Evoluzioni nel mercato italiano della Cybersecurity
2013
Maggio 2013
© The Innovation Group - 2013 | 1
SI RINGRAZIANO PER IL LORO SUPPORTO:
© The Innovation Group - 2013 | 2
SOMMARIO
SCENARIO INTERNAZIONALE DELLA CYBERSECURITY 4
APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY 7
PRINCIPALI RISULTATI DELL’INDAGINE 7
CRITICITÀ DEL TEMA DELLA CYBERSECURITY NELLE AZIENDE ITALIANE 8
RISCHI INFORMATICI, RESPONSABILITÀ E CONSEGUENZE PERCEPITE 10
OBIETTIVI, ATTIVITÀ ED EFFICACIA DELLA FUNZIONE SECURITY 15
ATTIVITÀ DI INCIDENT RESPONSE E APPLICATION SECURITY 19
SOLUZIONI DI CYBERSECURITY ADOTTATE E PREVISTE 21
AFFRONTARE I NUOVI RISCHI ASSOCIATI A CLOUD, MOBILITY E SOCIAL MEDIA 22
NOTA METODOLOGICA 26
LE AZIENDE ITALIANE E IL TEMA DELLA CLOUD SECURITY 28
DIGITAL FORENSICS E MISURE DIFENSIVE MESSE IN ATTO DALLE AZIENDE 30
POLITICHE EUROPEE E NAZIONALI PER LA SICUREZZA DELLE INFRASTRUTTURE
CRITICHE 34
© The Innovation Group - 2013 | 3
Roberto Masiero
Co-Founder
The Innovation Group
Ezio Viola
Co-Founder
The Innovation Group
Ad un osservatore imparziale appare evidente che lo scenario globale sulle minacce
legate a Internet e all’ICT è in costante trasformazione. Da un lato viene sottolineato da
più fonti che i rischi sono in crescita e le minacce stanno cambiando natura,
responsabilità e target. Dall’altro lato, nuove tendenze che riguardano tutti - gli utenti, le
aziende, i consumatori - e che saranno ampiamente discusse nel presente studio,
obbligano i decisori aziendali a riconsiderare le proprie politiche e architetture di
security per riadattarle ai nuovi contesti.
Obiettivo dello studio è quello di fornire ai manager di aziende pubbliche e private,
quotidianamente chiamati a prendere decisioni in questo ambito, una fotografia
aggiornata sulle evoluzioni in corso nella Cybersecurity. Le conclusioni sono basate da un
lato sull’osservazione delle principali dinamiche a livello internazionale, dall’altro lato
sullo studio delle scelte effettuate dalle aziende italiane. E’ stata svolta infatti
un’indagine che ha coinvolto, nei mesi di marzo e aprile 2013, 115 organizzazioni medio
grandi italiane. Il tutto con l’obiettivo di fornire un utile supporto informativo a chi
intende attivarsi e cogliere indicazioni concrete su come migliorare il proprio approccio
al tema della Cybersecurity.
© The Innovation Group - 2013 | 4
Scenario Internazionale Della Cybersecurity
SCENARIO INTERNAZIONALE DELLA CYBERSECURITY
Guardando alle evoluzioni che a livello globale caratterizzano l’ambito della
Cybersecurity, emerge un aspetto che preoccupa più di altri, ossia quello che vede
l’affermarsi di attacchi sempre più mirati, rivolti a singole organizzazioni invece che al
mass-market e pensati con lo scopo di ottenere forti guadagni sul fronte economico. Si
tratta di attacchi progettati per superare le attuali misure di sicurezza, sfruttando
debolezze, come l’elemento umano, difficili da prevedere e controllare. Un esempio di
questo trend sono gli APTs (Advanced Persistent Threats), attacchi che normalmente
durano molto tempo, sono perfettamente orchestrati in modo da utilizzare più tecniche
contemporaneamente, si basano (per dare inizio all’attacco) sullo sfruttamento di
vulnerabilità umane, ossia la buona fede degli utenti. A questi sono rivolti attacchi di
spear phishing congegnati per avere da un lato massima efficacia, dall’altro non essere
rilevati dalle soluzioni di security predisposte (ad esempio per il controllo delle mail o
della navigazione web).
Anche la crescita degli attacchi Zero-days (sfruttano vulnerabilità non ancora note agli
stessi vendor del software, per cui hanno successo garantito, non essendoci misure per
prevenirli) dimostra quanto l’industria del cyber crime sia oggi avanzata sul fronte delle
competenze tecniche e della determinazione nel sfruttarle, anche rivendendole a terzi.
Tutte queste attività avvengono per lo più in modo silenzioso, all’insaputa delle vittime,
che possono continuare a perdere dati e informazioni rilevanti per anni. Oltre ad avere
una maggiore consapevolezza del fenomeno le aziende dovrebbero dotarsi di strumenti
per tener traccia di eventuali attività malevole e poter rispondere con azioni legali, come
sarà presentato nel capitolo successivo parlando di Digital Forensics.
Rispetto agli anni scorsi, stanno emergendo le responsabilità di nuove tipologie di
attaccanti. Da un lato gli hacktivists, ad esempio Anonymous, che pur usando tecniche di
base (DDoS, defacement di siti web), hanno ampliato il campo di azione attaccando
anche aziende private, ad esempio dei settori energia e trasporti, per portare a termine
proprie azioni di protesta e causare imbarazzo pubblicando informazioni riservate.
Dall’altro lato, emerge il ruolo di gruppi di cyber-spie, probabilmente arruolati da stati
esteri che volontariamente attuano queste politiche anche a scopo di spionaggio
industriale. In questo caso le tecniche di attacco possono essere molto evolute e
rimanere silenti nel tempo, per cui solo dopo anni le aziende si accorgono di aver perso
informazioni rilevanti come contratti, database clienti, Intellectual Property.
Per quanto riguarda la controbilanciata da misure come antivirus, antispyware.
Preoccupa la facilità con diffusione di malware, dove si nota una crescita preoccupante è
sul fronte dei device mobile. Mentre per altre tipologie di malware infatti il fenomeno,
pur rimanendo, è oggi sotto maggiore controllo (e in particolare viene registrata una
minore incidenza dello spam rispetto al passato) per quanto riguarda il mobile malware,
la diffusione è in crescita e non abbastanza cui il malware riesce a diffondersi fruttando
meccanismi come il phishing (anche via SMS) o il download di App non verificate,
pratiche sempre più comuni nel mondo consumer, in cui gli utenti sono del tutto
impreparati sul fronte della security.
L’industria del cyber
crime è sempre più
avanzata sul fronte
delle competenze
tecniche e della
determinazione nel
sfruttarle
Nuove
responsabilità tra
chi conduce i
cyber attacchi
Crescita del
Mobile malware
L’elemento
umano come
maggiore
vulnerabilità
© The Innovation Group - 2013 | 5
Scenario Internazionale Della Cybersecurity
Un aspetto rilevante che sta emergendo è però anche che, guardando all’insieme delle
azioni malevole (che non risparmiano in realtà più nessuno, essendo sempre di più le
vittime sia lato consumer sia business, in tutti i settori e dimensioni di azienda)
escludendo gli attacchi di profilo elevato, per la maggior parte le azioni di furto di dati o
interruzione dei servizi potrebbero essere evitate applicando misure minime e prestando
maggiore attenzione alla tematica.
Inoltre, dove le misure di sicurezza predisposte mostrano maggiormente la loro
inadeguatezza è nei casi in cui l’attacco prende di mira gli utenti, ad esempio con
tecniche di social engineering o spear phishing. L’elemento umano emerge oggi come la
maggiore vulnerabilità nelle politiche di prevenzione e risposta ai rischi della
Cybersecurity. Le aziende non fanno evidentemente abbastanza sul fronte del
coinvolgimento degli utenti finali nelle attività di prevenzione e risposta: basti pensare
che ancora oggi numerose organizzazioni risultano vulnerabili perché le chiavi di accesso
utilizzate dagli utenti sono banali, ripetitive e facilmente individuabili! Bisognerebbe
quindi lavorare di più per accrescere la cultura della sicurezza all’interno delle
organizzazioni nel loro complesso: è evidente che gli strumenti e le metodologie
utilizzate finora per creare Security Awareness non hanno funzionato, e vanno ripensati
nell’ottica di un maggiore Engagement degli utenti.
Inoltre, dando per scontata oramai la possibilità di un attacco, sarebbe auspicabile che
tutte le aziende fossero in grado di reagire tempestivamente. L’analisi di quanto
avvenuto ad oggi porta infatti a consigliare misure immediate di risposta all’attacco
informatico, anche quando se ne è subito un danno, perché questo aiuta a limitarne gli
effetti negativi. Ad esempio, una comunicazione immediata ai clienti in caso di data
breach sui loro dati può servire a limitare la perdita di clienti come conseguenza
dell’attacco. Il customer churn come conseguenza di un attacco portato a termine
rappresenta un elemento da considerare, variabile a seconda del settore in cui opera
l’azienda, in genere più alto per servizi finanziari o prodotti High Tech.
Nel 2012 si è poi assistito all’estensione degli attacchi anche verso le nuove piattaforme
dei Social Network (Facebook, Twitter, Pinterest), oltre che verso provider di servizi
Cloud (Dropbox). Nel caso degli attacchi ai Social Network, si è trattato più che altro di
furti di identità, acquisizione di dati personali, messaggi ingannevoli, quindi utilizzando
tecniche di hacking basilari e sfruttando più che altro la limitatezza dei meccanismi di
autenticazione delle persone ad oggi adottati da questi siti. Il problema si amplifica però
nel caso di utilizzo business dei Social Media, perché in questo caso aumentano rischi di
reputazione, danno d’immagine, responsabilità verso terzi, perdita di dati rilevanti o
diffusione di malware da comunicazioni provenienti dai Social Media, con possibili
implicazioni economiche per le aziende.
Con riferimento invece agli attacchi verso provider Cloud, hanno messo in alcuni casi in
evidenza la mancanza di procedure interne di security, per cui ad esempio, nel caso di
Dropbox, accedendo all’account di un dipendente della società gli hacker sono entrati in
possesso di numerosi account di utenti del servizio di storage online, utilizzandoli in
definitiva per inviare spam. Altre situazioni sono apparse però più gravi, in particolare, la
temporanea indisponibilità del servizio di Amazon AWS. In questo caso non si è trattato
tanto di un attacco informatico ma piuttosto di un problema interno a livello di rete. La
mancanza del servizio ha seriamente danneggiato una serie di clienti che basano sui data
Necessità di
misure immediate
di risposta
Attacchi a Social
Networks e servizi
Cloud
Richiesta di
Awareness e
cultura della
security
© The Innovation Group - 2013 | 6
Scenario Internazionale Della Cybersecurity
center di Amazon i propri servizi Internet. Il tema della sicurezza del Cloud è un
problema all’attenzione dei governi e di istituzioni, per cui sono prevedibili ampi sviluppi
su questo fronte, come sarà illustrato anche nel capitolo successivo.
