Cyber Risk Management: dalla cyber intelligence alla cyber insurance

A cura di:Redazione Ore

Intervista a Giampiero Nanni, Government Affairs, Symantec EMEA, durante la 18° edizione del Forum ICT Security

Qual è l’esperienza di Symantec nel cyber risk management?

Symantec è la più grande società di Cyber security al mondo; io appartengo al  team di Government Affairs, diviso tra Bruxelles e Londra. Non siamo tecnici né commerciali, ci occupiamo di policy e di legislazione: in questo senso il 2018 sarà un anno molto “caldo” per una serie di leggi che entreranno in vigore tra cui NIS, GDPR e altre. Qualche numero: abbiamo una rete vastissima rete di sensori su internet, oltre 98 milioni di sensori che catturano tutto ciò che circola, sia di “buono” che di “cattivo”: questi dati, un numero impronunciabile di byte di telemetria, vengono poi distillati dai nostri 500 analisti in un rapporto – l’Internet Security Threat Report (ISTR) – pubblicato annualmente sul nostro sito. Un esempio: nel 2009, ormai un ricordo sbiadito, abbiamo trovato più di 2 milioni di varianti malware durante l’anno. Nel 2016, l’ultima osservazione completa, siamo a poco più di un milione. Sembra un buon risultato – peccato però che parliamo di un milione al giorno, quindi viaggiamo al ritmo di circa 400 milioni di varianti malware l’anno. Questa è la montagna che ci troviamo a fronteggiare.

Rispetto a questo quadro di minacce in costante evoluzione, quali sono le principali vulnerabilità e gli aspetti fondamentali da considerare per la messa in sicurezza dei sistemi ICT?

Sempre di più rileviamo come gli attaccanti sfruttino i comportamenti delle persone e delle aziende. Sfruttano tutto quello che le aziende e le persone fanno – e non fanno – per mettere in sicurezza i loro dati. Apriamo degli attachment, facciamo click su dei link che arrivano da chissà chi; magari trasferiamo dati su ‘contenitori’ o in App nel cloud che non sono noti all’azienda e così via, offrendo inconsapevolmente il fianco a chi vuole farci del male.

Chiaramente la cyber intelligence è un aspetto fondamentale: “conosci il tuo nemico” è il primo passo in ogni strategia difensiva. Noi collaboriamo con i governi, in molti casi anche in modalità non commerciale, fornendo queste indicazioni; in altri casi, essendo Symantec un’azienda commerciale, vendiamo i nostri prodotti a fini di cyber intelligence.

Oggi la nostra prima tappa deve essere il controllo. L’ICT sta progressivamente perdendo il controllo delle cose: questo avviene perché una volta c’era un mondo senza il Cloud, dove tutto era al sicuro in azienda. Ma pian piano è arrivato internet e poi è arrivato il cloud, rivoluzionando ogni cosa.

Un piccolo amarcord personale: nel 2004, quando lavoravo per IBM Global Services, appena lanciata la primissima offerta di hostings services (facevamo hostings di SAP, Microsoft Exchange, Lotus Domino…) realizzammo che il problema principale non era quello tecnologico, bensí far superare ai potenziali clienti il “trauma” di separarsi dai loro dati. Ci chiedevano: “Sì, ma i dati dove sono?” perché sentivano di perderne il controllo.

Questa perdita di controllo si è acuita con altri strumenti: il cloud, le infrastrutture, le piattaforme, oggi tutto ‘as a service’: questo spaventa un po’ l’ICT. Oltretutto, ci confrontiamo con confini sempre più labili, rappresentati in particolare dal mobile e dal mondo IoT (per me una bomba a orologeria: 20 miliardi di devices saranno attivi nel 2020 e pochissimi di questi hanno veramente una parte di sicurezza attiva e solida come sarebbe necessario, le webcam ne sono un tipico esempio).

A proposito di controllo, quali effetti avrà l’entrata in vigore del GDPR sull’organizzazione aziendale in ambito di security?

Il Regolamento Generale per la Protezione Dati, riguarda la data governance dell’informazione durante tutto il ciclo di vita – ovvero dalla raccolta, al trattamento, alla messa in sicurezza dei dati e infine la loro distruzione. Un esempio specifico di rischio, e di vulnerabilità, in ambito cloud/GDPR: la Shadow IT riguarda le applicazioni e i tool che girano nel cloud, di cui però l’azienda non ha conoscenza; come dipendenti usiamo i tool per innumerevoli attività quotidiane, come trasformare documenti da un formato all’altro, con App nel cloud. In quest’ottica la Shadow IT diventa un problema in termini di compliance, appunto perché l’IT non controlla ciò che non conosce, né tantomeno i dati personali che queste App possono trattare.

