Cyber Risks – potenziali problemi e loss prevention nella ...€¦ · Chiunque omette di adottare...
Transcript of Cyber Risks – potenziali problemi e loss prevention nella ...€¦ · Chiunque omette di adottare...
Generali Italia SpA Milano 3 Maggio 2016
Cyber Risks – potenziali problemi e lossprevention nella shipping industryRiccardo Morgante
Generali Italia SpA Milano 3 Maggio 2016
Cyber attack: cos’è?
E’ la deliberata ed illegale utilizzazione di sistemi informatici, server e reti IT. Gli attacchi informatici utilizzano codici fraudolenti per modificare i codici IT d’origine ed i dati contenuti nei computer, con conseguenze distruttive che possono compromettere sia i dati stessi o arrecare crimini informatici, quali il furto di informazioni e/o di credenziali.
2
Generali Italia SpA Milano 3 Maggio 2016
Finalità degli attacchi
Cyber Crime: 63%Estorsione/Terrorismo/Atti di guerra: 34%Spionaggio: 3%
3
Generali Italia SpA Milano 3 Maggio 2016
Le vittime
Istituzioni governative(comprese strutt.sanitarie):23%Industria: 22%Istituzioni Finanziarie: 14%Organizzazioni: 7%Media e intrattenimento: 11%Individui e altri (sistemi di trasporto): 23%
4
Generali Italia SpA Milano 3 Maggio 2016
Obiettivi degli attacchi
Sistemi industriali di produzione di energia, reti elettriche, telecomunicazioni, sanità e sistemi a supporto della collettività, settore finanziario.
Infrastrutture IT strategiche che governano i trasporti e l’industria estrattiva (gas e petrolio)
Pubblica Sicurezza, servizi ammnistrativi a favore dei cittadini e altre infrastrutture di pubblica utilitàPMI, piccoli professionisti e aziende di servizi (es. archivi contabili e banca dati clienti)
5
Generali Italia SpA Milano 3 Maggio 2016
Le esposizioni
556 mln di vittime all’anno1,5 mln al giorno18 al secondoCredenziali esposte > 232 mln 600.000 account FB attaccati al giorno Cronaca di ogni giorno: oltre ai noti furti con
clonazioni di carte, telecomandi di auto e cancelli, le app. su smartphone, anche di banche, sembrano facilmente aggredibili!!!
6
Generali Italia SpA Milano 3 Maggio 2016
Alcuni attacchi osservati
Settore Energy USA – spionaggio e sabotaggio rete distributiva
Cittadini privati USA – furto di 1,2 mld di useride passw da internet + 500 mln di indirizzi E - mailAccount Twitter del Primo Ministro russo Medvedevutilizzo fraudolento con inserimento di falsimessaggi, comprese le sue dimissioni
7
Generali Italia SpA Milano 3 Maggio 2016
Le perdite
Molti osservatori internazionali hanno stimato che i costi all’economia globale degli attacchi si aggirino attualmente attorno a 500 mld USD con aspettative di crescita fino a 1 tn USD (1.000.000.000.000) entro il 2018.
8
Generali Italia SpA Milano 3 Maggio 2016
Metodi più conosciuti degli attacchi ai patrimoni
Modifica del sito web – atto vandalico puro (danni di immagine) Blocco del sito web – finalità estorsiva (conseguenze operative) Furto dei dati (es. via e mail a carico di correntisti)Intrusione fraudolenta in server (es. che gestiscono ordini di acquisto e spedizioni): vendita fraudolenta di beni (commodities) e servizi (presa in consegna fraudolenta di carichi) con intrusione in piattaforme internet
9
Generali Italia SpA Milano 3 Maggio 2016
Durata degli attacchi (fonte: Crawford & C Italia)
Durata media degli attacchi prima della scoperta: 205 giorni
La più estesa registrata: 8 - 9 anni!!
Solo in minima parte le aziende realizzano con propri strumenti ed analisi di essere sotto attacco
10
Generali Italia SpA Milano 3 Maggio 2016
I settori più esposti - ENERGY
NON MARINE – ENERGY : alta probabilità di attacco e attacchi registrati ad almeno una dozzina di multinazionali del petrolio e gas in USA, Kazakistan e Saudi ArabiaNB: spesso la consapevolezza del rischio si realizza solo ad attacco effettuato, anche in grossi gruppi industriali!!!
11
Generali Italia SpA Milano 3 Maggio 2016
Possibili Scenari «catastrofali»
Business Interruption di linee di produzione (impianti ed energia)Interruzione delle supply chainsManipolazione di processi produttiviInquinamento di gas o altre sostanze tossiche a seguito della paralisi di impianti di raffreddamento
12
Generali Italia SpA Milano 3 Maggio 2016
I settori più esposti – MARINE 1
MARINE: Le navi, tradizionalmente governate da strumentazioni «under own control, offline», oggi per la loro sicurezza e monitoraggio della loro navigazione non possono prescindere dall’utilizzo di reti IT e connettività (e-navigation). Da qui la loro vulnerabilità!