Una ulteriore fonte di preoccupazione viene dalla possibilità che gli hacker spostino in
futuro l’attenzione su ulteriori bersagli, costituiti non più da PC, server, o device mobile,
ma dai dispositivi elettronici che sempre di più pervadono tutti gli ambiti, dagli
autoveicoli, alle abitazioni, alle smart grid. Già oggi il tema delle infrastrutture critiche
mette in luce la possibilità che malintenzionati possano prendere il controllo di sistemi e
processi la cui indisponibilità avrebbe conseguenze gravissime a livello di intere nazioni
(reti elettriche, telecomunicazioni, risorse idriche, sanità, trasporti). Per evitare che
questo succeda sarebbe opportuno cominciare a prevedere, fin dalle fasi di design di
nuovi prodotti, una sicurezza intrinseca che elimini la possibilità di utilizzi indesiderati.
Questo tipo di verifiche e aggiunta di controlli avrebbe però come conseguenza un
innalzamento del costo di produzione.
L’argomento assume però una tale rilevanza che è diventato oggetto di politiche di
sicurezza nazionale. Attualmente vari governi si stanno impegnando in particolare a
trovare nuove forme di regolamentazione comune, in modo da mettere a fattore
comune gli sforzi che sono richiesti alle diverse parti, pubbliche e private, per mettere in
sicurezza le rispettive infrastrutture, trovando giusti bilanciamenti e avviando
collaborazioni sia a livello nazionale, sia anche internazionale.
Negli USA, è entrato in vigore in febbraio l’ordine esecutivo del Presidente Obama
”Improving Critical Infrastructure - Cybersecurity” rivolto al NIST (National Institute for
Standards and Technology) secondo il quale l’istituto dovrà quest’anno collaborare con
l’industria nazionale per individuare un framework di azioni volontarie comune. Il NIST in
particolare dovrà entro 240 giorni definire una versione preliminare di un apposito
sistema - il Cyber Framework - con regole, metodi, procedure di indirizzo e misure di
contenimento dei rischi cyber per le infrastrutture. A livello europeo negli ultimi anni
sono stati aperti diversi tavoli di discussione, ma di fatto ad oggi sono stati presi soltanto
degli impegni piuttosto generici, ad esempio quello che ogni stato membro dell’Unione
dovrebbe costituire un proprio CERT nazionale (la tematica sarà approfondita nelle
pagine successive).
Infrastrutture
critiche e Internet
of Things (IoT)
© The Innovation Group - 2013 | 7
Approccio Delle Aziende Italiane Alla Cybersecurity
APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY
Principali r isultati del l ’ indagine
Obiettivo dello studio è stato quello di rilevare, presso un campione di 115 aziende
italiane, medio grandi e dei diversi settori verticali, qual è la rilevanza del tema della
Cybersecurity; come sta cambiano la percezione sulle minacce in corso; quali sono gli
obiettivi e le attività predisposte per il Security Management. Inoltre sono state indagate
le soluzioni e le tecnologie utilizzate per i diversi ambiti, con un approfondimento
relativo alle attività di Incident Response, Application Security e su ambiti nuovi come
Mobility, Social Networks e servizi Cloud.
Dall’analisi emerge che le aziende italiane medio grandi attribuiscono elevata
importanza al tema della Cybersecurity, ossia delle soluzioni e dei servizi per contrastare
malware e altri rischi IT. Hanno però un approccio alla tematica ancora troppo ancorato
al passato. Infatti:
Non assegnano sufficiente importanza alle nuove fonti di rischio, dal Mobile, ai Social Networks, al BYOD (Bring Your Own Device).
Hanno scarsa consapevolezza della pericolosità delle nuove minacce, come APTs (Advanced Persistent Threats), attacchi Zero-days e attacchi Scada (Supervisory Control And Data Acquisition), e non vedono nella risposta alle minacce emergenti un obiettivo importante della funzione security.
Sottostimano le perdite economiche legate a incidenti dovuti a cyber attacks, non considerano prioritari per diventare più efficienti aspetti come la Security Intelligence, la gestione end-to-end del problema, l’automatizzazione delle procedure operative.
Rispetto a qualche anno fa, oggi la diffusione delle principali misure di Cybersecurity ha
raggiunto la maggior parte delle aziende italiane, e le risposte indicano ulteriore crescita
dell’adozione. Ciò nonostante rimangono isole di arretratezza su aspetti interni del
Security Management che richiederebbero un momento di riflessione da parte dei
responsabili.
Nonostante il 74% delle aziende riporti di aver subito almeno un incidente informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi un’adozione ancora molto limitata, soprattutto per aspetti come le analisi forensiche per l’identificazione delle responsabilità, le azioni e la reportistica post incidente.
In tema di Application Security, metà delle aziende definisce guidelines interne per lo sviluppo sicuro di applicazioni, solo un terzo verifica con policy opportune che il software acquisito da terzi sia sicuro.
Quello di cui i responsabili della sicurezza si lamentano è la mancanza di risorse interne e
di skill dedicati: per questo motivo, il ricorso a fornitori specializzati esterni è frequente,
e si configura sia come esternalizzazione di aspetti più operativi (mantenendo la
governance all’interno) sia anche come completo passaggio di responsabilità a terzi.
Nonostante il 74%
delle aziende riporti
di aver subito
almeno un incidente
informatico dovuto
a cyber attacco, le
misure di Incident
Response hanno
oggi un’adozione
ancora molto
limitata.
© The Innovation Group - 2013 | 8
Approccio Delle Aziende Italiane Alla Cybersecurity
La stessa figura comincia ad apparire anche parlando di sicurezza dei Cloud provider. La
percezione della sicurezza dei servizi offerti da Cloud provider appare mediamente
positiva, con l’eccezione soltanto di un aspetto, il fatto che il Cloud provider possa
fornire garanzie sulla localizzazione dei dati.
In tema di Mobility e Social Network, le aziende cominciano a mostrare la diffusione di
policy interne dedicate a queste tematiche, sia per l’uso aziendale sia quello personale di
device mobile e siti social. Dove invece si osserva ancora un salto da effettuare è nella
predisposizione di soluzioni di sicurezza dedicate a questi ambienti.
Critic ità del tema della Cybersecurity nelle aziende ital iane
La consapevolezza sui rischi informatici è oggi ampiamente diffusa nelle aziende italiane
e ad una Awareness elevata corrisponde la predisposizione di numerose attività e misure
di Cybersecurity. In un 20% circa delle aziende italiane il tema assume importanza
rilevante, tanto da essere considerato fondamentale per preservare il business, la
Reputation e quindi, in ultima istanza, la stessa sopravvivenza dell’impresa. Se si
analizzano le risposte per settori verticali o per dimensione di impresa si ottengono in
alcuni ambiti percentuali ancora più elevate. Il settore finanziario e della pubblica
amministrazione sono quelli maggiormente impattati dalla tematica, anche per obblighi
normativi che hanno comportato un’elevata attenzione alla sicurezza dei dati e hanno
determinato l’adozione di misure e processi volti a prevenire gli incidenti informatici.
Tabella 1: Attribuzione di livelli di importanza al tema della Cybersecurity
Livello Descrizione
Massimo Fondamentale nel preservare il Business e la Reputation dell'azienda
Alto La Cybersecurity serve a garantire l'operatività quotidiana
Medio Vengono svolte quelle che nel nostro settore sono le misure principali
Basso Vengono svolte solo misure di base
© The Innovation Group - 2013 | 9
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 1: Criticità del tema della Cybersecurity
Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Si osserva quindi, considerando il complesso delle aziende italiane, una preponderanza
di risposte tra chi attribuisce al tema una rilevanza elevata (la Cybersecurity serve a
garantire l’operatività quotidiana), con una quota del 45% delle risposte, o media (sono
svolte le misure principali), per un ulteriore 33% dei rispondenti. Solo in un 3% delle
aziende il tema riveste bassa attenzione, con l’attuazione soltanto di misure minime di
security.
Figura 2: Criticità del tema della Cybersecurity - per dimensione d’impresa
Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Livello massimo
19%
Livello alto 45%
Livello medio 33%
Livello basso 3%
13%
17%
24%
38%
48%
43%
38%
32%
33%
13%
3%
0% 20% 40% 60% 80% 100%
< 50 addetti
50-1.000 addetti
> 1.000 addetti
Livello massimo Livello alto Livello medio Livello basso
© The Innovation Group - 2013 | 10
SCENARIO INTERNAZIONALE E ITALIANO DELLA CYBERSECURITY
Approccio Delle Aziende Italiane Alla Cybersecurity
Per comprendere le diverse attribuzioni di importanza alla tematica è interessante
analizzare le risposte per dimensione di azienda o per settore d’impresa. La dimensione
dell’impresa è direttamente correlata al tema: tanto maggiore è il numero di dipendenti,
tanto più importante sarà avere sotto controllo i possibili rischi informatici e prevedere
misure che preservino il Business. Con riferimento al settore, anche in questo caso si
nota – come già detto – un’elevata attenzione alla Cybersecurity negli ambiti finance e
pubblica amministrazione. A seguire le aziende nel settore dei servizi, utilities, retail e
industria attribuiscono, per la maggioranza, importanza medio alta, ma in alcuni casi, ad
esempio nei servizi o nel retail, anche scarsa rilevanza della Cybersecurity (con adozione
soltanto di misure di base)
Figura 3: Criticità del tema della Cybersecurity - per settore verticale
Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Rischi informatici , responsabil ità e conseguenze percepite
Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva
un approccio ancora troppo legato al passato. I principali rischi che vengono indicati
dagli intervistati sono infatti quelli tradizionali, di possibile interruzione del servizio
(aspetto che impatta direttamente sulla responsabilità dei manager dell’ICT e quindi
viene percepito come maggiormente problematico) o di furto/perdita di dati rilevanti. I
nuovi rischi, che stanno emergendo come fonti più probabili di danno e compromissione
di sistemi oltre che perdite economiche, come device Mobile, Social Networks, BYOD,
ottengono livelli di attenzione troppo bassi, come riporta la figura successiva.
La diffusione involontaria di malware ha un peso importante – è citata quasi dalla metà
dei rispondenti – e questo sta a indicare che nonostante siano stati effettuati negli ultimi
20 anni numerosi sforzi e siano state impiegate più misure per combattere il malware,
tutto questo non sia in realtà considerato sufficiente.
14%
10%
8%
14%
25%
31%
34%
40%
58%
56%
46%
62%
52%
40%
33%
15%
29%
8%
10%
14%
0% 20% 40% 60% 80% 100%
Industria
Retail
Utilities
Servizi
Settore Pubblico
Finance
Livello massimo Livello alto Livello medio Livello basso
Analizzando la
percezione delle
aziende con
riferimento ai rischi
informatici, si osserva
un approccio ancora
troppo legato al
passato.
© The Innovation Group - 2013 | 11
Approccio Delle Aziende Italiane Alla Cybersecurity
Considerando però la diffusione di malware associata a device BYOD (Bring Your Own
Device) o all’utilizzo di Social Network, o in generale a device Mobile aziendali, questi
non sono indicati come elementi principali nella determinazione del rischio informatico.
