• Non ci sono risultati.

Cybersecurity: Analisi del Rischio Reale e di quello Percepito. Uno Strumento Preliminare per il CyberRisk Assessment.

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Cybersecurity: Analisi del Rischio Reale e di quello Percepito. Uno Strumento Preliminare per il CyberRisk Assessment."

Copied!
145
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 145 pagine )

Testo completo

(1)

1

D

IPARTIMENTO DI

I

NGEGNERIA DELL

’E

NERGIA DEI

S

ISTEMI

,

DEL

T

ERRITORIO E DELLE

C

OSTRUZIONI RELAZIONE PER IL CONSEGUIMENTO DELLA LAUREA MAGISTRALE IN INGEGNERIA GESTIONALE

Cybersecurity:

Analisi del Rischio Reale e di quello Percepito.

Uno Strumento Preliminare per il CyberRisk

Assessment

RELATORI IL CANDIDATO

Prof. Riccardo Dulmin Lorenzo Magnini

Dipartimento di Sistemi Elettrici e Automazione lore.magnini@gmail.com

Sessione di Laurea del 21/06/2017 Anno Accademico 2016/2017

(2)

2

Cybersecurity: Analisi del Rischio Reale e di quello Percepito. Uno Strumento

Preliminare per il CyberRisk Assessment

Lorenzo Magnini

Sommario

Questo lavoro di Tesi presenta un’estesa analisi del contesto della Cybersecurity. Attraverso un approfondimento delle più importanti pubblicazioni in materia, vengono identificate ed analizzate le numerose minacce provenienti dal cyberspace. Per chiarire alcuni aspetti di un argomento così complesso, sono descritti alcuni casi reali di incidenti di sicurezza particolarmente rilevanti. Viene delineato un quadro di riferimento per l’analisi del rischio cyber per le imprese, che rivestono un ruolo di primo piano nel processo di difesa, e si evidenziano le differenze esistenti tra la portata del rischio reale e quanto, invece, esso viene percepito dai manager aziendali. Al fine di ridurre questo gap cognitivo, nella parte finale dell’elaborato si propone uno strumento semplice ed intuitivo per l’analisi preliminare del rischio cyber, indirizzato alle aziende che muovono i primi passi in questo ambito. Questo tool, che basa il suo funzionamento su statistiche del settore, consente di costruire rapidamente una matrice di rischio per la propria azienda attraverso la compilazione di un singolo form.

Abstract

This thesis work introduces an extensive analysis of the Cybersecurity context. Several cyberspace’s threats are identified and analyzed through an in-depth study of the most important publications in the field. To clarify some aspects of such a complex topic, some real cases of relevant security incidents are described. Businesses play a leading role in the defense process, so a reference framework for cyber risk analysis is defined and differences between the scope of real risk and what is perceived by the managers are examined. In order to reduce this cognitive gap, in the final part of the document, a simple and intuitive tool for the cyber risk preliminary assessment is proposed: it concerns companies that move first steps in this context. This tool, which is based on industry statistics, allows you to rapidly build a risk matrix for your company by compiling a single form.

(3)

3 “Il presente elaborato, e lo strumento in esso proposto, sono stati realizzati attraverso il supporto e la collaborazione del personale, e della documentazione messa a disposizione, da KPMG Italy.”

(4)

4

Indice

1. Introduzione ... 6

2. Il tema della Cyber Security ... 8

2.1. Cyberspace ... 9

2.2. Soggetti coinvolti ... 12

2.3. Elementi da proteggere ... 23

2.4. Minacce ... 29

3. I principali rischi per le aziende ... 41

3.1. Il costo per le imprese ... 41

3.2. Il vantaggio dei soggetti malevoli ... 57

3.3. Casi di studio ... 74

3.3.1. Operazione Shady RAT ... 74

3.3.2 Playstation Network outage ... 77

3.3.3. Ashley Madison Data Breach ... 81

4. Percezione del Cyberrisk ... 86

5. CyberRisk Assestment Preliminary Tool ... 105

5.1. Realizzazione tool... 106

5.2 Utilizzo del tool ... 127

6. Conclusioni ... 133

7. Bibliografia ... 135

Allegati ... 138

Checklist del CyberRisk Assessment Preliminary Tool ... 138

(5)
(6)

6

1. Introduzione

L’obiettivo del presente elaborato è quello di approfondire il tema della sicurezza informatica attraverso una ricerca completa delle maggiori problematiche che interessano questo settore, per mettere ordine in un contesto estremamente complesso e strutturato. Sempre più spesso si sente parlare di Cyber Security, e gli incidenti di sicurezza che coinvolgono anche dati personali degli utenti rivestono un ruolo di primo piano nell’attualità. Ad accentuare questo fenomeno hanno contribuito una serie di eventi malevoli particolarmente rilevanti avvenuti negli ultimi anni, e che sono stati portati all’attenzione dell’opinione pubblica da parte dei media. Tuttavia, nonostante il pubblico sembri sempre più interessato ed informato sull’argomento, si ha l’impressione che la società faccia ancora fatica a comprendere la reale dimensione delle minacce provenienti dal cyberspace. Questo avviene anche perché spesso si tende a confondere questa realtà con un universo lontano, sottovalutando il fatto che la rete e la tecnologia tendono a coinvolgere sempre più la nostra vita ed il nostro lavoro. Il mismatch cognitivo del rischio non semplifica neppure i processi di difesa, in quanto siamo orientati a minimizzare le problematiche, senza sviluppare una consapevolezza comune dell’attuale livello di rischio. Questo aspetto è ancora più evidente in contesti aziendali, dove è presente un vasto patrimonio informativo a cui possono attingere i numerosi criminali del web.

In primo luogo, per sviluppare uno studio di questo tipo, sarà necessario dotarsi di un “dizionario” di Cyber Security, al fine di chiarire il senso di alcuni termini che verranno utilizzati nel resto dell’elaborato. La sicurezza informatica, infatti, è un ambito trasversale a diverse materie quali la Privacy (Dlgs. 196/03), il Controllo Interno e l’Informatica, che in termini di sicurezza vengono analizzate con la prospettiva del Risk Management. Pertanto, per riuscire ad afferrare nel dettaglio alcuni particolari si dovranno gettare delle basi di conoscenza comuni a questi ambiti.

