Cyber Risks – potenziali problemi e loss prevention nella ...€¦ · Chiunque omette di adottare...

Generali Italia SpA Milano 3 Maggio 2016

Cyber Risks – potenziali problemi e lossprevention nella shipping industryRiccardo Morgante


Cyber attack: cos’è?

E’ la deliberata ed illegale utilizzazione di sistemi informatici, server e reti IT. Gli attacchi informatici utilizzano codici fraudolenti per modificare i codici IT d’origine ed i dati contenuti nei computer, con conseguenze distruttive che possono compromettere sia i dati stessi o arrecare crimini informatici, quali il furto di informazioni e/o di credenziali.

2


Finalità degli attacchi

Cyber Crime: 63%Estorsione/Terrorismo/Atti di guerra: 34%Spionaggio: 3%

3


Le vittime

Istituzioni governative(comprese strutt.sanitarie):23%Industria: 22%Istituzioni Finanziarie: 14%Organizzazioni: 7%Media e intrattenimento: 11%Individui e altri (sistemi di trasporto): 23%

4


Obiettivi degli attacchi

Sistemi industriali di produzione di energia, reti elettriche, telecomunicazioni, sanità e sistemi a supporto della collettività, settore finanziario.

Infrastrutture IT strategiche che governano i trasporti e l’industria estrattiva (gas e petrolio)

Pubblica Sicurezza, servizi ammnistrativi a favore dei cittadini e altre infrastrutture di pubblica utilitàPMI, piccoli professionisti e aziende di servizi (es. archivi contabili e banca dati clienti)

5


Le esposizioni

556 mln di vittime all’anno1,5 mln al giorno18 al secondoCredenziali esposte > 232 mln 600.000 account FB attaccati al giorno Cronaca di ogni giorno: oltre ai noti furti con

clonazioni di carte, telecomandi di auto e cancelli, le app. su smartphone, anche di banche, sembrano facilmente aggredibili!!!

6


Alcuni attacchi osservati

Settore Energy USA – spionaggio e sabotaggio rete distributiva

Cittadini privati USA – furto di 1,2 mld di useride passw da internet + 500 mln di indirizzi E - mailAccount Twitter del Primo Ministro russo Medvedevutilizzo fraudolento con inserimento di falsimessaggi, comprese le sue dimissioni

7


Le perdite

Molti osservatori internazionali hanno stimato che i costi all’economia globale degli attacchi si aggirino attualmente attorno a 500 mld USD con aspettative di crescita fino a 1 tn USD (1.000.000.000.000) entro il 2018.

8


Metodi più conosciuti degli attacchi ai patrimoni

Modifica del sito web – atto vandalico puro (danni di immagine) Blocco del sito web – finalità estorsiva (conseguenze operative) Furto dei dati (es. via e mail a carico di correntisti)Intrusione fraudolenta in server (es. che gestiscono ordini di acquisto e spedizioni): vendita fraudolenta di beni (commodities) e servizi (presa in consegna fraudolenta di carichi) con intrusione in piattaforme internet

9


Durata degli attacchi (fonte: Crawford & C Italia)

Durata media degli attacchi prima della scoperta: 205 giorni

La più estesa registrata: 8 - 9 anni!!

Solo in minima parte le aziende realizzano con propri strumenti ed analisi di essere sotto attacco

10


I settori più esposti - ENERGY

NON MARINE – ENERGY : alta probabilità di attacco e attacchi registrati ad almeno una dozzina di multinazionali del petrolio e gas in USA, Kazakistan e Saudi ArabiaNB: spesso la consapevolezza del rischio si realizza solo ad attacco effettuato, anche in grossi gruppi industriali!!!

11


Possibili Scenari «catastrofali»

Business Interruption di linee di produzione (impianti ed energia)Interruzione delle supply chainsManipolazione di processi produttiviInquinamento di gas o altre sostanze tossiche a seguito della paralisi di impianti di raffreddamento

12


I settori più esposti – MARINE 1

MARINE: Le navi, tradizionalmente governate da strumentazioni «under own control, offline», oggi per la loro sicurezza e monitoraggio della loro navigazione non possono prescindere dall’utilizzo di reti IT e connettività (e-navigation). Da qui la loro vulnerabilità!

13


I settori più esposti – MARINE 2

Cause e rischi di attacco cyber a bordo delle navi: Software sulle strumentazioni o superati o non aggiornatiMancanza di software o di sistemi di controllo Hardware non protetti o carente programmazione degli stessi e del network che li collega Facile ingresso di virus ed attacchi di criminali a distanza (anche SAT) RISCHIO RILEVANTE: dialogo tra IT della nave e strutture IT «cargo» a terra (porti, spedizionieri, trasportatori multimodali ecc.)