Le aziende appaiono in questo modo troppo ancorate a visioni pregresse della security e
quindi al mantenimento di soluzioni già esistenti per il controllo del malware. Poco
intenzionate invece a far evolvere la propria percezione del rischio verso quelli che sono
in effetti i nuovi driver principali
Figura 4: Principali rischi informatici percepiti dalle aziende
Domanda: Quali dei seguenti ritenete essere i principali rischi informatici per la vostra azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Anche considerando le risposte relative alla pericolosità dei metodi di attacco, riportate
nella figura successiva, appare evidente una focalizzazione delle aziende sulle minacce
tradizionali. E’ vero che tra i rispondenti della survey molti sono CIO e IT Manager (49%
dei rispondenti). Ma anche considerando le risposte soltanto di Chief Security Officer,
Security Manager e Security specialists (40% dei rispondenti), si ottengono le stesse
percentuali nella distribuzione delle risposte. Chi guarda con occhio critico la figura
successiva, non può che rimanere preoccupato vedendo quanto è bassa l’attenzione
prestata ai nuovi cyber threats.
12%
13%
26%
33%
46%
51%
55%
0% 20% 40% 60%
Perdita di dati/diffusione di malware per l'utilizzo di device Mobile aziendali
Perdita di dati/diffusione di malware associata a device personali (BYOD)
Danni dovuti a comportamenti inconsapevoli (es. su Social Network)
Eventi disastrosi che comportano l'interruzione dei servizi/danni ai dati
Diffusione involontaria di malware da parte di dipendenti/partner
Furti di dati e informazioni rilevanti
Attacchi informatici volti a bloccare i sistemi
© The Innovation Group - 2013 | 12
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 5: Metodi di attacco ritenuti più pericolosi
Domanda: Quali dei seguenti metodi di Cyber attacco ritenete potenzialmente più dannosi per la
vostra azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
E’ abbastanza sorprendente che chi si occupa di security continui ad attribuire tanta
importanza a minacce in buona parte note e in teoria sotto controllo con suite anti-
malware tradizionali, oramai diffuse nel 98% delle aziende (come sarà mostrato più
avanti), mentre invece sia sottostimata così ampiamente la pericolosità degli attacchi
Zero-day e APTs (Advanced Persistent Threats), o addirittura Scada (Supervisory Control
And Data Acquisition), che pure sono quotidianamente menzionati sui Media come
responsabili di enormi danni.
Si potrebbe ipotizzare che la figura corrisponda alla percezione delle aziende di essere
attaccate con più frequenza con metodi di attacco di tipo tradizionale, ma purtroppo
neanche questo è vero. Ad oggi, come ha riportato anche il Report Clusit 20131, che
dipinge la situazione italiana per quanto riguarda le minacce di Cybersecurity, gli attacchi
APTs crescono a tassi superiori al 400% per anno, e si posizionano al secondo posto per
numerosità dopo quelli SQL Injection, seguiti da attacchi DDoS. Il malware compare
soltanto al sesto posto, non è più considerato dagli esperti la tecnica principale per
sottrarre informazioni o rendere indisponibili i sistemi.
Per quanto riguarda invece l’attribuzione di responsabilità per gli attacchi, la figura che si
ottiene intervistando i responsabili della security aziendale rispecchia effettivamente la
situazione che emerge da diverse analisi sulle evoluzioni del cyber crime.
1 Clusit, Rapporto 2013 sulla sicurezza ICT in Italia, 2013
8%
13%
16%
24%
29%
30%
76%
0% 20% 40% 60% 80% 100%
Attacchi Scada
APTs/spear phishing
Zero-day attacks
SQL injection
Distributed denial of service (DDoS)
Phishing/Social Engineering
Malware (virus, trojans, rootkits, worms)
© The Innovation Group - 2013 | 13
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 6: Responsabili degli attacchi informatici - secondo le aziende
Domanda: Quali potrebbero essere secondo lei i maggiori responsabili di Cyber attacchi nel caso
della vostra azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Lo sfruttamento delle vulnerabilità dell’ICT per perpetrare frodi con furto di informazioni
da parte della criminalità organizzata è un fenomeno in crescita in ogni parte del mondo.
I cyber attacchi oggi possono sostanzialmente dividersi in 2 tipologie: quelli attribuiti ai
cyber criminals puntano a un ritorno economico immediato, sono volti a sottrarre
informazioni che saranno rivendute in seguito nel mercato nero di Internet (cyber
espionage). La seconda tipologia di attacchi in forte crescita è invece quella degli
hacktivists (Anonymous, WikiLeaks) il cui scopo è effettuare azioni di protesta civile,
dove sono lesi i principi della libertà digitale oppure dove si vuole far emergere
all’opinione pubblica comportamenti discutibili. Le multinazionali in particolare non sono
immuni da attacchi di questo tipo. Come mostra la figura sopra, il rischio collegato ad
azioni di hacktivists è oggi considerato come rilevante da parte di molte aziende.
In alcuni casi le aziende stanno anche considerando la minaccia proveniente da Stati
Esteri. E’ oramai un fatto assodato che alcune nazioni, in particolare la Cina e la Russia, si
siano dotate negli ultimi anni di apparati di intelligence2 che effettuano attività di cyber
espionage con sottrazione di Intellectual Property, in particolare in settori avanzati come
tecnologie militari, biomediche e farmaceutiche, nuovi materiali e manifatturiere
avanzate.
2 Umberto Gori, Luigi Sergio Germani. Information Warfare 2011, Franco Angeli
15%
4%
10%
11%
19%
27%
38%
42%
0% 20% 40% 60%
Non è stato possibile determinarlo
Business Partner
Stati esteri
Competitors
Attacchi dall’interno - personale a contratto
Attacchi dall’interno - dipendenti
Anonymous/Hacktivists
Cyber Criminals
© The Innovation Group - 2013 | 14
Approccio Delle Aziende Italiane Alla Cybersecurity
Il 74% delle aziende intervistate dichiara di aver avuto lo scorso anno almeno un
incidente riconducibile ad un attacco informatico, e in alcuni casi gli incidenti sono stati
numerosi. Analizzando le risposte, si ottiene che i settori in cui le aziende subiscono il
maggior numero di incidenti da cyber attacchi (superiore a 7) sono l’industria, il settore
pubblico e il settore delle telecomunicazioni.
Figura 7: Numero di incidenti dovuti a Cyber attacchi
Domanda: Qual è il numero approssimativo di incidenti dovuti a Cyber attacchi registrati negli
ultimi 12 mesi nella sua azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=103
Tra le conseguenze degli attacchi vengono citati numerosi aspetti, in principal modo
l’interruzione delle attività e il danno d’immagine. Invece, il danno economico non è
ritenuto al momento prioritario, ma questo aspetto è probabilmente legato al fatto che
si sottostima l’impatto economico di un incidente informativo.
Figura 8: Conseguenze degli attacchi informatici - secondo le aziende
Domanda: Quali sono state secondo lei le principali conseguenze degli attacchi subiti?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
26%
45%
22%
4% 2% 1% 0%
20%
40%
60%
Nessuno Tra 1 e 2 Tra 3 e 6 Tra 7 e 10 Tra 11 e 20 Superiore a 40
5%
2%
9%
12%
13%
15%
26%
31%
38%
44%
0% 20% 40% 60%
Nessun danno
Perdita del valore della società
Nuovi investimenti in Cybersecurity
Perdita di clienti
Costi per attività investigative
Costi dovuti a problemi legali
Perdita economica
Perdita di dati e Intellectual Property
Danni al Brand/alla reputazione
Interruzione dell’attività
© The Innovation Group - 2013 | 15
Approccio Delle Aziende Italiane Alla Cybersecurity
Obiettivi , attività ed efficacia della funzione Security
Con riferimento agli obiettivi attribuiti alla funzione security nelle aziende italiane, i
principali sono la protezione dei dati e delle infrastrutture oltre che la compliance alle
norme.
La risposta a nuove forme di attacco o malware viene citata come obiettivo, ma
purtroppo soltanto da un 38% delle aziende: il restante 62% delle aziende non lo
considera evidentemente prioritaria. Questo conferma quanto visto in precedenza, ossia
che la pericolosità dei nuovi attacchi (ad esempio quelli del tipo APTs) è ampiamente
sottostimata dai responsabili della security.
Figura 9: Obiettivi della Funzione IT Security
Domanda: Quali sono gli obiettivi che si pone la funzione security nella vostra azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Tematiche che rientrano negli obiettivi di una minoranza di responsabili sono:
Governance, Risk e Compliance Management integrato (GRC): si tratta di allineare e gestire tramite piattaforme integrate gli aspetti di Governance della security con il più ampio campo di attività relativo al Risk e Compliance management. E’ un ambito in sviluppo del mercato, che nella nostra indagine viene citato solo da un 20% delle aziende intervistate.
5%
13%
15%
16%
19%
20%
38%
63%
71%
0% 20% 40% 60% 80%
Definire un modello operativo di security per l’uso del Cloud Computing
Automatizzare le attività legate alla security
Far dipendere le scelte di security da una valutazione d'impatto sul Business
Risolvere le problematiche di security dovute a device Mobile
Analizzare i dati della security in modo da essere proattivi (Security Intelligence)
Definire un GRC Management integrato e in linea con le richieste del business (GRC)
Rispondere a nuove forme di malware/attacchi informatici
Essere compliant alle norme
Proteggere dati sensibili e Intellectual Property
© The Innovation Group - 2013 | 16
Approccio Delle Aziende Italiane Alla Cybersecurity
Security Intelligence: nell’ambito delle attività di Security Governance, l’utilizzo di soluzioni specifiche di Intelligence, come funzioni analitiche relative a informazioni raccolte con molteplici device e dispositivi (SIEM, Security Information e Event Management) permette di ottenere notevoli benefici in termini di controllo unitario, trasparenza e reporting verso il management dell’azienda, proattività nell’individuare le vulnerabilità, time-to-market nella risposta a eventuali cyber attacchi.
Mobile security: solo un 16% delle aziende considera tra gli obiettivi della funzione security anche il controllo di device mobile.
Ancora meno importanti nelle aziende del campione analizzato aspetti come legare le scelte di security a valutazioni di impatto sul Business dei rischi informatici, l’automatizzazione delle attività legate all’operatività quotidiana della security o la definizione di modelli operativi per l’utilizzo sicuro dei servizi Cloud. In particolare, automatizzare molte procedure permetterebbe di ridurre i costi del Security Management e spostare l’attenzione su attività maggiormente business critical, ma il tema non è attualmente al centro delle strategie per la security.
In conclusione, una prima figura che emerge dall’analisi degli obiettivi per i responsabili
del Security Management, è di un focus prevalente sulla gestione del day-by-day, sul
controllo di una serie di strumenti già implementati, scarso coordinamento con altri
ambiti dell’impresa, e in generale di nuovo un’evidente ritardo nella capacità di risposta
ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Non il tipo di
obiettivi che dovrebbe avere una funzione che governa aspetti con importanza
fondamentale per la sopravvivenza stessa del business aziendale, come era stato
dichiarato inizialmente.
Andando a vedere come nella pratica si traducono gli obiettivi della funzione security,
ossia quali sono le attività e i task che quotidianamente vengono svolti, in azienda o
tramite fornitori esterni, si ottiene una figura molto articolata su tutti i diversi ambiti.
