La prima impressione che si trae dagli interventi del Cybersecurity Summit 2018 dello scorso 31 maggio, è che quest’anno finalmente le buone notizie superano quelle cattive. In tema di contrasto al cyber crime e di maturità delle aziende nelle proprie politiche di prevenzione e risposta, si vedono finalmente, dopo tanti anni di sforzi comuni in questa direzione, risultati concreti e una migliore capacità di far fronte a questi rischi.
Nel corso del 2017, ad esempio, il CNAIPIC (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) ha diramato 31.500 Alert alle infrastrutture critiche nazionali.
“Cinque volte in più rispetto al 2016” ha commentato Salvatore La Barbera, Primo Dirigente della Polizia di Stato. “Sono stati gestiti 1.032 attacchi informatici nei confronti di servizi internet relativi a siti istituzionali e infrastrutture critiche informatizzate di interesse nazionale; 83 richieste di cooperazione nell’ambito del circuito “High Tech Crime Emergency”; 72 indagini per un totale di 34 persone denunciate e 2 arrestate”. Un trend che prosegue nel 2018, a conferma del fatto che non si può mai abbassare l’attenzione in tema di contrasto al cyber crime.
Grande attenzione poi alla prevenzione delle frodi online: nel 2017, grazie alla piattaforma OF2CEN (On-line fraud cyber centre and expert network), nata a livello europeo dalla partnership tra le Polizie di stato e il settore bancario, sono state bloccate l’84% delle frodi.
“La piattaforma consente di intervenire in tempo quasi reale sulla segnalazione bloccando la somma prima che venga polverizzata in vari rivoli di prestanome” ha aggiunto Salvatore La Barbera. Raccogliendo le segnalazioni di operazioni sospette che sono comunicate dalle banche alla polizia, il sistema facilita lo scambio di informazioni di indirizzi Ip e di dati bancari fraudolenti attraverso canali sicuri. OF2CEN è servita in particolar modo a contrastare fenomeni come BEC e CEO Fraud, che nel 2017 hanno comportato in Italia in alcuni casi perdite per svariati milioni di euro.
La lotta per un mondo digitale più sicuro passa però oggi soprattutto attraverso la prevenzione: ad esempio, per diffondere l’App YouPol, nuovo canale di comunicazione privilegiato per la segnalazione di episodi di bullismo, maltrattamenti e spaccio di stupefacenti, la Polizia Postale ha organizzato incontri di sensibilizzazione in oltre 10mila scuole, per un milione e 300mila studenti. Da segnalare che l’App YouPol è oggi operativa in tutte le province italiane, e si è già dimostrata utile, aiutando la Polizia ad arrestare uno spacciatore di 17 anni.
Il 25 maggio è entrato in vigore il GDPR e molte aziende stanno in questi giorni ultimando i lavori per arrivare preparate alla scadenza: ma quali sono i rischi ancora da affrontare? “Stiamo oggi vivendo un grande cambiamento culturale” ha commentato Valentina Frediani, Founder & CEO di Colin & Partners. “Servirebbe però maggiore coinvolgimento delle aziende e l’analisi di tutti gli elementi di criticità. Il GDPR deve essere visto come un’opportunità.”
Il problema è che nelle aziende gli aspetti organizzativi frenano spesso il cambiamento. “Vulnerabilità, sofisticazioni, crescita e dinamiche degli attacchi stanno ponendo sfide significative alle aziende italiane” ha commentato Ezio Viola, presentando la Cyber Risk Management 2018 survey di The Innovation Group. “I modelli organizzativi e i processi per la gestione e la governance della Cybersecurity sono ancora «silos based». Servirebbe maggiore integrazione e coordinamento, oltre che una migliore comunicazione con il Top Management basata su indicatori di performance quali-quantitativi. La compliance – in primis al GDPR – è oggi uno dei principali driver di investimento: questo non porta abbastanza le aziende ha pensare in modalità risk based”.