Una volta determinato un vocabolario di riferimento, si porterà avanti il lavoro con uno studio delle fonti del settore più attendibili, che ogni anno effettuano indagini ed interviste specifiche, al fine di ricreare un quadro d’insieme realistico del contesto in esame. L’obiettivo dell’analisi è quello di arrivare a delle conclusioni il più possibile oggettive dell’argomento attraverso uno studio dei trend e delle minacce più

(7)

7 incombenti e, attraverso delle statistiche di casi reali, effettuare delle considerazioni esenti da valutazioni personali.

Inoltre, si vuole verificare anche quanto detto in precedenza, ovvero comprendere se l’attuale livello di rischio aziendale in ambito cyber sia stato in qualche modo alterato nella percezione da parte del pubblico: gonfiato da casi mediatici che hanno riscosso fin troppo scalpore, o ridimensionato da un senso di sicurezza apparente che coinvolge i principali attori del panorama mondiale delle imprese. In ogni caso sarebbe opportuno determinare anche in che proporzioni ed in che direzioni si sia verificata questa deviazione, al fine di proporre degli strumenti adeguati per riallineare questi diversi aspetti.

A tale riguardo, verrà proposto nella parte finale dell’elaborato, un tool di Risk Assessment, utilizzabile in una fase preliminare dell’analisi, rivolto in particolar modo ai decision maker aziendali, che necessitano dei mezzi di base per l’identificazione del livello di rischio cyber della propria organizzazione. Questo strumento può essere impiegato per assottigliare questa distanza cognitiva del CyberRisk in modo rapido e semplice, e senza bisogno di particolari competenze in materia.

(8)

8

2. Il tema della Cyber Security

Il primo passo da compiere nell’affrontare un tema complesso come quello della Cyber Security è definire il contesto da cui nasce questo termine, in modo da comprendere gli aspetti cardine che la contraddistinguono e ne delineano il perimetro. Il rischio che si corre altrimenti è quello di accentuare il disordine semantico che troppo spesso viene fatto su questo concetto, come ha sottolineato il Generale statunitense Michael Hayden (ex-direttore di CIA e NSA): "raramente nella storia abbiamo avuto a che fare con una questione così importante ed allo stesso tempo così poco definita e compresa" (Higgins, 2016) 1. Il termine Cyber Security viene usato a partire dagli anni novanta, ma ancora

oggi non esiste una sola definizione riconosciuta capace di precisare in modo chiaro tutte le sfumature dell’argomento.

Tra le tante definizioni che proliferano in letteratura alcune vengono citate più frequentemente e fra queste vi è quella riportata all’interno della norma ISO/IEC 27000:2014 che la descrive come:

“Quella pratica che consente ad un’entità (un’organizzazione, un cittadino, una nazione, ecc.) di proteggere i propri asset fisici e la confidenzialità, integrità e disponibilità delle proprie informazioni, dalle minacce che arrivano dal cyberspace” (ISO/IEC, 2014) 2

Questa è sicuramente una delle più calzanti ed appropriate, in quanto riesce ad affrontare in modo sintetico gli aspetti fondamentali della Cyber Security.

Ad esempio, la scelta di utilizzare il termine “pratica” sotto cui unificare tutti quei concetti che si inseriscono all’interno di questa parola è molto conveniente, in quanto non si pone l’obiettivo di descrivere lo smisurato gruppo di modelli, strumenti e tecniche utilizzate in questo ambito; oltretutto non necessita di continui aggiornamenti, che si renderebbero doverosi in un settore in continua evoluzione.

Osservando attentamente la definizione, questa può essere scomposta in quattro parti: nella prima vengono descritti i soggetti coinvolti, nella seconda parte vengono esposti gli elementi che si vuole proteggere, nella terza viene spiegato da cosa si proteggono attraverso la pratica della Cyber Security. Nell’ultima parte, infine, viene introdotta la

1

http://www.darkreading.com/attacks-breaches/former-director-of-nsa-and-cia-says-us-cybersecurity-policy-mia/d/d-id/1323888

(9)

9 parola “cyberspace” che, come verrà esposto in seguito, raccoglie al suo interno un dominio molto vasto e trasversale a diversi settori.

Nei prossimi paragrafi proveremo ad approfondire proprio questi quattro aspetti, in modo da capire come si integrano fra loro nella descrizione della Cyber Security.

2.1. Cyberspace

Questo strano termine è stato coniato da uno scrittore canadese nel 1982, nel periodo di sviluppo dei personal computer di moderna concezione, ma in realtà si trattava più di un esercizio di stile linguistico che di una parola di reale significato. Questa idea astratta e distaccata del cyberspace fu rispolverata da un giornalista qualche anno dopo, per descrivere lo spazio esistente fra il mondo dei computer e quello del network delle telecomunicazioni; il termine identifica ancora oggi quest’area, ma nel tempo ha coinvolto un maggior numero di elementi.

Come per la Cyber Security, così anche per il cyberspace non esiste una definizione univoca, ma piuttosto una serie di espressioni che ne circoscrivono il significato. Anche in questo caso però, la definizione di cyberspace che presenta la ISO/IEC 27000:2014 è una delle più interessanti.

“Il Cyberspace è il complesso ecosistema risultante dall’interazione di persone, software e servizi su internet per mezzo di tecnologie, dispositivi e reti ad esso connesse” (ISO/IEC, 2014) 3

Il termine “ecosistema” suggerisce che il cyberspazio racchiude al suo interno un ambiente particolarmente strutturato e trasversale, che non coinvolge solamente macchine e sistemi, ma anche esseri umani. Le persone infatti interagiscono continuamente tra loro, sfruttando le opportunità messe a disposizione dalla rete e dal progresso tecnologico. Tutto questo fa sì che il campo di interesse della Cyber Security non riguardi esclusivamente l’aspetto informatico, ma anche quello organizzativo e sociale.