Nell’analisi ci siamo concentrati su quelli che riteniamo essere i processi principali del
Security Management. Come mostra la figura successiva, trattandosi di attività core,
sono per lo più svolte internamente, e quando date all’esterno, nella maggior parte dei
casi mantenendo comunque all’interno la Governance complessiva – per cui al fornitore
sono demandate soltanto attività operative con una gestione che rimane comunque
all’interno.
Tutti i processi considerati hanno diffusione molto elevata, in alcuni casi riguardano la
totalità delle imprese contattate (considerando sia il fatto che siano svolti internamente
che anche da fornitori esterni), con esclusione soltanto degli aspetti di Vulnerability
Assessment e di Security Intelligence (SIEM), che registrano invece quote di adozione più
basse, tra il 70 e l’80% (contando anche l’apporto dei fornitori esterni), e mostrano
contemporaneamente una più elevata propensione all’outsourcing.
Focus prevalente
sulla gestione del
day-by-day, sul
controllo di una serie
di strumenti già
implementati, scarso
coordinamento con
altri ambiti
dell’impresa, e in
generale di nuovo
un’evidente ritardo
nella capacità di
risposta ai nuovi
rischi, ad esempio la
diffusione in azienda
di dispositivi mobile.
© The Innovation Group - 2013 | 17
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 10: Attività della Funzione IT Security
Domanda: Quali delle seguenti attività sono svolte dalla funzione IT Security, totalmente o in parte,
o in alternativa da fornitori esterni?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112
La figura mostra quindi un buon livello di Readiness in termini di processi fondamentali
del Security Management, considerando anche il fatto che stiamo parlando di aziende di
tutti i settori di mercato e, per un 7% dei casi, di aziende con dimensioni inferiori ai 50
addetti3. In particolar modo, gli ambiti che ottengono maggiore attenzione sul fronte
delle attività di Security Management sono il controllo e la gestione degli accessi, il
disegno e l’enforcement di policy di security, le attività di backup, recovery o business
continuity volte a salvaguardare i dati e in alcuni casi anche la continuità dei servizi ICT.
Dove si comincia ad osservare una percentuale minoritaria di aziende che non svolge
alcuna attività (intorno al 10%) è soltanto per aspetti di Compliance e Risk Management,
di Incident Response oltre che di Vulnerability Scanning e Security Intelligence, come
detto in precedenza.
Come rendere più efficace la funzione security nelle sue attività di operatività
quotidiana, controllo e definizione di policy? Secondo i responsabili intervistati sarebbe
fondamentale poter disporre di maggiori skill nell’ambito specifico, altamente
specialistico, della Cybersecurity. Quindi possibilità di dotarsi di risorse specializzate, che
come noto sono difficili da reperire nel mercato.
3 Le caratteristiche del campione analizzato sono riportate alla fine del presente capitolo.
43%
39%
57%
63%
66%
64%
65%
66%
66%
70%
64%
76%
21%
25%
23%
21%
21%
19%
19%
21%
23%
23%
32%
20%
9%
19%
6%
3%
3%
7%
8%
5%
4%
2%
3%
2%
25%
14%
11%
11%
8%
7%
5%
5%
0% 20% 40% 60% 80% 100%
SIEM/Security Intelligence
Vulnerability Scanning
Incident Response
Compliance Management
Risk Management
Patch Management
Event/Log Management
Formazione degli utenti
Backup e recovery/BC
Enforcement delle policy
Disegno di policy di Security
Controllo / gestione accessi
Internamente
Governance interna e attività date all'esterno
Svolto in toto da fornitori esterni
Attività non svolta
© The Innovation Group - 2013 | 18
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 11: Efficacia del Security Management
Domanda: Quali elementi secondo voi rendono più efficace il Security Management?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112
In secondo luogo, viene citata la necessità di dotarsi di una struttura dedicata e di un
management dedicato (Chief Security Officer o Chief Information Security Officer). Non
si ritiene però in generale che l’organizzazione della struttura di security debba essere
fatta in modo da riportare direttamente al Board dell’azienda (solo il 13% dei rispondenti
pensano che sarebbe un modo per rendere più efficace il Security Management). Anche
altri aspetti, come il Security-by-design (la possibilità di inserire la sicurezza informatica
nella fase iniziale di progettazione di nuovi prodotti/servizi dell’impresa) o l’integrazione
end-to-end e la visione olistica che abbracci tutti gli aspetti della sicurezza, sono citati
come importanti solo da una minoranza dei rispondenti, intorno al 20%. L’impressione
che si ottiene analizzando le risposte è che i responsabili della security non si stiano oggi
interrogando su quali cambiamenti li renderebbero più efficaci. Percepiscono soltanto
difficoltà legate al day-by-day, come mancanza di fondi, risorse o skill.
Non è stato effettuato, se non in una minoranza dei casi, il salto culturale che dovrebbe
portare il Security Management a diventare ambito strategico dell’azienda.
13%
18%
19%
23%
24%
28%
48%
51%
0% 20% 40% 60%
Il CSO/CISO riporta direttamente al Board
Disporre di informazioni più complete su tutti i rischi dell'azienda
Far dipendere gli investimenti in security da analisi su rischi e perdite
Integrare la Governance della security con il Risk e il Compliance Management
Maggiore integrazione in ottica end-to-end delle tecnologie per la security
La security è definita a priori, nella fase di progettazione
Disporre di una struttura dedicata e di un manager dedicato (CSO o CISO)
Disporre di maggiori skill interni in ambito security
© The Innovation Group - 2013 | 19
Approccio Delle Aziende Italiane Alla Cybersecurity
Attività di Incident Response e Application Security
Due ambiti su cui abbiamo deciso di concentrare l’analisi, trattandosi in entrambi i casi di
attività potenzialmente molto critiche (ma spesso sottovalutate dalle aziende italiane)
sono quelli dell’Incident Response e dell’Application Security.
Con Incident Response si intendono le attività preposte alla prevenzione e gestione di
eventuali incidenti, ossia eventi che hanno comportato una riduzione o un annullamento
dell’operatività dei servizi, una perdita di dati e quant’altro. La gestione degli incidenti è
un’attività fondamentale, volta a limitarne le conseguenze, in quanto un incidente non
gestito può comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a
impatti imprevedibili. Un team di Incident Response viene di solito responsabilizzato su
tutte le attività specifiche per la gestione e la risposta agli incidenti. Si parte dalle attività
preventive (identificazione di possibili falle o vulnerabilità nei sistemi che possono
condurre a incidenti) fino alle attività di risoluzione e notifica – in caso di incidente – a
quelle di investigazione successiva – per individuare grazie all’analisi dei log data le cause
dell’incidente ed eventuali responsabilità. Un CERT interno (Computer Emergency
Response Team) può anche essere incaricato di queste attività.
Figura 12: Attività di Incident Response
Domanda: Quali attività di Incident Response svolgete?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112
Le misure preventive sono quelle che di solito fanno capo alle attività di Vulnerability
Assessment/Penetration Test. Come mostra la figura successiva, sono quelle più diffuse
presso le aziende italiane (con un 56% delle risposte). Dove sicuramente le aziende si
mostrano poco preparate – non avendo evidentemente strutturato le attività di Incident
Response in modo organico e completo – sono le attività forensiche (di comprensione
5%
9%
23%
25%
40%
52%
56%
0% 20% 40% 60%
Nessuna delle precedenti risposte
Aggregazioni/analisi comparativa degli incidenti
Reportistica sugli incidenti
Azioni per minimizzare gli impatti
Analisi per identificare le cause degli incidenti
Analisi degli incidenti con comprensione del loro impatto
Analisi preventive per verificare eventuali vulnerabilità
La gestione degli
incidenti è un’attività
fondamentale, volta
a limitarne le
conseguenze, in
quanto un incidente
non gestito può
comportare in
cascata successivi
effetti disastrosi e in
alcuni casi condurre a
impatti imprevedibili.
© The Innovation Group - 2013 | 20
Approccio Delle Aziende Italiane Alla Cybersecurity
della dinamica e attribuzione di responsabilità associate agli incidenti) ad oggi svolte
soltanto da un 40% delle aziende.
Il tema dell’Application Security riguarda invece l’insieme delle attività e delle misure
previste dalle aziende per sviluppare, utilizzare e mantenere nel tempo applicazioni
software sicure, ossia prive di vulnerabilità gravi che possono mettere in crisi
l’operatività del Business o comportare danni economici e di immagine. Oggi un
problema molto sentito è quello della realizzazione di App Mobile sicure: sia perché le
aziende hanno l’ambizione di arrivare sul mercato in tempi rapidi con App suggestive, da
far utilizzare a dipendenti o clienti sui nuovi smartphone o tablet, sia perché tutto il
mondo dei device mobile Android, iOS, BlackBerry e Windows ha dimostrato negli ultimi
anni di poter essere un veicolo per la diffusione di malware, l’utilizzo improprio di risorse
aziendali e anche la perdita/furto di dati rilevanti.
Come mostrano i risultati dell’indagine, gli aspetti di Application Security sono tenuti in
conto dai responsabili della security (solo un 10% degli intervistati non svolge alcuna
attività in questo ambito), ma soprattutto dal punto di vista della definizione di
guidelines per lo sviluppo sicuro delle applicazioni. Attività di testing/quality assurance
sono svolte soltanto da una minoranza di aziende (43%). Quella che pare molto grave è
la scarsa propensione (riguarda soltanto un 17% delle aziende) a verificare la sicurezza
delle applicazioni esposte su Internet. Considerando che sempre più spesso le
applicazioni aziendali sono “aperte al Web”, è evidente che la mancanza di misure
specifiche rappresenta una falla molto grave nelle policy di security.
Figura 13: Attività di Application Security
Domanda: Quali attività per l’Application Security svolgete?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112
10%
9%
17%
18%
21%
34%
43%
52%
0% 20% 40% 60%
Non svolgiamo nessuna attività di Application Security
La soluzione per i test di sicurezza e' integrata con l’ambiente di sviluppo
Scanning di applicazioni esposte su Internet
Utilizzo di servizi esterni per verificare la sicurezza delle applicazioni aziendali
Utilizzo di strumenti per testare internamente la sicurezza applicativa
Policy di security assessment di software sviluppato da terzi
Testing/quality assurance in fase di rilascio applicativo
Definizione di guidelines interne per lo sviluppo più sicuro delle applicazioni
Sempre più spesso le
applicazioni aziendali
sono “aperte al
Web”, è evidente che
la mancanza di
misure specifiche
rappresenta una falla
molto grave nelle
policy di security.
© The Innovation Group - 2013 | 21
Approccio Delle Aziende Italiane Alla Cybersecurity
Gli attacchi alle applicazioni Web sono oggi tra le metodologie preferite dagli hacker,
anche perché dalle applicazioni si arriva fino ai dati di back-end e quindi alla possibilità di
entrare in possesso di informazioni critiche (ad esempio tramite SQL Injection, ad oggi la
metodologia di attacco più diffusa secondo diverse fonti). Come sarà mostrato in
seguito, le aziende si dotano spesso di appliance specifiche per la protezione delle
applicazioni Web (Web Application Firewall, adottate dal 72% delle aziende secondo la
nostra indagine).
