle memorie (swapping, …)
• Analisi dei log degli utenti e soprattutto degli operatori di sistema
• Scannerizzazione “intelligente” delle sorgenti di connessioni e di dati
• Correlazioni intelligenti ed automatiche tra gli innumerevoli eventi
Le misure tecniche

20. 20
20
Le misure organizzative
• Non sono burocrazia
• Non sono solo per le grandi strutture
• Sono necessarie anche per la conformità a numerose norme e leggi nazionali
ed internazionali
• Includono:
– Chiara e pubblica definizione di ruoli e competenze
• separazione dei ruoli (SoD, Separation of Duties)  matrici RACI
– Definizione delle Policy e delle relative procedure organizzative
• Definizione dei controlli e di come attuarli
– Selezione e controllo del personale e dell’uso dell’ICT
• Auditing
• Analisi dei log degli operatori e degli utenti ICT
– Radiazione dei sistemi obsoleti
– Sensibilizzazione, formazione, addestramento degli utenti e degli operatori
ICT (interni o terzi)
Nuovo
regolamento
europeo sulla
privacy

21. 21
L’effettiva sicurezza ICT dipende da come viene gestita
• Sia dal punto di vista tecnico
– Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
– Deve essere gestita internamente
– Forte «commitment» dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
• Fare riferimento agli standard ed alle best practice consolidate:
Famiglia ISO 27000, Cobit 5 (4.1- DS5) , ITIL v.3, ecc.

22. 22
Come scegliere fornitori e consulenti realmente competenti?
• La maggior parte delle aziende e degli enti (PAL) italiani sono
dimensionalmente piccoli, e non possono avere qualificate ed
aggiornate competenze interne per la sicurezza digitale (e più in
generale per tutto l’ICT)
• Si avvalgono pertanto di fornitori e di consulenti esterni, cui spesso
delegano completamente e senza alcun controllo tutti gli aspetti
della sicurezza digitale (e/o dell’intero loro sistema informatico)
Le certificazioni professionali sono uno degli strumenti a livello sia di singola
persona sia di azienda/ente.
Ma ne esistono molte, quali sono quelle di riferimento e realmente affidabili?

23. 23
23
• D. Lgs. 16 gennaio 2013, n. 13
– Art. 3 Sistema nazionale di certificazione delle competenze
– Art. 17 Riordino della formazione professionale
• UNI 11506: Attività professionali non regolamentate - Figure professionali
operanti nel settore ICT - Definizione dei requisiti di conoscenza, abilità e
competenze
– In vigore
Da professionista a Professionista Certificato
EUCIP
e-CF
3.0
UNI
11506
e-CFPlus
(AICA)

24. 24
• Il sostanziale valore aggiunto della certificazione e-CF (UNI 11506,
CEN 16234) è indicato nei seguenti punti
– ha valore giuridico in Italia e in Europa (se erogata da una
associazione registrata presso il MISE)
– può valorizzare alcune altre certificazioni indipendenti
– si basa sulla provata esperienza maturata sul campo dal
professionista
– qualifica il professionista considerando l’intera sua biografia
professionale e le competenze ed esperienze maturate nella
sua vita professionale (e non solo per aver seguito un corso e
superato un esame)
Perché fare riferimento alle certificazioni eCF?

25. 25
Le esperienze «provate»
• Un duplice non banale impegno: l’analisi e la verifica (lato commissario) delle esperienze
maturate, documentate dall’esaminato:
• Lato commissario:
– Analisi della documentazione fornita rispetto al Syllabus delle competenze
ed al loro grado di approfondimento
– Verifica di tali competenze nel colloquio
– non farsi condizionare dalla persona, ma valutare serenamente le effettive
competenze maturate
• Lato esaminato:
– Scelta delle prove (es progetti) che comprovino il livello di competenza sui
vari temi
• Basilare lo scambio di idee e l’allineamento tra i componenti della Commissione d’esame

26. 26
Ulteriori considerazioni
• La logica e l’approccio eCF penalizza i giovani?
• Certificazioni eCF di fatto con qualità e valenze diverse a secondo delle
modalità di attuazione della certificazione?
– eCFPlus di AICA
• La multi-disciplinarietà della sicurezza digitale
• La certificazione eCFPlus per la reale qualificazione del professionista è un
elemento basilare nell’ambito degli obiettivi di AIPSI per la crescita
professionale dei suoi Soci
– In tale ottica, in collaborazione con AICA , AIPSI sta programmando un
insieme modulare di corsi, anche in e-learning, focalizzati a
migliorare/approfondire specifiche competenze della sicurezza digitale

27. 27
• 1973 Laurea in Ingegneria elettronica al Politecnico di Milano
• 1971-85 CREI, Centro Rete Europea Informatica, polo italiano EIN, prima rete
europea di ricerca (tipo ARPA) a commutazione di pacchetto
• 1976-80 Olivetti R&D – Ivrea:Responsabile ONE, Olivetti Network Environment, e
comitati standard ISO, CCITT (ora ITU-C) , ECMA (chairman VFS)
• 1980-82 Italtel: Responsabile Laboratorio R&D Reti Dati Private, 1982-84 Italtel
Telematica : responsabile pianificazione strategica
• 1984-87 Arthur Andersen Management Consultants
• 1987-91 fondatore e Partner Ibimaint System Engineers
• 1988-94: fondatore e Partner C.A.SI, Consulenti Associati Sicurezza
• 1994-95 Fondatore e Presidente Integration&Engineers nel Gruppo MET
• 1995-2000 CIO Gruppo ENI
• 2001-2005 Fondatore e Presidente ClickICT Srl Gruppo GeaLab
• Dal 2001 Fondatore e Amministratore Unico Malabo Srl
Marco R.A. Bozzetti
• FTI, Forum delle Tecnologie dell’Informazione (Fondatore)
• EITO, European Information Technology Observatory ( Co-ideatore e
Chief Scientist)
• ClubTI di Milano (Past President)
• FidaInform, Federazione Italiana delle Associazioni Professionali di
Information Management (Past President)
• AIPSI-ISSA (Presidente)

28. Riferimenti
m.bozzetti@aipsi.org
www.aipsi.org
www.issa.org
www.malaboadvisoring.it