Sostanzialmente il nucleo del cyberspace è costituito da noi e da tutti gli apparecchi tecnologici che ci circondano: dal telefono al pc, dal tablet alla nostra auto. E’ uno spazio che comprende tutto ciò che può essere collegato ad internet e che consente di mettere

(10)

10 in connessione le persone; ma comprende anche sistemi, macchine, programmi e dati ad essi correlati. La doppia natura di questo termine rende difficile comprenderne la reale dimensione, da un lato l’estensione del cyberspazio è composta dalla sfera dell’ICT e da tutti gli elementi tecnologici appena citati, dall’altro lo spazio realmente influenzabile coinvolge ogni punto dell’ambiente che può essere interessato dalle operazioni svolte sul cyberspace.

Questo ecosistema è in continua espansione, ed ogni giorno nascono nuove tecnologie e nuovi strumenti, che a loro volta abilitano nuovi servizi e modelli di business. Il filo conduttore di questa espansione è la connessione, in quanto i dispositivi in nostro possesso sono uniti fra loro da un intreccio invisibile che avvolge l’intero globo. L’ambiente che consente il collegamento tra gli utenti è l’Interconnected Networks, meglio noto con il nome di Internet, ovvero una rete mondiale resa possibile da una serie di protocolli di gestione e canalizzazione dei dati (TCP/IP), che uniscono le reti eterogenee composte dai computer di tutto il mondo che vi sono allacciati. La seguente figura mostra il numero di utenti che hanno avuto accesso ad Internet dalla sua creazione ad oggi. La diffusione della rete nella società è sbalorditiva, e nel 2016 la penetrazione della popolazione mondiale ha toccato quota 46,1%, a dimostrazione del fatto che il cyberspace è sempre più esteso.

Figura 1 – Numero utenti Internet nel mondo (Internet Live Stats, s.d.)4

(11)

11 La struttura che sorregge il moderno web è stata sviluppata secondo delle linee guida e degli standard di design, che hanno fatto sì che oggi ciascuno di noi possa effettuare operazioni sul web in ogni momento con estrema semplicità e naturalezza. Le tecniche di progettazione dell’interazione uomo-macchina (HCI - Human Computer Interaction) si sono diffuse tra gli anni ‘70 ed ‘80, stesso periodo in cui è stato quindi introdotto è il principio dell’Usability. Questo aspetto è stato considerato particolarmente importante quando Internet è stato messo a disposizione del pubblico con la nascita del World Wide Web. Pertanto, affinché le potenzialità della rete potessero essere sfruttate appieno dall’intera comunità, si ritenne opportuno sviluppare uno strumento che possedesse elevata Usabilità, definita come:

“Il grado in cui un prodotto può essere usato da particolari utenti per raggiungere certi obiettivi con efficacia, efficienza, soddisfazione in uno specifico contesto d'uso” (ISO, 2010) 5

In altri termini, gli sforzi degli sviluppatori di sistema si sono concentrati nel rendere le modalità di navigazione più “user-friendly”, con interfacce estremamente intuitive e semplici da gestire, e dotando il web di elevate velocità di trasmissione. In questo modo i contenuti della navigazione diventano facilmente reperibili e fruibili, e si è resa l’esperienza dell’utente decisamente più piacevole.

Anche il principio di Accessibilità è stato considerato un aspetto rilevante nella composizione dell’architettura del web che oggi ereditiamo. Orientarsi verso questa direzione significa cercare di facilitare l’accesso alla rete per qualsiasi tipologia di utente, senza differenze di età, condizioni atmosferiche, capacità motorie o altro.

Il risultato determinato dalla scelta di indirizzare la crescita di internet su questi binari ha fatto sì che la struttura del web fosse estremamente libera e priva di confini. Sebbene questo possa essere considerato come un pregio, un modello così strutturato risulta molto vulnerabile e difficile da controllare. Fra i principi e gli standard utilizzati nello sviluppo della rete, quello della Sicurezza, non è mai stato considerato come un aspetto prioritario. Pertanto, Internet possiede delle falle di sicurezza che esistono da sempre, e queste sono da imputare proprio a come il web è stato pensato e realizzato.

(12)

12 Il concetto di vulnerabilità può essere esteso anche agli altri dispositivi e tecnologie appartenenti al cyberspace. Anche in questo caso, le linee guida di progettazione di questi strumenti si sono concentrate sui concetti di efficacia ed efficienza, ma non su quello della sicurezza.

La Cybersecurity è il tentativo dei soggetti coinvolti nel cyberspace di muoversi in questa direzione, andando a ridurre le vulnerabilità di sistema, e cercando di trasformare il cyberspazio in un ambiente più sicuro senza dover rinunciare alle opportunità che questo mette a disposizione. Quindi, in colpevole ritardo, la Cybersecurity cerca di sigillare quelle crepe che il cyberspace si trascina dietro sin dalla sua nascita.

2.2. Soggetti coinvolti

I soggetti implicati nella pratica della Cybersecurity sono numerosi: programmatori, amministratori, hacker, ma anche utenti finali della rete e cittadini comuni. Ma sostanzialmente, anche coloro che ricadono all’interno del perimetro del cyberspace possono essere considerati come soggetti coinvolti nella Cybersecurity. Alcuni di questi svolgono un ruolo attivo, essendo capaci di influenzare il cyberspazio attraverso le proprie operazioni; gli altri invece ne risultano influenzati, e lo subiscono quindi in modo passivo.