Anche per quanto riguarda il software acquistato, non sono utilizzate se non in una
minoranza di aziende (il 34%) policy specifiche per avere garanzia dai vendor che il
software sia privo di vulnerabilità. Considerando che sempre più spesso il software
aziendale è sviluppato da terze parti, non aver previsto test preventivi formalizzati nel
contratto di acquisto del software comporta un’assunzione di rischio da parte delle
organizzazioni. A livello internazionale si osserva invece una crescita di interesse per
programmi di assessment del software rivolti alle terze parti4.
Soluzioni di Cybersecurity adottate e previste
Come mostra la figura successiva, le aziende hanno adottato negli ultimi anni una
miriade di tecnologie di Cybersecurity che - a diversi livelli e in modo molto specialistico -
rispondono a singoli aspetti al problema più ampio della riduzione del rischio
informatico. Tradizionalmente l’antivirus, poi evoluto verso suite di endpoint protection
inglobando altri aspetti (antispam, antiphishing, DLP) e gli apparati posizionati ai confini
della rete aziendale (firewall, VPN) hanno rappresentato la prima barriera contro le
minacce. Al crescere dei rischi, l’adozione di nuove soluzioni (web application firewall,
gateway per web security ed email security, data loss prevention, encryption e
quant’altro) sono andate via via diffondendosi.
Oggi la figura mostra un buon livello di protezione da più punti di vista, oltre che tassi di
crescita dell’adozione per numerose categorie di prodotti, elemento che conferma le
stime di crescita del mercato della Cybersecurity nel suo complesso.
Dove si nota invece una potenziale debolezza delle aziende italiane è nell’ambito della
Security Intelligence (SIEM/Log management/Event Correlation), con soltanto un 60%
delle aziende che si è dotata di queste soluzioni. La possibilità di tenere sotto controllo
gli ambienti di security, governare e misurare il proprio livello di risposta alle minacce,
passa infatti attraverso consolle unitarie di gestione e analisi degli eventi. Data anche la
complessità raggiunta dalle architetture di security, è evidente che solo un controllo
centralizzato, automatizzato, multivendor e standard-based di raccolta e analisi dei dati
collegati agli eventi può permettere un livello di protezione adeguato.
4 Five Best Practices of Vendor Application Management, WhitePaper, Veracode, settembre 2012
© The Innovation Group - 2013 | 22
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 14: Soluzioni di Cybersecurity adottate e previste
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=110.
Affrontare i nuovi r ischi associati a Cloud, Mobil ity e Social
Media
La diffusione di servizi Cloud, dei device Mobile, l’utilizzo di Social Media all’interno o al
di fuori dai confini aziendali, oltre che in generale tutto quanto va sotto l’ambito dell’IT
Consumerization (tecnologie e servizi Web diventati popolari nell’IT Consumer che
passano poi ad essere utilizzati anche in ambito enterprise), crea sfide rilevanti dal punto
di vista della gestione della security.
Come abbiamo verificato con una precedente ricerca (svolta da The Innovation Group
nel gennaio 2013, relativa in particolare al tema della Mobility e del BYOD5) oggi soltanto
un terzo delle aziende italiane considera il tema dell’IT Consumerization e del BYOD
come un’opportunità aziendale, ad esempio per ridurre i costi della Mobility, che pure
sono in continua crescita.
5 Elena Vaciago. Quali strategie per il BYOD? The Innovation Group, febbraio 2013
30%
45%
46%
50%
60%
62%
71%
72%
79%
92%
94%
96%
97%
11%
8%
12%
10%
9%
9%
7%
3%
8%
4%
3%
4%
3%
59%
46%
42%
40%
31%
29%
22%
25%
13%
0% 20% 40% 60% 80% 100%
Soluzioni anti-APTs
Messaging security
Data Loss Prevention/encryption
Sender reputation/whitelisting
SIEM/Log management/event correlation
Identity control (role management)
Business continuity/High Availability
Web Application Firewall
Intrusion prevention/detection (IPS/IDS)
Backup/recovery
Access control
Network Technologies - firewall, etc.
Anti Malware (antivirus, antispam)
2012 2013 Non previsto
© The Innovation Group - 2013 | 23
Approccio Delle Aziende Italiane Alla Cybersecurity
Le aziende dovrebbero maturare maggiore consapevolezza su quale può essere un utile
contributo di questi fenomeni se allineati ai bisogni effettivi della singola realtà. Ad oggi
il tema della protezione dei dati e degli asset interni dai rischi collegati a Cloud, Mobile e
Social Media si traduce principalmente in regole e prassi interne, pensate da un lato per
elevare l’Awareness delle persone su questi aspetti, dall’altro lato per predisporre
misure, processi e controlli collegati agli effettivi utilizzi.
Figura 15: Policy e misure relative ai nuovi rischi di Cybersecurity
Domanda: Avete definito policy e misure per la sicurezza di …
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=109
Per quanto riguarda invece le misure di security specifiche per l’ambito dei Social Media,
dalla presente indagine emerge che le aziende italiane hanno cominciato ad applicare
alcune misure, ma in percentuali molto basse. Un uso non conforme dei Social Media
può comportare numerose problematiche a livello aziendale. La commistione tra
l’utilizzo aziendale e personale dei siti social aumenta il rischio che opinioni personali
vadano a ledere l’immagine dell’azienda, o le reti interne possano essere più facilmente
attaccate tramite malware scaricato da siti social. Circa un 34% di aziende afferma di
avere soluzioni di security assessment per la navigazione online, o di poter rilevare,
tramite misure ad hoc, l’accesso ai siti social. Va osservato però che queste forme di
controllo effettuate sulla rete aziendale non sono in grado di proteggere tutte le
situazioni, dal momento che sempre più spesso gli utenti si collegano ai siti social da
mobile.
27%
35%
38%
51%
39%
67%
14%
24%
6%
9%
17%
11%
60%
41%
56%
39%
43%
22%
0% 20% 40% 60% 80% 100%
Utilizzo personale di servizi Cloud (BYOS, Bring Your Own Software)
Utilizzo aziendale di servizi Cloud
Utilizzo personale di Social Media
Utilizzo aziendale di Social Media
Utilizzo personale di device e App Mobile (BYOD)
Utilizzo aziendale di device e App Mobile
Si’ Non ancora ma previsto No e non previsto
© The Innovation Group - 2013 | 24
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 16: Misure di Security specifiche per i Social Media
Domanda: Con riferimento ai rischi di sicurezza associati all'utilizzo di Social Media, quale
situazione corrisponde alla vostra azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=107
Pochissime aziende poi verificano con attenzione gli agreement sottoscritti al momento
dell’iscrizione. Questa problematica riguarda chi utilizza i Social Media per il business, e
quindi ad esempio registra una pagina social aziendale su Facebook o altri siti. Non fare
attenzione agli agreement sottoscritti al momento dell’iscrizione può comportare la
perdita per le aziende di alcuni diritti sulla proprietà dei contenuti che saranno caricati
sui siti.
Per quanto riguarda la percezione che le aziende hanno della sicurezza offerta dai Cloud
provider, la figura successiva mostra in generale un livello elevato, con giudizi per lo più
positivi – con l’eccezione soltanto di un aspetto, la possibilità che il Cloud provider
fornisca garanzie su una localizzazione dei dati corrispondenti alle norme. L’impressione
che fornisce la figura è che con l’utilizzo di servizi Cloud le aziende trasferiscono la
responsabilità su processi e tecnologie di Cybersecurity ai loro fornitori.
24%
6%
23%
27%
34%
0% 10% 20% 30% 40% 50%
Nessuna delle precedenti misure
Siamo attenti agli agreement sottoscritti nell'iscrizione ai Social Media
Abbiamo un sistema di Security Assesment dedicato ai Social Media
Siamo dotati di un sistema di rilevazione degli accessi ai sistemi Social
Abbiamo un sistema di Security Assesment dedicato alla navigazione
Online
© The Innovation Group - 2013 | 25
Approccio Delle Aziende Italiane Alla Cybersecurity
Figura 17: Opinioni sulla Security nel Cloud
Domanda: Con riferimento ai servizi Cloud pubblici, quanto siete d'accordo con le seguenti
affermazioni?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=107
40%
55%
56%
60%
61%
75%
79%
60%
45%
44%
40%
39%
25%
21%
0% 20% 40% 60% 80% 100%
I CSP permettono ai clienti di scegliere dove localizzare i dati
I CSP mettono a disposizione sistemi di encryption di data-in-transit o data-at-rest
I CSP mettono a disposizione meccanismi per mantenere separati dati di clienti
diversi
I CSP sottostanno a regolamentazioni, audit e controlli in ambito Data Security
I CSP offrono garanzie sul Data Removal in caso di cessazione del servizio
I CSP prevedono tecniche sicure di accesso ai dati da parte dei clienti
I Cloud Service Provider (CSP) offrono meccanismi di data backup e recovery
Sempre o abbastanza spesso Poco o per niente
© The Innovation Group - 2013 | 26
Nota Metodologica
Nota Metodologica
Sono riportate di seguito le caratteristiche del campione utilizzato per la survey.
L’indagine è stata svolta, in parte con interviste telefoniche dirette e in parte con survey
online, tra marzo e aprile 2013. Ha coinvolto 115 aziende dei diversi settori verticali, con
una prevalenza di realtà del mondo manifatturiero (29 aziende), della pubblica
amministrazione e sanità (25), del settore finanziario (13) e delle utilities (12). Con
riferimento al settore finanziario, non si tratta di grandi gruppi bancari ma piuttosto di
banche di media dimensione, assicurazioni e intermediari finanziari. Il mondo utilities
comprende anche operatori Oil&Gas e numerose municipalizzate.
Figura 18: Settore delle aziende del campione
Domanda: In quale settore opera la sua azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Con riferimento alla dimensione delle aziende nel campione, si ha una distribuzione su
più classi, ma per lo più concentrata su aziende di media dimensione (con 65 casi tra i 51
e i 1.000 addetti) e di grande dimensione (42 casi di aziende con oltre 1.000 addetti, fino
a oltre 10.000 addetti, come mostra la figura successiva). La classe delle piccole imprese,
con meno di 50 addetti, conta soltanto 8 casi, che non possono quindi essere assunti
come significativi della realtà delle piccole aziende. Invece la rappresentatività delle
medie e grandi è sufficiente per elaborare considerazioni generali per queste tipologie di
aziende.
Banche/Finanza 9%
Assicurazioni 3%
Utility 10%
Trasporti/Logistica 7%
Commercio, Distribuzione
9% Servizi
4% Industria
25%
TLC/Media 4%
Settore Pubblico 15%
Information Technology
2%
Sanità 7%
Turismo 2% Costruzioni
3%
© The Innovation Group - 2013 | 27
Nota Metodologica
Figura 19: Dimensione delle aziende del campione
Domanda: Qual è il numero di dipendenti della sua azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
Hanno risposto all’indagine responsabili aziendali con diversi ruoli, dal direttore generale
al responsabile IT, alle figure specialistiche e i manager dedicati alla security. Veniva
intervistato di volta in volta chi rispondeva in azienda delle scelte collegate al Security
Management. Si nota che nella maggior parte dei casi questo ruolo è affidato al CIO o al
responsabile dei sistemi informativi (49% delle risposte) ma in un 28% delle aziende
contattate hanno risposto figure con ruolo e responsabilità specifiche, ossia CSO/CISO
oppure Security Manager. Nei restanti casi (escludendo le risposte relativi ai
CEO/direttori generali) si è parlato con figure tecniche come security engineer/analyst e
consultant, che rispondevano direttamente al CIO.