Recentemente abbiamo condotto uno studio su questo tema, chiedendo alle aziende enterprise quante applicazioni credessero di avere nel cloud. Hanno risposto, in media, tra le 30 e le 40. Quando sono arrivati i nostri specialisti con i nostri strumenti per procedere al conteggio reale, il risultato è stato un po’ diverso: abbiamo infatti scoperto che la media era di 938. In media, quindi, in un’azienda ci sono oltre 900 applicazioni nel cloud libere di agire senza controllo. Queste app ovviamente trattano dei dati, e se questi dati sono sono dati personali – magari sensibili – ricadono nell’ambito del GDPR e sollevano un’enorme questione di liability.

Infatti, se un’azienda trova applicazioni che trattano dati personali non censiti, si trova in una posizione di mancanza di conformità di cui dovrà probabilmente informare l’autorità di controllo.. Quindi una situazione pericolosissima: è inutile investire in anni di preparazione sul GDPR se si hanno 900 applicazioni sconosciute che possono trattare i dati personali che il Regolamento intende proteggere.

Di conseguenza, è chiaro come l’attività di “perlustrazione” del cloud per capire bene cosa giri in azienda e quali dati risultino coinvolti sia fondamentale. Parlando di soluzioni, impedire l’accesso alle App nel cloud non è la migliore delle idee: queste app vengono utilizzate dal personale per motivi reali, quindi bisogna lavorare per consentire loro di utilizzarle in modo legittimo. Chiaramente occorre eliminare le app più pericolose, ma soprattutto prendere le misure necessarie per quelle che non possiamo controllare, ricorrendo anche a tecniche di encryption, data loss prevention, di pseudonimizzazione, o di “tokenizzazione”:  dobbiamo insomma intervenire sul dato e proteggerlo affinché non venga portato fuori dall’azienda, anche se inavvertitamente e in modo non doloso.

A detta di tutti gli esperti, nel panorama delle nuove minacce gioca sicuramente un ruolo centrale il cosiddetto insider. Come è possibile mitigare o prevenire tale rischio?

L’insider può costituire un grosso rischio: se ha motivazioni dolose è molto più pericoloso di un attaccante outsider perché sa esattamente dove andare ad agire per catturare dati, per  sabotare, o per ottenere vantaggi personali. Esiste un’ampia letteratura sul tema, che tra l’altro tocca aspetti delicati del personale – aspetti psicologici, potenziali conseguenze penali, insomma una serie di problematiche complesse. La sfida va giocata innanzitutto in termini di cultura aziendale – che deve formare gli utenti, promuoverne l’awareness, sensibilizzarli su quelli che sono le cose da fare e soprattutto le cose da non fare. In questo ambito vanno tenuti a mente due concetti fondamentali: la motivazione e l’opportunità. Le motivazioni sono tante e spesso imprevedibili (possono spaziare dal sabotaggio ai motivi personali, a vantaggi economici e molto altro ancora) ma l’opportunità è un fattore su cui l’azienda ha un maggiore controllo. Cercare di non fornire l’opportunità significa mitigare il rischio. Oltre all’aspetto formativo, lo scorso anno abbiamo condotto uno studio sui rimedi procedurali e abbiamo scoperto che il 10% delle aziende hanno ammesso che tutti i loro dipendenti hanno accesso a tutti i dati personali trattati dalla società. In ambito GDPR questo è l’inferno – ci sono poi le aziende che non lo hanno ammesso e quelle che non ne hanno proprio idea.

Parliamo di cyber insurance: di cosa si tratta e quale impatto prevedete per il suo ingresso nel mercato aziendale italiano?

Si tratta di uno strumento nuovo, già fortemente attivo negli USA e presente nel Regno Unito dove c’è anche una forte spinta del governo in tal senso. Sappiamo che il costo degli attacchi informatici  sono nell’ordine di milioni di dollari: quando sommiamo tutti gli attacchi a tutte le aziende,andiamo potenzialmente ad intaccare il PIL di una nazione; quindi è nell’interesse dei governi far sì che le aziende si assicurino.