La definizione di Cybersecurity descrive i soggetti coinvolti con un termine volutamente generico come “entità”, in quanto appartengono a questa pratica gruppi di diversa natura, e con interessi al cyberspazio molto eterogenei. Alcuni di questi interpreti hanno interesse a sfruttare le potenzialità del mondo cyber per portare avanti i propri scopi: un’organizzazione potrebbe voler utilizzare il proprio sistema informativo per gestire i rapporti commerciali con i propri clienti così come un cittadino potrebbe voler monitorare il proprio saldo bancario attraverso il proprio smartphone. Tuttavia esistono soggetti interessati a sfruttare le vulnerabilità intrinseche del cyberspace a scopo illegale: la lista clienti dell’organizzazione potrebbe essere manomessa, oppure i dati bancari del cittadino potrebbero essere sfruttati da un soggetto criminale per sottrarre ingenti somme di denaro. Fra, e sopra, questi due poli opposti possono essere inseriti i regulator del settore. Fanno parte di questa famiglia organizzazioni, nazioni o altri enti che svolgono il compito di gestire e normare, direttamente o indirettamente, il contesto del cyberspace, al fine di regolare i rapporti tra gli altri due gruppi di soggetti coinvolti e

(13)

13 gestire le operazioni all’interno dell’ambiente cyber. A causa dell’espansione della seconda area che abbiamo descritto, ovvero quella criminale, negli ultimi anni si tende ad associare maggiormente il concetto di cyberspace a quello di minaccia e rischio, piuttosto che a quello di opportunità. Di conseguenza, le strategie di sviluppo delle organizzazioni di tutto il mondo, si indirizzano sempre più frequentemente verso la Cybersecurity.

Questo ecosistema, volto quindi a rendere più sicuro il cyberspace, come abbiamo detto in precedenza, è caratterizzato da una dimensione globale e da una quasi totale assenza di confini. E’ anche per questo che a livello internazionale negli ultimi anni sono avanzati modelli di implementazione della Cyber Resilience e della Cyber Security, nati da una collaborazione tra il settore pubblico e quello privato. Per “Cyber Resilience” si intende infatti la capacità di un’organizzazione di resistere ad un attacco informatico, attuando misure preventive o riuscendo a ripristinare la normale operatività in modo tempestivo; le misure che interessano questo tipo di resilienza verranno approfondite in seguito. Le imprese private e gli Stati hanno unito le forze negli ultimi anni per progettare e mettere in atto gli strumenti di collaborazione ed information sharing appropriati ai fini di tutelare i propri sistemi; le prime, in particolar modo, per rimanere competitive in un mercato caratterizzato da minacce cyber sempre più incisive e che arrivano da tutto il mondo; i secondi per governare un terreno sempre più importante negli scenari geopolitici.

Per mettere in mostra come gli attacchi cyber abbiano obiettivi trasversali al settore pubblico ed a quello privato oggi esistono delle ricerche effettuate da analisti di settore. Queste indagini consentono di analizzare quali siano i settori maggiormente colpiti in termini di numerosità degli incidenti registrati e quali siano i trend evolutivi degli attacchi operati sul cyberspace.

Uno dei rapporti più famosi in Italia è quello CLUSIT (CLUSIT, 2016)6, un’associazione

senza fini di lucro composta da esperti provenienti da diversi ambiti che dal 2012 realizza un report annuale sullo stato della sicurezza IT, proponendo una panoramica degli incidenti di sicurezza avvenuti a livello globale negli ultimi anni, con un campione di complessivamente più di 5.200 incidenti noti in 5 anni, e toccando i temi di maggiore attualità grazie a testimonianze di esperti. Per consentire di effettuare un’analisi degli incidenti, i vari attacchi sono stati suddivisi in diversi cluster. La tabella di seguito mostra

(14)

14 la distribuzione degli attacchi per tipologia di soggetto attaccato, a partire dall’anno 2011 fino ad oggi. E’ da tenere presente che la colonna “1H 2016” rappresenta gli incidenti più attuali della tabella, in quanto raccoglie gli attacchi avvenuti nella prima metà del 2016. La colonna “2H 2015”, allo stesso modo, rappresenta i dati relativi agli incidenti registrati nel secondo semestre del 2015.

Figura 2 - Distribuzione delle vittime per tipologia (CLUSIT, 2016) 7

Questi dati danno evidenza del fatto che uno dei settori maggiormente colpiti da incidenti di sicurezza è quello delle istituzioni, inteso come risorse politiche, militari e

(15)

15 d’intelligence, che ovviamente racchiudono informazioni estremamente interessanti per soggetti malintenzionati. Allo stesso modo, il comparto bancario e finanziario è spesso soggetto ad attacchi, ed il trend di incidenti che lo coinvolgono è in crescita rispetto al secondo semestre del 2015. Anche il settore ”Health” ha visto una forte crescita nell’ultimo periodo incrementata anche a seguito della pubblicazione del report, e dovuta allo sviluppo di specifiche tecniche di attacco finalizzate all’estorsione di denaro attraverso software malevoli. Infine, a dimostrazione che ciascuno può essere considerato come un possibile bersaglio, dall’organizzazione internazionale alla piccola impresa, la ricerca rileva una crescita della categoria “Others”, che raccoglie organizzazioni difficili da includere nelle altre categorie.

Infatti, negli ultimi anni, molte imprese sono state coinvolte in casi di violazione di dati dai propri sistemi informativi che hanno causato ingenti perdite economiche e d’immagine. Ovviamente esistono aziende, o interi settori, maggiormente esposti al rischio cyber, ma nessuno può essere considerato a rischio zero, in quanto non esistono sistemi invulnerabili. E’ più intuitivo immaginare gli effetti negativi di un’intrusione in un sistema informativo per un’azienda che opera nel settore delle telecomunicazioni, o che adotta strumenti di Data Analytics e Big Data. In queste aziende viene prodotta ed elaborata una mole di dati che può raggiungere l’ordine degli Zettabyte (miliardi di Terabyte), ed una manomissione dei dati può alterare quindi i meccanismi di funzionamento interni in modo drammatico, variando i risultati dei report e delle decisioni dei vertici aziendali.

Ma anche una piccola impresa metalmeccanica, tipica del tessuto economico italiano, non può considerarsi esente dal rischio cyber. Basti pensare ad un processo produttivo caratterizzato da macchine a controllo numerico, dove un soggetto esterno potrebbe riuscire a violare i software di calcolo dei parametri su cui si basano queste macchine, alterandone il corretto funzionamento. Una macchina di questo tipo, che effettua movimenti ad elevate velocità in modo non controllato, può danneggiare pezzi, utensili e persino sé stessa. Oltre al danno fisico vi è da sommare il danno in termini di tempo impiegato nella riparazione della macchina, e l’eventuale danno di immagine dovuto all’incapacità di soddisfare le esigenze dei clienti nei tempi stabiliti. Il costo di questo tipo di violazione in termini assoluti è sicuramente inferiore rispetto al caso descritto in precedenza, ma in termini relativi, sostenere un esborso di queste dimensioni può rivelarsi complesso per un’azienda di ridotte dimensioni.

