Analisi dell’impatto sulle persone

IMPATTO SULLE PERSONE

TIPO DI

RISCHIO VITTIMA

PSICOLOGICO/

MORALE FISICO ECONOMICO

Imprenditore italiano

✓

✓

Germania ✓ Migliaia di utenti di telefonia cellulare

✓

9 milioni di cittadini

Greci Non concretizzato

11 milioni di utenti di social network

✓

✓

Social network e siti web

Friend Finder Networks

✓

Experian/ T-mobile Anthem

✓

Target

✓

✓ Ebay Sony

✓

✓ ✓

123

Adesso andrò dettagliatamente, per singolo caso, a considerare le caratteristiche non comuni assegnando il punteggio all’impatto. Avremo:

1) Vittima: numero imprecisato di aziende EU e USA; in questo caso le aziende hanno subito un danno economico finanziario di oltre 78 milioni di dollari. All’impatto possiamo dare un punteggio 3 medio sia per il gran numero di imprese coinvolte sia per il danno economico finanziario medio;

2) Vittima: numero imprecisato di società a livello globale; in questo caso l’attacco condotto dai cyber criminali è finalizzato all’obiettivo di guadagno illecito attraverso la vendita dell’accesso ai pc di numerose aziende. All’impatto possiamo assegnare un punteggio 2 basso per il fatto che non ha avuto ripercussioni a livello di economicità e reputazione delle società coinvolte;

3) Vittima: Sony; in questo caso l’attacco condotto ha portato a danni gravissimi sia dal punto di vista economico-finanziario che dal punto di vista reputazionale. L’attacco ha impattato anche sulle persone creando un danno psicologico, morale e fisico in quanto oltre al furto di informazioni sensibili e coordinate bancarie le famiglie ricevevano minacce di morte. Si assegna all’impatto un punteggio pari a 5 catastrofico;

4) Vittima: Target; in questo caso la catena di supermercati ha subito un grave attacco che ha portato alle perdita di oltre 1 miliardo di dollari e al licenziamento di 8 persone su 10 del board. All’impatto possiamo assegnare un punteggio 4 alto sia per il danno economico finanziario elevato che per il danno psicologico/morale, economico delle persone impiegate;

5) Vittima: Home Depot; in questo caso la grande catena di negozi bricolage e ferramenta ha subito un grave danno economico-finanziario con oltre centinaia di milioni di dollari di perdita ma anche un danno reputazionale in quanto aveva subito precedentemente attacchi minori ma non aveva messo in attacco ancora adeguate misure di sicurezza. All’impatto possiamo assegnare un punteggio 3 medio;

124

6) Vittima: Anthem; in questo caso la compagnia di assicurazioni sanitaria ha subito un grave attacco causando il furto di informazioni sensibili dei clienti. All’impatto possiamo assegnare un punteggio 4 alto in quanto siamo in un settore critico, a questo si aggiunge il danno economico dovuto al risarcimento degli utenti, il danno reputazionale e il danno psicologico morale dei clienti;

7) Vittima: Oltre 100 Istituti bancari; in questo caso il danno economico- finanziario è elevatissimo oltre 1 miliardo di dollari. Inoltre l’impatto è aggravato dal fatto che l’attacco è in corso dal 2015 e ancora non è terminato e sta colpendo altre società finanziarie. Siamo in un settore abbastanza critico all’impatto viene assegnato un punteggio 4;

8) Vittima: Experian/T-Mobile; in questo caso la società di recupero crediti Experian ha subito un attacco che ha avuto come impatto la sottrazioni di dati sensibili come nome, indirizzi, codice fiscale di oltre 15milioni di clienti dell’operatore di telefonia T-mobile. Impatto aggravato dal fatto che questi tipi di attacco vengono di solito effettuati per facilitare ulteriori crimini come il furto di identità per realizzare truffe online di vario genere. All’impatto possiamo assegnare un punteggio 3 medio;

9) Vittima: Hollywood Presbyterian medical center; in questo caso l’ospedale ha subito un blocco del Sistema informativo e quindi delle attività cliniche (business interruption), ha dovuto inoltre pagare il riscatto di 17000 USD. All’impatto si assegna un punteggio 3 medio;

10) Vittima: Yahoo; in questo caso Yahoo ha subito un grave danno- economico finanziario e reputazione per l’attacco subito, infatti la sua quotazione è stata ribassata di 350 milioni di USD. Impatto 4 alto (oltre 1miliardo di account violati!);

11) Vittima: Dyn DNS; in questo caso l’attacco ha creato disagi agli utenti della costa Est degli USA che non potevano collegarsi ai più importanti siti internet per un giorno (twitter, facebook, ecc.). Impatto 2 basso;