Ma per questo c’è bisogno che le compagnie assicurative conoscano il problema cyber, e siano in grado di quantificarne il rischio. Oggi le compagnie assicurative – a differenza, ad esempio, dei rami auto o vita – non dispongono di una grande varietà di dati per creare modelli per calcolare il rischio. Occorrono  quindi dati di cyber intelligence più esaustivi ed affidabili per incrementare l’appetito per il rischio degli assicuratori.

A cura della Redazione

Condividi sui Social Network:

Articoli simili

Attacco Phishing utilizza caratteri Unicode nei domini, rendendoli quasi impossibili da identificare

Attacco Phishing utilizza caratteri Unicode nei domini, rendendoli quasi impossibili da identificare

A cura di:Andrea Zapparoli Manzoni Ore Pubblicato il

La recente vulnerabilità evidenziata in alcuni browser, grazie alla quale è possibile realizzare attività di phishing in grado di ingannare anche gli utenti più smaliziati, è il sintomo di alcuni problemi di fondo che affliggono l’attuale implementazione di Internet (e delle tecnologie digitali in generale). Tale implementazione è avvenuta nel giro di pochi anni, tumultuosamente,…

Minaccia Malware prende di mira il settore dell’aviazione e dell’industria aerospaziale

Minaccia Malware prende di mira il settore dell’aviazione e dell’industria aerospaziale

A cura di:Redazione Ore Pubblicato il

I ricercatori di Proofpoint hanno rilevato TA2541, un attore di minaccia persistente che da anni prende di mira i settori di aviazione, industria aerospaziale, trasporti, produzione e difesa. La campagna in breve Denominato da Proofpoint TA2541, questo attore utilizza costantemente trojan di accesso remoto (RAT) che possono essere impiegati per controllare da remoto macchine compromesse….

Isabella Corradini – Intervista al Cyber Crime Conference 2015

Isabella Corradini – Intervista al Cyber Crime Conference 2015

A cura di:Redazione Ore Pubblicato il

Isabella Corradini Presidente del Centro Ricerche Themis Crime, Centro Ricerche Socio-Psicologiche e criminologico forensi. Isabella Corradini riassume i trend ed i principali spunti emersi durante le due Tavole Rotonde; “La Sicurezza delle Reti nelle Infrastrutture Critiche – Dall’Analisi del Rischio alle Strategie di Protezione” e “Frodi informatiche e furto d’identità nelle Banche, nella Telefonia e nella…

On. Domenico Rossi – Intervista al Cyber Crime Conference 2016

On. Domenico Rossi – Intervista al Cyber Crime Conference 2016

A cura di:Redazione Ore Pubblicato il

On. Domenico Rossi Sottosegretario di Stato del Ministero della Difesa Tavola Rotonda “La rete come arma: la convergenza tra terrorismo e cyber-spazio” Attualmente lo Stato Islamico rappresenta senza ombra di dubbio la principale minaccia terroristica per tutti i Paesi occidentali. Il numero sempre più elevato di cittadini europei coinvolti in azioni terroristiche ha portato da…

Cyber Crime Conference 2019 – Aperte le Iscrizioni

Cyber Crime Conference 2019 – Aperte le Iscrizioni

A cura di:Redazione Ore Pubblicato il

La 10a edizione del Cyber Crime Conference si svolgerà il prossimo 17 Aprile 2019 nella splendida cornice dell’Auditorium della Tecnica, centro congressi di Confindustria nel quartiere EUR di Roma. L’evento B2B è rivolto ad un pubblico di professionisti ed esperti che avranno occasione di incontrarsi, aggiornarsi e confrontarsi sulle ultime novità in ambito di Cyber Security. Questa decima edizione aprirà…

Smart Working e Cyber Security: difendere i dati aziendali e i propri dati personali

Smart Working e Cyber Security: difendere i dati aziendali e i propri dati personali

A cura di:Vincenzo Calabrò Ore Pubblicato il

Le restrizioni imposte in questi giorni dal Governo hanno spinto molte aziende, e la stessa Pubblica Amministrazione, a sposare velocemente il paradigma dello Smart Working generalizzato ed esteso per evitare il blocco delle attività e le relative conseguenze. La maggior parte delle soluzioni emergenziali adottate prevedono lo sfruttamento dei dispositivi e della connessione alla rete…