(16)

16 Il report del CLUSIT è molto dettagliato, ma è affetto da alcune inevitabili lacune che non consentono di possedere un campione di dati raccolti completo. Ad esempio, alcuni settori sono particolarmente interessati a minimizzare l’entità degli incidenti subiti, e, pertanto risultano sotto rappresentati; inoltre la disclosure degli attacchi ricevuti non è obbligatoria in molti Paesi. Gli Stati Uniti, al contrario, possiedono delle norme che impongono la divulgazione della violazione subita, e quindi i report che utilizzano esclusivamente i dati raccolti sul territorio USA possono essere ritenuti leggermente più attendibili. E’ il caso del Report di Data Breach del ITRC - Identity Theft Resource Center (ITRC, ITRC - Data Breach Report, 2016)8, che nasce come agenzia no-profit nel 1999 in

California, e raccoglie e cataloga i dati sulle violazioni subite sul suolo statunitense in modo molto simile a quanto svolge l’associazione del CLUSIT. E’ importante sottolineare che il termine “Data Breach” viene normalmente utilizzato per indicare un incidente di Cyber Security che colpisce la “riservatezza” dei dati, ma questo principio verrà maggiormente approfondito nel prossimo paragrafo. Per ridurre il rumore proveniente da divulgazioni non attendibili, le violazioni inserite nel rapporto riguardano solo gli incidenti descritti da fonti riconosciute. Di seguito è presente una tabella riassuntiva del report del 13 Dicembre 2016, in cui è interessante vedere come gli attacchi colpiscano diversi settori. Le tabelle sviluppate dai due report non sono direttamente confrontabili, in quanto effettuano una differente classificazione degli incidenti. Ma, con le giuste proporzioni, è possibile seguire un ragionamento comune.

(17)

17 Figura 3 - 2016 Data Breach Category Summary (ITRC, ITRC - Data Breach Report, 2016) 9

Sebbene quest’analisi esamini esclusivamente gli incidenti verificatisi negli USA, i settori più coinvolti restano approssimativamente i medesimi che venivano considerati nel rapporto CLUSIT. La categoria più interessata è quella del Business, che comprende tutte le aziende con fine di lucro e non, e che tocca una percentuale del 44% del numero totale degli attacchi. Seguono il settore Medico e quello Istituzionale, che comprendono anche le infrastrutture critiche per la sicurezza del territorio, e che hanno un ruolo centrale anche nel report CLUSIT. Le altre 2 categorie registrate restano un po’ più defilate rispetto alle altre. Tuttavia è importante sottolineare che gli incidenti che coinvolgono il mercato del credito e delle banche possono avere degli impatti devastanti in termini economico-finanziari. In ogni caso, almeno a livello europeo, l’ambito bancario è uno tra i più interessati dalla cyber-criminalità, sia per quanto riguarda il numero di attacchi che per la regolamentazione di settore.

Questa tabella, inoltre, riporta sulla destra anche il numero di record interessati dall’incidente: in base a tale parametro, infatti, il volume del settore Business viene ampiamente superato dagli altri due, come a significare che, nonostante si registri un elevato numero di violazioni, il volume di dati manipolati per violazioni è più basso.

(18)

18 Tuttavia questo valore potrebbe trarre in inganno, perché per tutti gli incidenti di cui non si conosce l’entità dei dati coinvolti è stato considerato un valore pari a zero. Quindi, il valore dei record interessati è piuttosto incompleto poiché per una violazione molto grande, ma di dimensione sconosciuta, potrebbe non essere stato conteggiato nessun dato. Questa associazione possiede un database che copre un periodo di tempo più ampio rispetto a quello in possesso del CLUSIT, infatti gli incidenti vengono registrati dal 2005. Le proporzioni dei settori interessati nel report 2016 non differiscono molto da quelle registrate nel periodo che va dal 2005 al 2014, e che viene rappresentato nella seguente figura.

Figura 4 - Percentuale di Data Breach per settore industriale (ITRC, Identity Theft Resource Center, s.d.)

Tuttavia, nel tempo si è assistito ad un’evoluzione che ha portato ad un cambiamento dei volumi di ciascun settore, per alcuni dei quali questa tendenza è ancora più evidente. Senza dubbio questo è dovuto anche ad una crescita complessiva del numero di incidenti, che ha subito un incremento superiore al 600% dal 2005 ad oggi (ITRC, Identity Theft Resource Center, s.d.)10. Ma alcuni ambiti hanno attirato maggiormente

l’attenzione della sfera criminale grazie alla loro profittabilità.

D’altra parte, all’interno del contesto del cyberspace, con il passare del tempo sono cambiati in finalità e capacità anche i soggetti che interpretano un ruolo attivo nelle azioni di natura malevola. Per descrivere questi individui, oggi si tende ad utilizzare indistintamente il termine “hacker”. In realtà, nonostante venga interpretata da molte persone con accezione esclusivamente negativa, questa parola in origine possedeva un

(19)

19 significato ben diverso. Venne utilizzato, infatti, per la prima volta da degli studenti del MIT attorno al 1960, e si rivolgeva a soggetti particolarmente abili e creativi nella programmazione e modifica di sistemi elettrici ed informatici. Soltanto negli anni ‘80, con lo sviluppo dei primi modelli di internet evoluti, alcuni componenti della comunità degli hacker hanno intrapreso alcune iniziative ostili, che hanno fatto sì che il termine venisse associato ad un contesto criminale. Attualmente con la parola hacker si intende un esperto di sistemi informatici, capace di introdursi in reti protette superando le barriere di sicurezza ed in generale di acquisire una conoscenza approfondita del sistema su cui interviene, per poi accedervi senza autorizzazione e/o adattarlo al proprio scopo. In realtà molti dei moderni hacker sono persone che cercano di migliorare l’ambiente del cyberspace, cercando di testare la sicurezza e l’affidabilità del sistema, e non sarebbe corretto raccogliere sotto allo stesso termine dei soggetti così diversi per intenti. E’ per questo che, nel contesto del cyberspace, si parla di:

“Hacker White Hat”, per identificare le persone che operano in questo

ambito per migliorare la protezione e ridurre le vulnerabilità

“Hacker Black Hat” o “Cracker”, intendendo quei soggetti che, con l’intento di ottenere profitto o creare danni, cercano di forzare le barriere di controllo ed introdursi all’interno dei sistemi informativi

Talvolta fra questi due gruppi viene inserito anche quello dei “Grey Hat” per identificare quei soggetti che decidono in che modo sfruttare il loro talento di volta in volta, agendo al contempo in modo positivo e negativo.