12) Vittima: Tesco Bank; in questo caso circa 20mila clienti sono stati derubati del loro denaro. L’attacco ha creato un danno economico-

125

finanziario alla banca per il risarcimento, business interruption e disagio ai clienti per diversi giorni. Impatto basso con punteggio 2 in quanto la banca ha subito bloccato i conti correnti limitando i danni;

13) Vittima: Muni (San Francisco Transport System); in questo caso il sistema di trasporto pubblico ha subito il danno economico-finanziario e di business interruption dovuto al fatto di aprire i tornelli e far circolare gli utenti gratuitamente. All’impatto si può assegnare un punteggio 2 basso; 14) Vittima: Bangladesh Bank; la più grande rapina del 2016 con un danno di

81 milioni di dollari. Danno effettivo: 81 milioni di dollari; danno potenziale: 1miliardo di dollari che solo per errore dei criminali non si è verificato. Impatto 4 molto alto;

15) Vittima: Friend Finder Networks; la piattaforma di dating online e pornografia ha subito il furto di 412 milioni di account. La piattaforma era stata già hackerata quindi danno reputazionale sull’affidabilità della piattaforma e anche danno psicologico/morale alle persone in quanto i dati erano conservati in chiaro e siamo in un settore abbastanza sensibile. Impatto 3 medio;

16) Vittima: 1,5 milioni di utenti di carta di credito; in questo caso una società americana deputata alla gestione delle transazioni con carta di credito è stata attaccata subendo un grave danno all’immagine e alla sua reputazione, un danno economico-finanziario dovuto al fatto di dover ottenere una nuova certificazione PCI-DSS, al risarcimento di 94 milioni di dollari e alla riduzione degli utili. Impatto 4 molto alto;

17) Vittima: 4,5 milioni di utenti adsl brasiliani; in questo caso i cyber criminali hanno attaccato numerosi modelli di router adsl e hanno modificato le password di accesso ai router compromessi rendendo più costoso e difficoltoso il ripristino. Danno economico-finanziario per il ripristino e business interruption. Impatto 2 basso;

18) Vittima: Ministero degli Esteri Italiano: attacco contro la Farnesina che ha impattato solo sui sistemi non classificati quindi business interruption dei sistemi non classificati. Impatto 2 basso;

126

19) Vittima: Imprenditore Italiano; in questo caso l’attacco si è rivolto, a differenza dei precedenti attacchi, nei confronti di un imprenditore italiano. L’imprenditore di una nota azienda ha subito una truffa perdendo la titolarità dell’azienda quindi danno psicologico/morale. Inoltre i truffatori hanno intestato una smart card all’imprenditore procedendo alla cessione di quote quindi danno economico-finanziario. Impatto 4 alto; 20) Vittima: Germania; il più grande furto di dati nella storia della Germania

con 18milioni di account email rubati e compromessi. Questi dati venivano utilizzati anche per shopping online quindi danno economico alle persone. Impatto 3 medio per il numero di persone coinvolte 18milioni;

21) Vittima: migliaia di utenti di telefonia cellulare; in questo caso i cyber criminali hanno guadagnato illecitamente 250 milioni di dollari attraverso la frode telefonica di migliaia di utenti. L’attacco ha creato danno economico sulle persone. All’impatto assegniamo un punteggio 3 medio in quanto vi è il sospetto di terrorismo. Senza il sospetto di terrorismo avremmo dato 1/2 abbastanza basso;

22) Vittima: 9milioni di cittadini greci; in questo caso un cittadino di Atene avrebbe rubato i dati di 2/3 della popolazione greca cercando di venderli su internet. Impatto 1 trascurabile per il fatto che subito venne arrestato quindi il danno non si è concretizzato;

23) Vittima: 11milioni di utenti di social network; La vicenda più rilevante del 2012 passata sotto silenzio con perdite totali di oltre 850 milioni di dollari, furti di identità e credenziali bancarie. Impatto 4 alto;

24) Vittima: numerosi social network e siti web; disagio per gli utenti a cui viene richiesto di cambiare password. Impatto 1 trascurabile;

25) Vittima: Ebay; 145 milioni di utenti coinvolti a cui viene richiesto semplicemente di cambiare password. Impatto 1 trascurabile.

Riassumendo ora tutto in una tabella dove mettiamo sia la probabilità che l’impatto possiamo valutare l’ESPOSIZIONE AL RISCHIO.

127

Nel documento L'Assessment del Cyber Risk: una valutazione empirica (pagine 123-128)