Figura 20: Ruolo dell’intervistato
Domanda: Qual è il suo ruolo in azienda?
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115
11-50 7%
51-100 9% 101-200
9%
201-500 21%
501-1000 18%
1.001-5.000 19%
5.001-10.000 8%
10.001+ 9,6%
CEO/AD/Direttore Generale
11%
Chief Information
Officer (CIO) o Direttore IT
49%
Chief Security Officer (CSO)/
Chief Information
Security Officer (CISO)
8%
Security Manager
20%
Security engineer/analyst/consultant/ad
ministrator 12%
© The Innovation Group - 2013 | 28
Aziende italiane e Cloud Security
Concludiamo lo studio con 3 interventi specialistici su tematiche che sono state citate, relative alla Cloud Security; al tema delle misure per la Digital Forensics; agli aspetti legati alla Sicurezza delle Infrastrutture Critiche.
Le aziende ital iane e i l tema della Cloud Security
Intervista a Alberto Manfredi, Presidente di Cloud Security Alliance Italy
CSA (Cloud Security Alliance)è un’associazione internazionale no-profit nata negli USA
nel 2009 con lo scopo di promuovere l’uso di best practices che consentano di sviluppare
ed utilizzare in sicurezza tutte le forme del Cloud Computing (infrastrutture, piattaforme
e applicazioni). Con tali obiettivi l’associazione si rivolge sia al consumatore che al
fornitore di servizi Cloud coinvolgendoli, su base volontaria, in gruppi di ricerca (ad oggi
ne sono stati attivati più di 20) per produrre delle guide specifiche, disponibili
gratuitamente, tra cui citiamo quelle su Mobile, GRC, Audit, CERT, Big Data e la famosa
Cloud Security Guidance ormai giunta alla sua versione 3.06. Ad oggi l’associazione conta
più di 45.000 soci individuali, 160 soci aziende e più di 20 associazioni affiliate ed ha filiali
operative sia in EMEA che APAC.
L’associazione CSA Italy Chapter e` uno dei 60 capitoli nazionali che oltre a promuovere
la cultura della sicurezza Cloud svolge anche delle attività di ricerca specifiche per il
mercato italiano. In particolare sono attive tre aree di ricerca (Portabilità –
Interoperabilità - Sicurezza Applicativa, Privacy & Legal nel Cloud, Traduzioni) che
nell’ultimo anno hanno prodotto 4 pubblicazioni7 ed una risposta ad una consultazione
pubblica del Garante per la protezione dei dati personali (Data Breach).
“Come emerge dall’indagine di TIG, presentata nel capitolo successivo, solo il 35%
delle aziende italiane afferma di avere delle policy e delle misure per la sicurezza per il
Cloud ad uso aziendale. Meno che per i social media (50%) e la mobility (70%). Cosa ne
pensa? Cosa cambia per le aziende con il Cloud nel gestire la sicurezza?”
Per risponderle partirei da alcune considerazioni storiche. Il termine smartphone è stato
coniato da Ericsson nel 1997 con il suo modello GS 88 “Penelope” mentre i Social Media
sono nati con il “Web” come evoluzione delle BBS (Bulletin Board Systems), inizialmente
con servizi quali Geocities (1994, acquisita poi da Yahoo) per arrivare a Google (1998),
Linkedin e Myspace (2003), Facebook, (2004), Twitter (2006)8.
Il Cloud Computing “moderno” (per distinguerlo dalle tecnologie e modi d’uso su cui si
fonda, in particolare virtualizzazione e grid computing) nasce di fatto nel 2006 con i
servizi Elastic Cloud di Amazon Web Services (2006) a cui si aggiungono quelli di Google
Apps nel 20099. Il Cloud Computing sembrerebbe quindi una delle ultime “tecnologie”
(e’ questa la prima percezione) che cerca di entrare nelle nostre aziende. Tuttavia oggi
rileviamo come lo smartphone sia lo strumento preferito di accesso ai contenuti delle
piattaforme social e queste ultime possano ormai essere considerate dei servizi Cloud.
6 Per la lista completa delle ricerche attivate consultare la pagina cloudsecurityalliance.org/research/
7 cloudsecurityalliance.it/area-downloads/
8 www.uncp.edu/home/acurtis/NewMedia/SocialMedia/SocialMediaHistory.html
9 www.computerweekly.com/feature/A-history-of-cloud-computing
© The Innovation Group - 2013 | 29
Aziende italiane e Cloud Security
In realtà, il Cloud Computing non è una nuova tecnologia e non dovrebbe essere gestito
come tale, ma può essere considerato un nuovo aggregatore di tecnologie e modalità di
utilizzo di utenti-consumer (ormai sempre “connessi”) che mette in risalto l’ormai
inscindibile relazione tra Persone, Processi e Tecnologie.
Nelle aziende diventa quindi necessario armonizzare le policy IT e di sicurezza sui temi
Cloud, Mobile e Social con una logica di inclusione delle nuove tecnologie ed abitudini
digitali dei lavoratori-consumer se vogliamo cogliere gli indubbi vantaggi per il business,
minimizzare i rischi e, perché no, aumentare la soddisfazione e produttività dei nostri
collaboratori.
“Secondo le aziende una percentuale tra il 40% e il 60% dei Cloud Service Provider
(CSP) offrono servizi Cloud con le caratteristiche necessarie per considerarli sicuri: cosa
devono chiedere ai fornitori le aziende e che cosa i fornitori devono predisporre per
essere dei CSP sicuri e affidabili?”
Se questo nuovo paradigma porta indubbi vantaggi su costi di gestione e fruibilità di dati
e applicazioni, riporta anche all’attenzione gli aspetti di sicurezza e privacy. Basti pensare
ai temi della localizzazione del dato, della responsabilità del trattamento, della business
continuity, della compliance, della sicurezza delle VM/Hypervisor, della cancellazione del
dato, della portabilità dei dati (solo per citarne alcuni).
Questi punti di attenzione (che rappresentano delle potenziali vulnerabilità) sono ormai
noti anche alla criminalità informatica che già nell’ultimo anno ha aumentato gli attacchi
verso il settore Online Service e Cloud (che include i Social Networks) con un tasso di
crescita superiore al 900%10
.
Per facilitare il dialogo tra domanda ed offerta nel mercato del Cloud, CSA ha lanciato
nel 2011 un’iniziativa chiamata CSA Security, Trust & Assurance Registry (STAR)11
che ha
l’obiettivo di incoraggiare i CSP a fornire adeguate informazioni ai potenziali clienti
sull’implementazione di misure di sicurezza a supporto della propria offerta cloud. I
fornitori possono aderire a questa iniziativa su base volontaria rispondendo, con il
supporto di CSA, ad una serie di domande negli ambiti Compliance, Data Governance,
Facility Security, HR Security, Information Security, Legal, Operation Management, Risk
Management, Release Management, Resiliency, Security Architecture. Il fornitore redige
quindi un rapporto che viene reso disponibile su un apposito registro pubblico12
.
Dal 2013 l’iniziativa CSA STAR sarà parte integrante di uno schema di certificazione
volontaria per CSP chiamato Open Certification Framework che prevederà un primo
livello di autovalutazione con STAR, un secondo livello di audit e certificazione di terza
parte (integrato con ISO 27001 e AICPA SSAE16-SOC2) ed un terzo livello di “continuous
monitoring”, ovvero la verifica dei livelli di servizio e sicurezza con meccanismi di audit
real time13
.
10 Rapporto Clusit 2013 sulla sicurezza ICT in Italia (www.clusit.it)
11 cloudsecurityalliance.org/star/
12 cloudsecurityalliance.org/star/registry/
13 cloudsecurityalliance.org/research/grc-stack/
Per facilitare il
dialogo tra domanda
ed offerta nel
mercato del Cloud,
CSA ha lanciato nel
2011 un’iniziativa
chiamata CSA
Security, Trust &
Assurance Registry
(STAR) che ha
l’obiettivo di
incoraggiare i CSP a
fornire adeguate
informazioni ai
potenziali clienti.
© The Innovation Group - 2013 | 30
Digital Forensics E Misure Difensive
Per i fornitori di servizi di consulenza e progettazione in ambito Cloud CSA ha anche
definito il primo profilo professionale di esperto in sicurezza Cloud (certificazione
CCSK)14
.
Pertanto, per mantenere le sue promesse di maggiore affidabilità, efficienza e sicurezza,
il Cloud Computing richiede l’instaurazione di un nuovo rapporto tra consumatore e
fornitore fondato sulla trasparenza, senza il quale prevalgono ancora i modelli
“tradizionali” di acquisto dei servizi ICT (con installazioni HW/SW on premises) e si
preclude l’accesso alle enormi potenzialità e benefici che può offrire il mercato Cloud, in
particolare per la piccola e media impresa (agilità, riduzione costi, qualità del servizio).
Digital Forensics e Misure di fensive messe in atto dalle aziende
Intervista a Giuseppe Vaciago, Avvocato penalista esperto in ICT Law
Come avviene ad oggi l’acquisizione di prove legali (Digital Evidence) contro potenziali
cyber crime?
All’interno di un contesto aziendale è possibile acquisire prove digitali che sia stato
commesso un cyber crime o un’altra tipologia di illecito, ma è importante sapere che
tale acquisizione deve avvenire nel rispetto di procedure tecniche che garantiscano la
piena utilizzabilità della digital evidence raccolta. Per questa ragione è importante che
una società abbia previsto procedure di Digital Forensics, materia che disciplina le
attività finalizzate a preservare eventuali prove digitali da depositare in giudizio,
garantendo che non siano alterate.
Oggi assistiamo a numerosi illeciti: società che rimangono vittima di accessi abusivi da
parte di società concorrenti oppure con al proprio interno dipendenti che commettano
illeciti sottraendo informazioni dai sistemi ICT. In entrambe le ipotesi, è necessario che i
vertici della società intervengano immediatamente, poiché l’estrema volatilità del dato
digitale impone che siano svolte alcune operazioni preliminari finalizzate alla
cristallizzazione di eventuali prove.
Nella prassi di molte realtà aziendali italiane, in queste circostanze, viene contattato
l’amministratore di sistema che, se da un lato può essere in grado da un punto di vista
tecnico di porre in essere le opportune verifiche e investigazioni preliminari, dall’altro
lato potrebbe non avere le competenze in ambito di Digital Forensics e quindi rischiare
di alterare una prova che invece potrebbe essere di fondamentale importanza in un
futuro giudizio.
A livello legale sono ammissibili sia le indagini difensive (introdotte dalla legge 397/00 e
svolte da un legale esterno alla società) sia anche una più generica attività investigativa,
volta comunque a far valere un diritto in sede giudiziaria.
Qualora sia necessario svolgere un’indagine difensiva su un’eventuale illecito commesso
all’interno della società è sicuramente preferibile, ove sia consentito, adottare le indagini
difensive previste dal codice di procedura penale (art. 327-bis e 391-bis e ss. c.p.p.).