Con cracker si identifica dunque la componente malevola degli hacker nel suo complesso, ma i soggetti che stanno alla base dei cyber attack possono essere mossi da differenti motivazioni. Infatti, ciascuna violazione può avere una diversa finalità, e sulla base della tipologia di infrazione si possono suddividere gli attaccanti in gruppi diversi, quali:

Cybercrime

All’interno di questa categoria ricadono molte attività criminali che possono essere commesse nel cyberspace. Solitamente si identificano come attacchi di cybercrime tutte le azioni illecite commesse con finalità di lucro, quali ad esempio la frode, il furto o la

(20)

20 contraffazione. Un esempio di truffa effettuata con tecniche di Cybercrime è quella del piano di penetrazione “Carbanak” (Calzetta, 2015) 11, violazione che ha coinvolto

centinaia di banche in tutto il mondo, con un furto di denaro di diversi milioni di dollari. La tecnica prevede una fase iniziale di studio, in cui i tecnici della banca vengono spiati per capire le procedure necessarie ad eseguire le transazioni. In seguito avviene il vero e proprio furto con trasferimento di denaro su specifici conti bancari esterni, o attraverso l’attuazione di erogazioni spontanee di denaro dai bancomat ad orari stabiliti. Quest’ultima tecnica viene anche definita “Jackpotting”, in quanto ricorda proprio la vincita ad una slot machine, con denaro che fuoriesce automaticamente dal distributore

Hacktivism

Questa parola è composta da due termini: hacking, ovvero la penetrazione o modifica di un sistema informatico da parte di un soggetto esperto, ed activism, ovvero l’insieme di azioni di divulgazione, comunicazione e raccolta di partecipazioni, con finalità tipicamente ideologiche.

In termini pratici, l’hacktivism tende a raccogliere una serie di azioni tipiche dell’attivismo a fini di protesta politica e culturale, e le traspone in ottica informatica: si tratta solitamente di attacchi paragonabili a vandalismo digitale. Alcuni esempi di questo genere di attivismo sono rappresentati dalle organizzazioni WikiLeaks (WikiLeaks, s.d.)12,

fondata dal giornalista Julian Assange con l’obiettivo di stimolare la fuga di notizie sensibili, o del gruppo Anonymus, che attraverso attacchi mirati cerca di danneggiare governi o organizzazioni che operano secondo principi che contrastano la società, favorendo la libertà di pensiero ed espressione in rete

Figura 5 - Loghi di Anonymus e WikiLeaks

11

http://www.corriere.it/tecnologia/economia-digitale/15_febbraio_18/carnabak-cyberfurto-secolo-banche-italiane-8250af8a-b787-11e4-bef5-103489912308.shtml

(21)

21 • Espionage/Sabotage

Questa categoria di attacchi identifica una serie di azioni quali la sottrazione o la manomissione di informazioni segrete appartenenti ad un governo, un concorrente commerciale od un semplice cittadino con lo scopo di avvantaggiarsi nei confronti del soggetto violato in termini strategici o finanziari. Barack Obama ha recentemente accusato la Russia di aver effettuato delle operazioni di cyber sabotaggio sul risultato delle elezioni presidenziali USA 2016 attraverso un team di hacker (Il Sole 24 Ore, 2016)13. Aldilà degli interessi politici o delle reali implicazioni dell’accaduto, questo

incidente è classificabile come attacco con finalità di sabotaggio

CyberWarfare

Viene definita Cyberwarfare qualsiasi tipo di azione di penetrazione all’interno di computer e reti commessa nei confronti di un soggetto terzo, con finalità belliche o militari, e quindi con lo scopo di danneggiare o distruggere gli asset del soggetto colpito. Ricadono in questa categoria di attacchi tutte quelle azioni che vengono perpetuate tra Stati differenti, ai fini di vere e proprie strategie militari di indebolimento del nemico. Hanno fatto molto scalpore gli interventi reiterati rivolti dalla Russia nei confronti dell’Estonia nel 2007: questo episodio è stato, infatti, riconosciuto come una delle prime offensive di Cyberwarfare di grandi dimensioni (Locatelli, 2014) 14.

Talvolta vengono inseriti in questa categoria anche tutte quelle operazioni effettuate da gruppi terroristici che colpiscono una diversa nazione, altresì definiti come fenomeni di “Cyberterrorism”.

A queste categorie principali ne possono essere aggiunte delle altre, oppure possono essere definite delle sottocategorie, che rispondono ad ulteriori specificità dell’attacco. Nel report CLUSIT, sulla base della classificazione appena effettuata, sono stati raccolti gli incidenti registrati dal 2011 ad oggi.