14


Ma a/da terra da dove può arrivare un attacco?

15


Le Associazioni e le Istituzioni nel Settore MARINE

La sensibilità dei rischi di attacco alle navi ha allertato e allarmato, oltre allo IACS (Int. Ass. of Class. Societies) :- BIMCO:Baltic Int. Maritime Council (la più grande

ass. int. dello shipping)- ICS: Int. Chamber of Shipping- INTERTANKO: Int. Ass. Tank Owners- INTERCARGO: Int. Ass. of Dry Cargo Shipowners- con coinvolgimento del CIRM (Comitè Int. Radio Maritime): principale ass. per elettronica a bordo delle navi Tutte queste associazioni si sono orientate a predisporre linee guida per gli armatori ed equipaggi per il rispetto di modalità operative di difesa della sicurezza «cyber» a bordo

16


IMO – Misure per accrescere la sicurezza

BIMCO e CIRM hanno quindi sensibilizzato gli organismi governativi internazionali preposti alla sicurezza della navigazione MSC (Maritime Safety Committee) presso l’IMO (Int. Maritime Org.- agenzia specializzata delle Nazioni Unite con responsabilità per la sicurezza della navigazione e della prevenzione dell'inquinamento causato dalle navi) sulla mancanza di uno standard industriale internazionale a garanzia della sicurezza IT continuativa a bordo delle navi

17


IMO – CYBERSECURITY - Sessione 96 MSC del 2016

Finalità: preparazione di guidelines orientate al miglioramento dell’ ISS (Information Security Systems, inclusi l’Information e l’ OperationalTechnologies) a bordo delle navi con precise BMPDescrizione delle Misure di Protezione:- Management Tools con evoluzione ISM e ISPS- Technological Tools: antivirus, software protetti,

network virtuali privati con sistemi di codifica e protezione degli ingressi, anti spyware e sandbox, encryption software, intrusion detection system

18


Cosa fare? – industria dello shipping

Adozione di BMP (best management practice) da parte degli armatori al pari di altre misure già ratificate per la sicurezza della navigazione o difesa per rischi dall’esterno (ISM-Int. Safety Management Code e ISPS-Int. Ship and Port Facility Security Code)

Attenta e periodica manutenzione di tutti i sistemi IT a bordo e dell’AIS (Automatic Information System) previsto dalla Convenzione SOLAS per la sicurezza della navigazione

Quando?

Sicuramente in fase di costruzione ma anche quando avviene un passaggio di proprietà

Se la connettività è aperta no stop; meglio interrompere la connettività durante operazioni sensibili

19


Cosa fare? – valido per tutte le aziende industriali e di servizi

Piena consapevolezza del potenziale rischioAssessment aziendale e organizzazione interna per:- Pianificare la sicurezza- Proteggere i dati con rispetto di un protocollo

interno- Fissare un piano in caso di attaccoIn sostanza bisogna:- Evitare il rischio di attacco- Fare tutto il possibile per ridurlo ed interloquire

con un incident manager esperto in materia- Solo poi trasferire e condividere il problema con

gli assicuratori (assunzione e liquidazione sinistri dedicate)

20


Il quadro normativo - 1

LA LEGGE SULLA PRIVACYCodice in materia di protezione dei dati personali:A CHI SI RIVOLGE:Si rivolge a tutti i soggetti (Enti, Aziende, Associazioni, Studi Professionali, etc. …), pubblici e privati, che trattano dati personali. Il campo di applicazione si estende oltre ai dati sensibili anche a tutti i dati che non siano strettamente relativi a chi li detiene, sia su un sistema informatico o su un registro cartaceo.

21


Il quadro normativo - 2

INADEMPIMENTI E SANZIONI:Chiunque omette di adottare le misure di sicurezza è punito con l’arresto fino a due anni o con sanzioni pecuniarie variabili in base alle violazioni (da 10.000 -50.000 fino a 180.000 Euro).Chiunque produce atti e documenti arrecando danni a terzi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni; da sei mesi a due anni per diffusione illecita dei dati.

Ma nessuna previsione di criteri ed obblighi preventivi (già previsti in UK e USA)!!!