14 cloudsecurityalliance.org/education/ccsk
All’interno di un
contesto aziendale è
possibile acquisire
prove digitali che sia
stato commesso un
cyber crime o un’altra
tipologia di illecito,
ma è importante
sapere che tale
acquisizione deve
avvenire nel rispetto
di procedure tecniche
che garantiscano la
piena utilizzabilità
della digital evidence
raccolta.
© The Innovation Group - 2013 | 31
Digital Forensics E Misure Difensive
Quali procedure di Digital Forensics devono prevedere le aziende per tutelarsi il più
possibile contro eventuali illeciti?
A livello tecnico le 4 regole fondamentali su cui si fonda la Digital Forensics sono:
Integrità del dato: quando si effettua un’indagine su un dato digitale (da una singola email, all’intero contenuto del server di una società), è importante garantire che la prova sia autentica e non modificata.
Affidabilità: tale requisito viene soddisfatto quando il sistema informatico nel suo complesso è sicuro. In questo caso, le informazioni prodotte possono anch’esse essere considerate ragionevolmente degne di fiducia.
Catena di custodia (Chain of custody): come avviene nelle indagini tradizionali, tracciare la catena di custodia - ossia fornire evidenza dei vari passaggi che ha fatto il singolo dato digitale - è essenziale per garantire la massima “tenuta” durante l’eventuale giudizio.
Protezione fisica dei dati: tutti i dati recuperati dal sistema compromesso devono essere assicurati fisicamente in un luogo sicuro all’interno dell’azienda o anche all’esterno della realtà aziendale.
Si raccomandano in particolare le seguenti azioni:
Copia Bit-stream: prima di iniziare ogni tipo di indagine è opportuno procedere ad una copia bit-stream del supporto di memorizzazione. La copia bit-stream è una sorta di “clonazione” del supporto di memorizzazione che preserva anche l’allocazione fisica dei singoli file oltre che la loro posizione logica.
Impronta di Hash: è una funzione univoca operante in un solo senso (ossia, non può essere invertita), attraverso la quale un documento di lunghezza arbitraria è trasformato in una stringa di lunghezza fissa, relativamente limitata. Tale stringa, che rappresenta una sorta di “impronta digitale” del testo in chiaro, è definita valore di Hash o Message Digest. Sta a indicare qualsiasi eventuale alterazione del documento anche minima, perché in tal caso si ha una modifica dell’impronta. In altre parole, calcolando e registrando l’impronta, e successivamente ricalcolandola, è possibile dimostrare se i contenuti di un file, oppure del supporto, hanno subito o meno modifiche, anche solo accidentali.
Quali sono le caratteristiche principali degli strumenti software di Digital Forensics?
I software più utilizzati per svolgere attività di Digital Forensics possono essere
facilmente reperiti in rete sia in versione open source15
sia closed source16
. Prevedono
numerosi strumenti di particolare utilità per le attività di monitoraggio e di sorveglianza,
tra cui:
Software di data recovery: consentono il recupero dei dati presenti, cancellati o danneggiati da memorie di massa.
15 Tra i software open source una delle distribuzioni più note è DeftLinux (http://www.deftlinux.net)
16 Tra i software closed source, il più noto è sicuramente Encase Enterprise
(http://www.guidancesoftware.com/encase-enterprise.htm)
© The Innovation Group - 2013 | 32
Digital Forensics E Misure Difensive
Software di data carving: permettono la ricostruzione, ove possibile, di un file danneggiato attraverso il recupero di porzioni dello stesso file.
Software di packet-sniffing: permettono di svolgere un’attività di intercettazione passiva dei dati che transitano in una rete telematica.
Tali attività possono essere svolte sia per scopi legittimi (ad esempio l'analisi e
l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi
illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Ne
consegue che, come sempre, è opportuno valutare quali siano i limiti previsti dalla legge
italiana all’utilizzo di questi strumenti.
Esistono limiti legali ai controlli e alle misure preventive che possono essere
predisposte in azienda?
L’uso (che talvolta sfocia in abuso) dell’informatica nel contesto aziendale genera non
solo i classici rischi ormai noti anche ai non addetti al lavoro (dagli attacchi informatici
volti allo spionaggio industriale, al furto o al danneggiamento dei dati digitali), ma
comporta sempre di più la necessità di adottare modelli organizzativi in grado di
prevenire la commissione di cyber crimes o di reati comunque connessi all’uso delle
nuove tecnologie.
Il rispetto delle misure di sicurezza previste dal Codice Privacy17
, non è sempre
sufficiente a garantire una vera protezione e diventa necessario adottare procedure e
utilizzare strumenti in grado di controllare ogni tipo di anomalia all’interno del sistema
informatico. Tali strumenti di controllo possono prevedere ad esempio le seguenti
attività:
Monitoraggio della navigazione Web, compreso l’utilizzo di social network.
Controllo dei messaggi di posta elettronica effettuati dal dipendente nell’esercizio della sua attività lavorativa.
Clonazione dell’hard disk del dipendente, al fine di verificare la commissione di un eventuale illecito.
Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto della normativa in
vigore a tutela della privacy dei lavoratori. Molto spesso, infatti, accade che i controlli
eccedano i limiti previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati dagli
articoli 113 e 114 del Codice Privacy. Per questo motivo, il Garante della Privacy ha
richiesto che il datore di lavoro rispetti i seguenti principi:
Necessità: i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e identificativi dei dipendenti.
Correttezza: le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
Pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (ad esempio per scopi difensivi, in caso di illecito commesso ai danni di una società).
17 Art. 34, D.lgs. 196/03
© The Innovation Group - 2013 | 33
Digital Forensics E Misure Difensive
Il datore di lavoro deve anche adottare le seguenti misure di tipo organizzativo:
Indicare chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione e con quali modalità vengano effettuati controlli.
Predisporre e pubblicizzare una policy interna rispetto al corretto uso degli strumenti informatici e agli eventuali controlli da sottoporre ad aggiornamento periodico.
Predisporre un’adeguata informativa ai sensi dell’art. 13 del Codice Privacy con la quale avvisare il dipendente circa l’attività di controllo alla quale è soggetto.
In ogni caso, il datore di lavoro non può procedere in modo sistematico ai seguenti
controlli:
Lettura e registrazione dei messaggi di posta elettronica, al di là di quanto tecnicamente necessario per garantire il servizio e-mail aziendale.
Riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal lavoratore.
Lettura e registrazione dei caratteri inseriti tramite la tastiera di un personal computer (keylogger).
Analisi occulta di computer portatili affidati in uso al dipendente.
Tuttavia, nel momento stesso in cui ricorrano i presupposti dell’esercizio legittimo di un
diritto in sede giudiziaria (c.d. “controllo difensivo”), il datore di lavoro può, in casi
eccezionali, superare i divieti sopracitati a patto che:
Sia stato stipulato un accordo con le rappresentanze sindacali o, in assenza di questo, con l’ispettorato del lavoro (art. 4 Statuto dei Lavoratori) circa le modalità del controllo.
Sia in grado di dimostrare che lo strumento di controllo utilizzato fosse da ritenersi indispensabile, nel senso di costituire l'ultima risorsa utilizzabile al fine di evitare danni o pregiudizi agli interessi dell'impresa, di terzi o degli stessi lavoratori.
Alla luce di quanto descritto, si può concludere che le indicazioni fornite dal Garante
della Privacy in tema di controllo “tecnologico” del dipendente non rendono sempre
facile lo svolgimento di un’attività di internal investigation compliant da un punto di vista
legale. Tuttavia, è anche vero che la prova raccolta violando le disposizioni in materia di
privacy, potrà comunque essere utilizzata sia per fini disciplinari nei confronti del
dipendente, sia in sede giudiziaria per instaurare un procedimento civile o penale.
© The Innovation Group - 2013 | 34
Sicurezza Delle Infrastrutture Critiche
Polit iche europee e nazionali per la sicurezza delle Infrastrutture
Crit iche
A cura di Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security
Center
Il tema delle Infrastrutture Critiche e della Cybersecurity sono sempre più spesso
affrontati congiuntamente. Di fatto, buona parte delle strategie nazionali di
Cybersecurity dedicano un’area di attenzione particolare al tema della Protezione delle
Infrastrutture Critiche. Questa associazione è evidentemente dovuta all’oramai
onnipresenza dei sistemi ICT all’interno delle Infrastrutture Critiche. Non solo: il loro
ruolo nell’erogazione dei servizi è divenuto critico, per cui malfunzionamenti, avarie o
sabotaggi possono avere impatti rilevanti.
Di fatto tutti i servizi critici di un paese oggi vengono erogati attraverso l’uso di avanzati
sistemi ICT, i cui malfunzionamenti o sabotaggi possono avere impatti rilevanti. Si prenda
ad esempio il sistema elettrico: sebbene i sistemi ICT vengano impiegati per migliorare le
capacità di comando e controllo, e sebbene alcuni sistemi elettrici possano tollerare di
operare in assenza di sistemi ICT, una loro compromissione intenzionale potrebbe avere
effetti rilevanti sulla continuità operativa del servizio. Per non parlare delle nuove
“Smart Grid”, per le quali l’ICT è una componente imprescindibile: un non corretto
funzionamento di tali sistemi porterebbe all’impossibilità di erogare il servizio o ancor
peggio a situazioni anche potenzialmente pericolose per gli operatori e i clienti.
In Italia, il tema delle Infrastrutture Critiche è divenuto popolare a seguito delle
discussioni avviate nel novembre 2005 dalla Commissione Europea con la pubblicazione
del Green Paper18
su un “Programma Europeo per la Protezione delle Infrastrutture
Critiche”. Sebbene già al tempo ci fosse da parte della Commissione Europea la
consapevolezza dell’importanza dell’ICT e delle nuove minacce emergenti, il Green Paper
non parla di Information Security, si limita a definire in modo molto modesto che cosa
siano le “Critical Information Infrastructures”, relegandole ad un paragrafo o poco più
dell’appendice. Anche la direttiva pubblicata l’8 dicembre 200619
non solo non fa
esplicito riferimento all’Information Security, ma non include tra i settori critici quello
dell’ICT. Una delle motivazioni addotte riguarda la complessità del settore, pertanto
l’Unione Europea ha ritenuto più opportuno non includere questo settore. Anche per i
settori presi in considerazione dalla direttiva, gli aspetti di Information Security non sono
sostanzialmente toccati.
18 COM(2005) 576 Final del 17/11/2005
19 Direttiva 2008/114
© The Innovation Group - 2013 | 35
Sicurezza Delle Infrastrutture Critiche
L’Italia ha recepito la direttiva europea con il Decreto Legislativo dell’11 aprile 2011,
n. 6120
, non introducendo però alcuna novità rispetto alla Direttiva Europea. Va
precisato che la direttiva europea si riferisce esclusivamente a quelle che sono definite
“European Critical Infrastructure” (ECI), ovvero Infrastrutture Critiche Europee; si tratta
di quelle infrastrutture degli stati membri la cui compromissione può avere impatti
transfrontalieri su uno o più paesi membri. Non definisce però cosa vada considerata
un’Infrastruttura Critica, pertanto ogni stato membro sta procedendo autonomamente
nella definizione dei criteri e nell’individuazione di tali infrastrutture.