Il risultato del report 2016 è esposto nella seguente figura:

13

http://www.ilsole24ore.com/art/mondo/2016-12-29/le-sanzioni-obama-contro-mosca-subito-espulsi-35-agenti-russi-201822.shtml?uuid=AD7R9fMC

14

(22)

22 Figura 6 - Distribuzione percentuale degli attaccanti (CLUSIT, 2016)15

Il grafico mette in evidenza quali siano le dimensioni, in termini di numerosità degli attacchi, delle 4 classi appena descritte: in primo piano vi è il Cybercrime, che proporzionalmente rappresenta la maggior parte degli incidenti. Le ragioni alla base di questo risultato sono date sia dalla crescita delle nuove tipologie di crimine che vengono perpetrate, sia dai vantaggi che possiedono i cyber attacchi in termini di redditività economica e che portano sempre più soggetti ad investire in questo genere di criminalità. Al centro del grafico si trovano l’Hacktivism e l’Espionage: mentre il primo ha subito un forte calo negli ultimi anni, il secondo risulta in crescita in termini percentuali. Inoltre, non si deve trascurare che, per la stessa natura “segreta” della categoria Espionage, i risultati registrati nel report potrebbero essere ovviamente sottovalutati, e quindi molti di questi incidenti potrebbero essere celati del tutto o in parte. Infine la classe del Cyber Warfare è quella che in termini proporzionali risulta più piccola, ma bisogna fare attenzione a sminuire questo fenomeno, in quanto un solo attacco di tipo warfare può condurre a conseguenze catastrofiche: potrebbe, infatti, coinvolgere strutture critiche, ed è per questo che, oggigiorno, gli hacker che agiscono con finalità di interferenza istituzionale sono spesso al centro dell’attenzione nelle tematiche di Cyber Security.

Ma, a sua volta, la categoria dei cracker può essere inserita in un insieme più folto di persone interessate a sfruttare l’ambiente del cyberspace per effettuare operazioni malevole. Questi vengono chiamati anche “Bad Guys” (i cattivi ragazzi), e possono essere definiti come quei soggetti che per svariati motivi e comportamenti, volontari o meno, riescono a compromettere la sicurezza dei sistemi informativi e delle informazioni in essi contenute.

15 https://clusit.it

(23)

23 Fra questi, oltre ai suddetti Hacker, possono essere citati:

Paedophiles

Soggetti che creano aree più o meno vaste di archiviazione online per foto a sfondo pedopornografico. Si tratta dunque della trasposizione informatica della figura del pedofilo, che nel web ha trovato un terreno in cui è più semplice nascondersi

Script Kiddies

Persone che utilizzano dei software sviluppati da terzi per sferrare attacchi a sistemi informatici e deturpare i siti web. Solitamente sono interessati ad impressionare amici od ottenere approvazione e merito dai pirati informatici, cercando casualmente nella rete delle vulnerabilità specifiche

Disgruntled/Naive Employee

Dipendenti che attraverso le proprie operazioni determinano un rischio per la propria società. Possono agire spinti da malcontento nei confronti dell’operato della propria azienda (disgruntled), o in modo ingenuo (naive)

Una delle evoluzioni più insidiose per i soggetti interessati dal cyberspace è quella del mercato criminale delle minacce informatiche, definito anche come “Crime-as-a-service”. Con questo termine si identifica l’offerta di servizi da parte di soggetti malevoli che, dietro pagamento, mettono a disposizione le proprie capacità di infiltrarsi in reti informatiche protette. In poche parole sono dei professionisti freelance che stanno rivoluzionando i metodi organizzativi del crimine grazie ad un insieme di offerte sempre aggiornate ed a strumenti all’avanguardia per l’esecuzione di specifiche violazioni. Questo fenomeno fa sì che chiunque possa diventare un soggetto capace di attaccare attraverso il cyberspace e, allo stesso modo, un potenziale bersaglio.

Nei prossimi paragrafi verrà approfondito l’aspetto degli incidenti cyber, analizzando nel dettaglio le tecniche utilizzate nelle violazioni e le motivazioni che ne stanno alla base.

2.3. Elementi da proteggere

Per “elementi da proteggere” si intende quelle parti che la pratica della Cyber Security si propone di tutelare. La definizione introdotta nei precedenti paragrafi definisce questi elementi come i propri asset fisici e le proprie informazioni. Questi due aspetti sono

(24)

24 contraddistinti entrambi come “propri” in quanto appartenenti al soggetto che opera nel contesto del cyberspace, e che pertanto risulta vulnerabile alle minacce che ne derivano.

Non dobbiamo commettere però l’errore di associare alle informazioni reperibili su internet esclusivamente il significato di stringhe di dati. Fanno parte delle informazioni anche le immagini, le tracce audio, i video e tutto ciò che attualmente viene condiviso sul cyberspace. La società è diventata sempre più Social e per questo il ventaglio delle informazioni disponibili sulla rete è diventato più complesso e variabile. Vale la pena proteggere ogni elemento indebitamente appropriato che possa potenzialmente determinare una perdita economica, di immagine o conoscenza per il legittimo possessore. Riguardo alla protezione delle informazioni, in particolare, vengono descritti tre obiettivi principali che la Cyber Security cerca di garantire: confidenzialità, integrità e disponibilità. Talvolta questi vengono anche definiti come CIA triad (Confidentiality, Integrity, Availability) e costituiscono il cuore del concetto di security. Infatti la CIA triad è un elemento portante dell’intera pratica dell’Information Security, ovvero rivolta alla protezione del patrimonio informativo di un’organizzazione. La differenza che sussiste fra Information e Cyber Security verrà chiarita più avanti, per adesso ci limitiamo ad esplorare il significato dei valori che compongono la CIA triad:

Il concetto di confidenzialità è equiparabile a quello di riservatezza, e sussiste nel limitare l’accesso alle informazioni ed alle risorse informatiche alle sole persone autorizzate. Questo intento può essere raggiunto sia nascondendo l’informazione stessa, che le relazioni fra i dati che la compongono, e che non rappresentano necessariamente un’informazione. Questo obiettivo mette in evidenza come le minacce di Cyber Security non arrivino soltanto dall’esterno, ma anche dall’interno dell’azienda, e che il fattore umano giochi un forte contributo nel campo della sicurezza. Se un’organizzazione criminale acquisisce impropriamente un’informazione di sicurezza nazionale ci troviamo di fronte ad un importante caso di violazione; ma anche un manager aziendale, che rivela la propria chiave di accesso al sistema ad un impiegato semplice, mette a disposizione di quest’ultimo delle informazioni confidenziali che possono rappresentare un rischio per l’impresa.