13
Generali Italia SpA Milano 3 Maggio 2016
I settori più esposti – MARINE 2
Cause e rischi di attacco cyber a bordo delle navi: Software sulle strumentazioni o superati o non aggiornatiMancanza di software o di sistemi di controllo Hardware non protetti o carente programmazione degli stessi e del network che li collega Facile ingresso di virus ed attacchi di criminali a distanza (anche SAT) RISCHIO RILEVANTE: dialogo tra IT della nave e strutture IT «cargo» a terra (porti, spedizionieri, trasportatori multimodali ecc.)
14
Generali Italia SpA Milano 3 Maggio 2016
Ma a/da terra da dove può arrivare un attacco?
15
Generali Italia SpA Milano 3 Maggio 2016
Le Associazioni e le Istituzioni nel Settore MARINE
La sensibilità dei rischi di attacco alle navi ha allertato e allarmato, oltre allo IACS (Int. Ass. of Class. Societies) :- BIMCO:Baltic Int. Maritime Council (la più grande
ass. int. dello shipping)- ICS: Int. Chamber of Shipping- INTERTANKO: Int. Ass. Tank Owners- INTERCARGO: Int. Ass. of Dry Cargo Shipowners- con coinvolgimento del CIRM (Comitè Int. Radio Maritime): principale ass. per elettronica a bordo delle navi Tutte queste associazioni si sono orientate a predisporre linee guida per gli armatori ed equipaggi per il rispetto di modalità operative di difesa della sicurezza «cyber» a bordo
16
Generali Italia SpA Milano 3 Maggio 2016
IMO – Misure per accrescere la sicurezza
BIMCO e CIRM hanno quindi sensibilizzato gli organismi governativi internazionali preposti alla sicurezza della navigazione MSC (Maritime Safety Committee) presso l’IMO (Int. Maritime Org.- agenzia specializzata delle Nazioni Unite con responsabilità per la sicurezza della navigazione e della prevenzione dell'inquinamento causato dalle navi) sulla mancanza di uno standard industriale internazionale a garanzia della sicurezza IT continuativa a bordo delle navi
17
Generali Italia SpA Milano 3 Maggio 2016
IMO – CYBERSECURITY - Sessione 96 MSC del 2016
Finalità: preparazione di guidelines orientate al miglioramento dell’ ISS (Information Security Systems, inclusi l’Information e l’ OperationalTechnologies) a bordo delle navi con precise BMPDescrizione delle Misure di Protezione:- Management Tools con evoluzione ISM e ISPS- Technological Tools: antivirus, software protetti,
network virtuali privati con sistemi di codifica e protezione degli ingressi, anti spyware e sandbox, encryption software, intrusion detection system
18
Generali Italia SpA Milano 3 Maggio 2016
Cosa fare? – industria dello shipping
Adozione di BMP (best management practice) da parte degli armatori al pari di altre misure già ratificate per la sicurezza della navigazione o difesa per rischi dall’esterno (ISM-Int. Safety Management Code e ISPS-Int. Ship and Port Facility Security Code)
Attenta e periodica manutenzione di tutti i sistemi IT a bordo e dell’AIS (Automatic Information System) previsto dalla Convenzione SOLAS per la sicurezza della navigazione
Quando?
Sicuramente in fase di costruzione ma anche quando avviene un passaggio di proprietà
Se la connettività è aperta no stop; meglio interrompere la connettività durante operazioni sensibili
19
Generali Italia SpA Milano 3 Maggio 2016
Cosa fare? – valido per tutte le aziende industriali e di servizi
Piena consapevolezza del potenziale rischioAssessment aziendale e organizzazione interna per:- Pianificare la sicurezza- Proteggere i dati con rispetto di un protocollo
interno- Fissare un piano in caso di attaccoIn sostanza bisogna:- Evitare il rischio di attacco- Fare tutto il possibile per ridurlo ed interloquire
con un incident manager esperto in materia- Solo poi trasferire e condividere il problema con
gli assicuratori (assunzione e liquidazione sinistri dedicate)
20
Generali Italia SpA Milano 3 Maggio 2016
Il quadro normativo - 1
LA LEGGE SULLA PRIVACYCodice in materia di protezione dei dati personali:A CHI SI RIVOLGE:Si rivolge a tutti i soggetti (Enti, Aziende, Associazioni, Studi Professionali, etc. …), pubblici e privati, che trattano dati personali. Il campo di applicazione si estende oltre ai dati sensibili anche a tutti i dati che non siano strettamente relativi a chi li detiene, sia su un sistema informatico o su un registro cartaceo.
21
Generali Italia SpA Milano 3 Maggio 2016
Il quadro normativo - 2
INADEMPIMENTI E SANZIONI:Chiunque omette di adottare le misure di sicurezza è punito con l’arresto fino a due anni o con sanzioni pecuniarie variabili in base alle violazioni (da 10.000 -50.000 fino a 180.000 Euro).Chiunque produce atti e documenti arrecando danni a terzi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni; da sei mesi a due anni per diffusione illecita dei dati.