Poiché la direttiva non indirizza temi di Information Security, la Commissione Europea ha
pubblicato nel 2009 una comunicazione sulla Protezione delle Infrastrutture Critiche
Informatizzate (Critical Information Infrastructure Protection)21
, la quale si focalizza sulla
protezione dell’Europa da cyber attacchi attraverso l’innalzamento della sicurezza nelle
Infrastrutture Critiche. Il 29 aprile 2009 a Tallinn la Commissione Europea ed i
rappresentanti degli Stati Membri si sono incontrati e hanno discusso il tema
dell’“Information and Network Security”, ottenendo il sostegno degli stati membri. Di
fatto l’unico impegno assunto è la costituzione dei “CERT Nazionali”. Nel maggio del
2010 l’Unione Europea ha avviato i lavori dell’“Agenda Digitale Europea”22
, nella quale la
Cybersecurity è stata inserita come uno degli elementi fondamentali per una strategia
digitale europea. Sebbene non ci sia un vero e proprio focus sulle infrastrutture critiche,
l’Agenda Digitale ha delineato attraverso i suoi principi ed il piano di azioni, ciò che poi
sarà la struttura portante della Strategia Europea del 2013 e la bozza di direttiva.
La pubblicazione di questi due documenti, avvenuta nel febbraio del 2012, è il primo
vero passo verso la definizione di norme e di azioni per innalzare il livello di Network and
Information Security nelle Infrastrutture Critiche e più in generale, nelle organizzazioni
pubbliche e private degli stati membri. Che cosa implica la strategia europea per l’Italia?
Di fatto molto poco. L’Europa segue il principio di sussidiarietà, per cui si limita a
indirizzare quei temi di interesse europeo, ma da una prospettiva di completamento
rispetto alle strategie nazionali. Il vero problema della Strategia di Cybersecurity
dell’Unione Europea è che non indirizza quegli aspetti chiave utili ai paesi membri,
creando una Europa a più velocità: da una parte i paesi maturi che hanno non solo
definito una propria strategia di Cybersecurity, ma che hanno già sviluppato capabilities
avanzate e dedicato risorse ed investimenti; dall’altra quei paesi che non hanno un forte
committment del governo e che indirizzano la Cybersecurity in modo tattico e
destrutturato. L’Italia ha visto recentemente la pubblicazione di un Decreto del
Presidente del Consiglio dei Ministri (24 gennaio 2013). Il decreto definisce un modello
organizzativo per la Cybersecurity, attribuendo le varie responsabilità a diversi organi e
istituzioni. Non definisce però né le priorità, né il piano di azione, elementi decisivi di una
Strategia Nazionale.
20 “Attuazione della Direttiva 2008/114/CE recante l’individuazione e la designazione delle infrastrutture
critiche europee e la valutazione della necessità di migliorarne la protezione”, pubblicato in Gazzetta Ufficiale n. 102 del 4 Maggio 2011. 21
COM(2009)149 22
COM(2010)245
Nel maggio del 2010
l’Unione Europea ha
avviato i lavori
dell’“Agenda Digitale
Europea” , nella
quale la
Cybersecurity è stata
inserita come uno
degli elementi
fondamentali per una
strategia digitale
europea.
© The Innovation Group - 2013 | 36
Sicurezza Delle Infrastrutture Critiche
E le infrastrutture critiche italiane? Rimangono un problema aperto, tutto da indirizzare.
Il loro livello di complessità e l’impatto di eventuali anomalie e compromissioni è così
alto da rendere la loro sicurezza una priorità per il paese. Purtroppo ad oggi la loro
protezione è demandata completamente agli operatori, i quali definiscono le priorità in
base alla loro percezione del rischio ed in base alle priorità dettate dal Business. Molti di
questi operatori hanno ancora un approccio alla Cybersecurity di tipo “tattico”, ovvero
legata alla mera implementazione di tecnologie e presidi di sicurezza nell’ambito dei
progetti. Manca ancora un approccio strategico alla Cybersecurity, guidato direttamente
dal top management, in modo consapevole ed informato. Questo implica evoluzioni
degli operatori sia in termini organizzativi che di capabilities. L’Italia dovrebbe
identificare una Autorità per la Cybersecurity, la quale dovrà lavorare insieme agli
operatori per definire nuovi livelli comuni di sicurezza, attraverso un piano di Standard
nazionali dedicati alle infrastrutture critiche. Tale Autorità dovrebbe lavorare in piena
sinergia con le controparti europee ed extraeuropee, in modo da poter beneficiare di
approcci globali, più efficaci ed efficienti per gli operatori.
© The Innovation Group - 2013 | 37
L’offerta HP in ambito Security si è arricchita negli ultimi anni di soluzioni avanzate
per la protezione dei rischi informatici, con una proposta di servizi correlata, allo
scopo di guidare e supportare le aziende durante tutte le fasi della realizzazione di
un sistema per la gestione della sicurezza delle informazioni. La piattaforma di
offerta “Security Intelligence Platform” di HP include soluzioni derivanti da
numerose acquisizioni di società leader di mercato - quali ArcSight, Fortify e
TippingPoint - e consente di indirizzare in maniera integrata e proattiva aspetti di
analisi e correlazione degli eventi, sicurezza delle applicazioni e meccanismi di difesa
dalle intrusioni in ottica end-to-end. Nello specifico, le soluzioni di security offerte
da HP sono:
Network Security: HP TippingPoint Next Generation Intrusion Prevention System (NGIPS); HP TippingPoint SSL Solutions.
Application Security: HP Fortify Software Security Center Server.
Data Security: Data Security: Atalla Payments e Data Security.
Security Intelligence: HP TippingPoint Security Management System, Arcsight Information Security.
Virtualization Security: HP TippingPoint CloudArmour.
Inoltre, HP, in qualità di Solution Provider, differenziandosi in questo senso dai
vendor propriamente di prodotti di sicurezza, mette a disposizione soluzioni end-to-
end di security volte a risolvere problematiche delle aziende, come ad esempio:
Advanced Persistent Threat: prevenire incidenti legati a minacce APT.
Cloud Security: soluzione per essere compliant alle norme e prevenire le minacce associate a infrastrutture Cloud.
Data Loss Monitoring: servizio di intelligence per proteggere i dati sensibili.
Insider Threat: soluzione per avere visibilità sulle minacce interne.
IT Risk Management e Compliance: servizio globale per essere compliant alle principali norme che impattano sulla security (SOX, PCI, FISMA, HIPAA).
Mobile Application Security: soluzione per ridurre i rischi associati all’utilizzo di terminali Mobile (iPhone, iPad and Android).
Software Security Assurance: utilizzo di servizi e tecnologie avanzate per introdurre in azienda modelli di sviluppo e test sicuro del software.
HP conta oggi più di 3.000 professionisti nelle proprie strutture di Security e un
portafoglio di servizi tecnologici, di consulenza e gestiti (Managed Security Services)
che includono una metodologia proprietaria di Risk Analysis (A.T.O.M. – Access,
Trasform, Optimize, Manage). La società si rivolge ai propri clienti sia direttamente,
sia attraverso la propria rete di partner. Ha stipulato alleanze con i principali vendor
di Security internazionali allo scopo di integrare la propria offerta di tecnologie,
nell’ottica di proporsi sul mercato come un player in grado di indirizzare qualsiasi
esigenza di Security dei propri clienti.
© The Innovation Group - 2013 | 38
IBM negli ultimi anni ha incrementato notevolmente il portafoglio dei prodotti
hardware e software di Security, grazie a una politica di acquisizioni mirate. Le
acquisizioni più recenti sono state quelle della società BigFix nel 2010, relativamente
ai prodotti di endpoint management, e Q1 Labs, nel 2011, per la soluzione QRadar di
security intelligence software. Grazie alla disponibilità di un framework complessivo
hardware, software, servizi professionali e Managed Security Services a supporto,
IBM si propone come solution provider nell’ambito della Security, in grado di
risolvere esigenze end-to-end dei propri clienti. La piattaforma IBM di soluzioni di
security copre i seguenti layer:
Application Security: soluzioni per produrre e mantenere in sicurezza le applicazioni mobile e web, costruendo layer di protezione attraverso tutte le fasi del ciclo di sviluppo e di vita del software.
Identity e Access Management: gestione delle identità (assegnazione di diritti di accesso, change management relativo a ruoli e privilegi, deprovisioning), e degli accessi (secure authentication,single sign-on (SSO), enforcement delle policy di accesso), monitoring, auditing, reporting sulle attività degli utenti.
Data Security: discovery e classificazione di dati critici, protezione dei dati (masking, encryption, monitoraggio degli accessi ai dati, compliance, protezione sia fisica sia virtuale, nel Cloud).
Infrastructure Security: piattaforma Advanced Threat Protection Platform (ATPP) relativa ad aspetti di network security (IPS appliances) e endpoint security.
Security Intelligence: soluzione QRadar, rileva in automatico potenziali vulnerabilità e azioni contrarie alle policy aziendali. Comprende funzioni analitiche e di correlazione dei dati provenienti da centinaia di fonti attraverso l’organizzazione.
Anche il portafoglio di servizi di sicurezza di IBM è molto ricco e fa riferimento al
Security Framework di IBM, sfruttando le potenzialità dei prodotti software, gli asset
e le capacità dei Security Operation Centers, dei laboratori e dei centri di ricerca, per
mettere a disposizione dei clienti funzionalità di security intelligence per essere
proattivi nell'identificazione e nella gestione degli incidenti. Tra questi citiamo
l’Emergency Response Service (ERS, per prepararsi, gestire e rispondere agli
incidenti di Cybersecurity in modo efficace); il servizio di Security Operations
Optimization (aiuta a valutare il livello delle soluzioni e dei processi di gestione della
sicurezza); i nuovi Managed Security Services focalizzati alla gestione delle
infrastrutture SIEM (Security Information and Event Management) e il nuovo servizio
gestito per la protezione da attacchi DDoS. Il modello di go-to-market IBM, che vede
in Italia una crescita degli investimenti per le soluzioni di Security, è misto, in parte
diretto (soprattutto verso clienti di grandi dimensioni come banche e PA), in parte
attraverso i partner di canale, con cui coprire le esigenze di organizzazioni di minore
dimensione distribuite sul territorio.
© The Innovation Group - 2013 | 39
Hanno collaborato alla realizzazione del White Paper:
Elena Vaciago, Research Manager, The Innovation Group
Camilla Bellini, Junior Analyst, The Innovation Group
Michele Ghisetti, Junior Analyst, The Innovation Group
Ringraziamo inoltre per il loro contributo:
Alberto Manfredi, Presidente di Cloud Security Alliance Italy
Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security Center
Giuseppe Vaciago, Avvocato Penalista in ICT Law
The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca
indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del
Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove
tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare
strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go
to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda
tramite le tecnologie ICT.
The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia
internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti
internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,
delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle
Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle
ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le
capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi.
The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di
mercati, tecnologie e best practice.
Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da
riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata,
modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto
da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il
copyright e comporta penalità per chi lo commette.
Copyright © 2013 The Innovation Group.
© The Innovation Group - 2013 | 40