22


Il quadro normativo – evoluzione 2018

EU GDPR – General Data Protection Regulation(Oltre ai regimi sanzionatori in essere)Dal 2018: in forma di regolamento prenderà il posto dell’attuale Direttiva senza necessità di recepimento con una legge nazionale ed immediatamente applicabile in tutti gli Stati Membri.Queste le obbligazioni per tutte le aziende (beni e servizi) anche quelle che si relazionano da extra EU con consumatori dell’EU:- Utilizzare una policy interna per protezione dati e difesa in

caso di attacco con obbligo di comunicazione dell’attacco al titolare del dato violato

- Dimostrare tutte le azioni preventive intraprese e la diffusione della cultura interna (incluse attività di audit)

- Analizzare la base legale di utilizzo dei dati (modalità di ottenimento del consenso)

23


Il quadro normativo – evoluzione 2018

- Utilizzare un linguaggio chiaro in base ad una policy orientata alla massima trasparenza

- Essere pronti a dimostrare la liceità delle azioni intraprese nella conservazione e ritenzione dei dati

- Adeguare la propria attività operativa e di complianceanche in rapporto ai contratti sottoscritti con terzi e recepimento del GDPR

- In caso di trasferimento internazionale dei dati (incluso intra group), assicurarsi di farlo legalmente verso paesi dove non vige una disciplina sulla protezione. Il mancato rispetto può comportare sanzioni pesanti, fino al 4% del fatturato aziendale di gruppo.

24


Il Mercato Assicurativo – MARINE – Clausola di esclusioneCLAUSOLA DI ESCL.DEI RISCHI DI ATTACCHI CIBERNETICI – Cl. 380 Ed. 10/11/2003Fermo restando quanto previsto alla clausola sotto riportata, questa assicurazione non copre in alcun caso i danni, le perdite, gli indennizzi dovuti a terzi e le spese causate o derivanti, totalmente o parzialmente, direttamente o indirettamente dall’uso o dall’impiego, al fine di arrecare danno, di qualsiasi computer, sistema informatico, programma informatico, codice software malevolo, virus o processo informatici o di qualsiasi altro sistema elettronico.

Laddove questa clausola sia allegata a polizze che coprono i rischi di guerra, guerra civile, rivoluzione, ribellione, insurrezione, o sommossa civile originata dai casi predetti, o qualsiasi atto ostile compiuto da potenza belligerante o contro la stessa, o per terrorismo o da persona che agisca per scopi politici, la sopra riportata clausola non opera per escludere le perdite (che sarebbero altrimenti coperte) derivanti dall’uso di qualsiasi computer, sistema o programma informatici o di qualsiasi altro sistema elettronico nel lancio e/o sistema guida e/o meccanismo di sparo di qualsiasi arma o missile.

25


Il Mercato Assicurativo – NON MARINE

Pochissime le polizze sottoscritte in Italia (secondo info broker: meno di una decina) per il rischio in quanto tale e spese accessorie. Copertura dei rischi attesi (negli USA e nel resto del mondo è già una realtà con una significativa raccolta premi):

- RC-risarcimenti per: diffusione involontaria dati, contenuti multimediali, intrusione nei sistemi IT (furto dati) e attacco

- Indennizzi per: BI, gestione «crisi»(consulenti IT, legali ecc.),ricostruzione archivi dati digitali….estorsione informatica (NO in Italia)

- Le coperture più diffuse in Italia: polizza elettronica/informatica (garanzie e massimali contenuti)

- in futuro: warranties e dettagliati questionari tecnici

26


Il Ruolo del Perito – INCIDENT MANAGER vs. Attacco Cyber

- Le tempistiche di intervento non possono essere quelle «tradizionali» (realizzazione del problema, notifica del sinistro, apertura del sinistro, chiamata e uscita del perito)

- L’evoluzione critica avviene nelle prime 48 ore

- Ergo: alert aziendale, intervento immediato (un’ora), predisposizione del discovery plan con studio dell’evento e sue potenzialità distruttive (48 ore) e attuazione di un recovery plan (durata media 1 mese)

- Il perito dovrà anche valutare la possibilità di trasferire la richiesta all’assicuratore in base alla copertura esistente

in futuro: l’incident manager dovrà ricevere la piena collaborazione da tutti i dept aziendali (CEO, IT, LEGALI, HR) coinvolti nel protocollo preventivo

27


Grazie per l’attenzione!!

[email protected]

Cyber Risks – potenziali problemi e loss prevention nella ...€¦ · Chiunque omette di adottare...

Documents

Transcript of Cyber Risks – potenziali problemi e loss prevention nella ...€¦ · Chiunque omette di adottare...