Ma nessuna previsione di criteri ed obblighi preventivi (già previsti in UK e USA)!!!
22
Generali Italia SpA Milano 3 Maggio 2016
Il quadro normativo – evoluzione 2018
EU GDPR – General Data Protection Regulation(Oltre ai regimi sanzionatori in essere)Dal 2018: in forma di regolamento prenderà il posto dell’attuale Direttiva senza necessità di recepimento con una legge nazionale ed immediatamente applicabile in tutti gli Stati Membri.Queste le obbligazioni per tutte le aziende (beni e servizi) anche quelle che si relazionano da extra EU con consumatori dell’EU:- Utilizzare una policy interna per protezione dati e difesa in
caso di attacco con obbligo di comunicazione dell’attacco al titolare del dato violato
- Dimostrare tutte le azioni preventive intraprese e la diffusione della cultura interna (incluse attività di audit)
- Analizzare la base legale di utilizzo dei dati (modalità di ottenimento del consenso)
23
Generali Italia SpA Milano 3 Maggio 2016
Il quadro normativo – evoluzione 2018
- Utilizzare un linguaggio chiaro in base ad una policy orientata alla massima trasparenza
- Essere pronti a dimostrare la liceità delle azioni intraprese nella conservazione e ritenzione dei dati
- Adeguare la propria attività operativa e di complianceanche in rapporto ai contratti sottoscritti con terzi e recepimento del GDPR
- In caso di trasferimento internazionale dei dati (incluso intra group), assicurarsi di farlo legalmente verso paesi dove non vige una disciplina sulla protezione. Il mancato rispetto può comportare sanzioni pesanti, fino al 4% del fatturato aziendale di gruppo.
24
Generali Italia SpA Milano 3 Maggio 2016
Il Mercato Assicurativo – MARINE – Clausola di esclusioneCLAUSOLA DI ESCL.DEI RISCHI DI ATTACCHI CIBERNETICI – Cl. 380 Ed. 10/11/2003Fermo restando quanto previsto alla clausola sotto riportata, questa assicurazione non copre in alcun caso i danni, le perdite, gli indennizzi dovuti a terzi e le spese causate o derivanti, totalmente o parzialmente, direttamente o indirettamente dall’uso o dall’impiego, al fine di arrecare danno, di qualsiasi computer, sistema informatico, programma informatico, codice software malevolo, virus o processo informatici o di qualsiasi altro sistema elettronico.
Laddove questa clausola sia allegata a polizze che coprono i rischi di guerra, guerra civile, rivoluzione, ribellione, insurrezione, o sommossa civile originata dai casi predetti, o qualsiasi atto ostile compiuto da potenza belligerante o contro la stessa, o per terrorismo o da persona che agisca per scopi politici, la sopra riportata clausola non opera per escludere le perdite (che sarebbero altrimenti coperte) derivanti dall’uso di qualsiasi computer, sistema o programma informatici o di qualsiasi altro sistema elettronico nel lancio e/o sistema guida e/o meccanismo di sparo di qualsiasi arma o missile.
25
Generali Italia SpA Milano 3 Maggio 2016
Il Mercato Assicurativo – NON MARINE
Pochissime le polizze sottoscritte in Italia (secondo info broker: meno di una decina) per il rischio in quanto tale e spese accessorie. Copertura dei rischi attesi (negli USA e nel resto del mondo è già una realtà con una significativa raccolta premi):
- RC-risarcimenti per: diffusione involontaria dati, contenuti multimediali, intrusione nei sistemi IT (furto dati) e attacco
- Indennizzi per: BI, gestione «crisi»(consulenti IT, legali ecc.),ricostruzione archivi dati digitali….estorsione informatica (NO in Italia)
- Le coperture più diffuse in Italia: polizza elettronica/informatica (garanzie e massimali contenuti)
- in futuro: warranties e dettagliati questionari tecnici
26
Generali Italia SpA Milano 3 Maggio 2016
Il Ruolo del Perito – INCIDENT MANAGER vs. Attacco Cyber
- Le tempistiche di intervento non possono essere quelle «tradizionali» (realizzazione del problema, notifica del sinistro, apertura del sinistro, chiamata e uscita del perito)
- L’evoluzione critica avviene nelle prime 48 ore
- Ergo: alert aziendale, intervento immediato (un’ora), predisposizione del discovery plan con studio dell’evento e sue potenzialità distruttive (48 ore) e attuazione di un recovery plan (durata media 1 mese)
- Il perito dovrà anche valutare la possibilità di trasferire la richiesta all’assicuratore in base alla copertura esistente
in futuro: l’incident manager dovrà ricevere la piena collaborazione da tutti i dept aziendali (CEO, IT, LEGALI, HR) coinvolti nel protocollo preventivo
27