La risposta del sistema finanziario ai rischi cyber si conferma positiva, secondo i dati presentati da Romano Stasi, Segretario Generale di ABI Lab e Direttore Operativo di CERTFin: sia nella clientela retail sia in quella corporate sono stati in calo nel 2017 i furti di credenziali e in denaro (secondo gli ultimi dati CERTFin, Osservatorio Cyber Knowledge and Security Awareness, Survey Information Security e Frodi Internet e Mobile Banking, 2018). “La rilevazione di attacchi e frodi e le conseguenti azioni di blocco sono sempre più tempestive, grazie anche alle soluzioni tecnologiche presenti in banca, come i tool di analisi automatica dei log di accesso e gli strumenti di monitoraggio delle transazioni anomale” ha commentato Stasi. Preoccupano però molto le nuove frontiere del social engineering, con campagne di CEO Fraud e BEC che registrano gravi incrementi sia a livello internazionale sia in Italia. CertFin ha rilevato nel 2017:
- Per la BEC: 171 tentativi di frode rilevati, di cui circa il 36% è andato a buon fine
- Per la CEO Fraud: 36 tentativi di frode rilevati, di cui circa il 6% è andato a buon fine (ma il volume di perdite economiche associate al fenomeno del CEO Fraud è circa doppio rispetto alle perdite associate ai casi di BEC).
Il CertFin, che si configura oggi come un Hub di collaborazioni e infosharing a livello nazionale e internazionale, ha avuto un’attiva capacità di risposta durante tutti gli ultimi eventi importanti di cybersecurity degli ultimi mesi. Ad esempio, lo scorso mese, in occasione delle Frodi avvenute tramite PEC, ha verificato che:
- non c’è stato nessun attacco alle banche, ma sono state sfruttate vulnerabilità di processo di altri soggetti
- l’evento ha richiesto comunque di rafforzare il livello dei controlli a livello di sistema Paese.
La situazione peggiora se però ci confrontiamo con temi nuovi – come sono oggi i rischi legati alle evoluzioni Industria 4.0 o ai nuovi device IoT. “Le infrastrutture critiche e gli ambienti industriali sono oggi sotto attacco da parte del cyber crime” ha commentato Raoul Brenna, Responsabile della Practice Information Security & Infrastructures, CEFRIEL – Politecnico di Milano. “In alcuni casi, questi attacchi sono mirati, in altri casi sono realizzati con tecniche anche molto semplici. Il problema è che stanno avendo successo in tutto il mondo”. È assodato che tutte le componenti di Industria 4.0 hanno proprie vulnerabilità: interconnettendo tutti gli ambiti, però, aumenta esponenzialmente la superficie esposta ad attacchi. Ma come rispondere a questi rischi? “Patch management, monitoraggio dei log: in teoria sarebbero attività da impostare per l’OT così come già avviene per l’IT. In pratica, questo non è sempre possibile per gli ambienti legacy del mondo industriale” ha spiegato Raoul Brenna. Bisogna quindi trovare dei compromessi: il fatto che sia più difficile o diverso, non deve però essere una scusa per non fare niente o rimandare continuamente il problema.
Se invece parliamo di nuovi device dell’IoT (sensoristica o device per ambienti di smart home), sarebbe opportuno utilizzare un approccio di security-by-design basato su framework di sviluppo. “Questi già ci sono e comprendono tutta una serie di procedure (per autenticazione applicativa, token, sicurezza di canale e così via). Quindi la sicurezza implica programmare in modo nuovo e scegliere magari device con feature leggermente maggiori” ha detto Raoul Brenna.
Un’ampia disanima del funzionamento delle attività illecite, dei data breach e di quanto avviene nei forum chiusi del Cybercrime e dell’Organized Crime, è stata al centro dello speech a conclusione della giornata di Raoul Chiesa, noto Ethical Hacker e Fondatore di security brokers. “Portare a termine un attacco sta diventando sempre di più un gioco da ragazzi e il costo per farlo è sempre più basso – ha detto Raoul Chiesa. “Ad esempio, per un attacco DDoS siamo passati dai 200 dollari di qualche anno fa a 10, 20 dollari oggi. Una volta trafugate, le informazioni sono messe in vendita dal cyber crime, generando un mercato sempre più florido: solo lo Spam vale un business da 800 milioni di dollari all’anno. Inoltre, alcuni paesi stanno diventando molto attrattivi per lo sviluppo dell’industria del cyber crime: ad esempio le Filippine, dove i problemi legati al terrorismo, all’insufficiente contrasto del fenomeno e a un costo della manodopera locale irrisorio, portano le bande dei criminali a spostarsi in questa regione”. (Accedi all’intervista completa a Raoul Chiesa sul suo intervento al Summit).
Videoracconto della giornata.
Si conclude la sesta edizione di #TIGcybersec. Vuoi rivivere i più bei momenti di oggi? Ecco il video riassunto con tutti gli highlights della giornata
Posted by The Innovation Group on Thursday, 31 May 2018
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group