(25)

25 • L’integrità è il grado di correttezza, coerenza ed affidabilità delle

informazioni. Affidarsi ad un sistema in cui sono riportati dati alterati, cancellati o persino inventati può esporre a rischi elevati, anche collegati fra loro, in quanto da un dato manomesso ne possono nascere di nuovi. L’integrità dell’informazione potrebbe venire meno sia per errore che per dolo, ma in entrambi casi la sicurezza delle informazioni non potrebbe essere garantita. Basti pensare al danno che potrebbe scatenare un errore di trascrizione, od una voluta manomissione nei dati utilizzati per la determinazione della strategia di un’impresa. A completamento del concetto di integrità, talvolta, vengono collegati anche altri due temi: l’autenticità, che garantisce che eventi, documenti o messaggi vengano attribuiti all’autore legittimo, ed il non ripudio, ovvero l’impedimento al fatto che un documento o un messaggio possa essere disconosciuto dal suo autore.

La disponibilità, invece, fa riferimento al livello con cui le informazioni e le risorse informatiche sono accessibili agli utenti che ne hanno diritto, nel momento in cui servono. Questo concetto può essere maggiormente contestualizzato: si pensi al caso di un disastro ambientale, o di un attacco al sistema da parte di un’organizzazione dall’esterno. In entrambi i casi i danni al sistema potrebbero rendere indisponibili le informazioni agli utenti. I sistemi di Cyber Security sono dunque improntati a preservare struttura hardware e software dei sistemi informatici, al fine di mettere a disposizione degli utenti autorizzati le informazioni nel minor tempo possibile. Spesso a questo concetto viene associato quello di “Ridondanza” che in ambito informatico si riferisce alla capacità di un sistema ICT di tornare nuovamente a disposizione, anche in seguito a gravi incidenti, grazie a specifici sistemi di replicazione delle informazioni.

Questi tre requisiti rappresentano dunque gli obiettivi a cui sono tesi gli sforzi della security per garantire il corretto funzionamento di un sistema o di un servizio per la persona autorizzata ad accedervi.

(26)

26 Il riconoscimento di una persona autorizzata, in un contesto cyber, è più complesso di quanto possa sembrare. Innanzitutto perché il sistema deve riuscire ad autenticare l’identità del soggetto con cui interagisce, e per un computer od una macchina è impossibile effettuare il riconoscimento di una persona con assoluta certezza. Questa può limitarsi ad effettuare dei test sulle sue credenziali (password, ID, certificati digitali, ecc. ). Di seguito, a tale soggetto autenticato deve essere fatto corrispondere un profilo utente con autorizzazioni ben definite. Molti degli incidenti di sicurezza, in cui viene meno uno dei requisiti, sono scatenati proprio da vulnerabilità dei processi di autenticazione ed autorizzazione.

Uno dei metodi utilizzati per irrobustire questi processi è quello della “Strong Authentication”. Questo metodo prevede che, per effettuare le procedure di autorizzazione, vengano utilizzati contemporaneamente due o più fattori di autenticazione:

Qualcosa che sai (password, PIN, ecc.) Qualcosa che hai (token, smartcard, ecc.) Qualcosa che sei (impronta digitale, retina, ecc.)

In questo modo, un soggetto interessato a penetrare un sistema dovrà ricorrere a tecniche più complesse per riuscire nel suo intento, e non sarà più sufficiente conoscere la password di accesso del soggetto autorizzato. Tuttavia, sebbene esistano metodi più efficaci e strutturati, nessun processo di autenticazione è esente da vulnerabilità, e la scelta di utilizzare un metodo piuttosto che un altro è data da rischi, costi od altri fattori. Molte delle tecniche di attacco utilizzate in ambito cyber, come esposto nel prossimo paragrafo, fanno leva proprio su questi elementi di vulnerabilità che permettono di accedere ad informazioni riservate.

Gli altri elementi che la definizione di Cyber Security inserisce fra quelli importanti da proteggere sono i “propri asset fisici”. Questo aspetto mette in evidenza che lo scenario del cyberspace risulta più vasto di quello che potrebbe essere descritto dai sistemi ICT e dalle informazioni in esso contenute. Infatti, gli attacchi informatici moderni sono capaci di coinvolgere anche l’intera struttura hardware dei dispositivi e delle tecnologie che li supportano: basti pensare ai casi di furto di informazioni perpetrati attraverso la riproduzione dell’hard disk di fotocopiatrici digitali. E del resto fanno parte della sfera

(27)

27 influenzabile dal cyberspace anche tutti i punti del mondo “reale” (non virtuale) che possono essere interessati da un incidente avvenuto in ambito cyber. Ad esempio, si potrebbe pensare ad un evento che coinvolge un’autovettura di ultima concezione, dotata di connessione alla rete. Un soggetto malintenzionato, e capace di introdursi all’interno del sistema del veicolo, potrebbe riuscire ad alterare i parametri di frenata dell’auto: in questo modo il soggetto alla guida incorrerebbe nel rischio di non riuscire ad effettuare la frenata nello spazio a disposizione. Questo esempio di manomissione, sebbene possa sembrare fantasioso e azzardato, è il motivo del ritiro di 1,4 Milioni di veicoli effettuato da FCA nel 2015, dopo che due tecnici avevano divulgato un articolo sulle possibilità di controllare il software interno ai veicoli alterando il funzionamento dell’ABS (Lattuada, 2015)16. E’ un esempio efficace per dare un’idea della reale

estensione degli incidenti che possono essere causati da operazioni effettuate sul cyberspace e di quali potrebbero essere i rischi che determinano un coinvolgimento degli asset fisici di un soggetto coinvolto da un incidente di tipo cyber.

E’ anche per questa natura trasversale che, nel 2010, Wiliam J. Lynn III, allora Vice Segretario della Difesa americano, ha definito il cyberspace come “il quinto dominio della conflittualità”, dopo terra, mare, aria e spazio (J. Lynn III, 2010) 17.

E’ importante sottolineare che il volume degli elementi che la Cyber Security cerca di proteggere si è notevolmente ingrandito rispetto al passato, e questo è dovuto essenzialmente alla comparsa di alcuni fenomeni. Per esempio, focalizzandoci sul contesto aziendale, la storia recente ci insegna che, mentre nella seconda metà del XX secolo si è manifestata una forte spinta verso l’automazione degli impianti produttivi, a cui è stata associata l’espressione di Terza Rivoluzione Industriale, oggi ci troviamo nel bel mezzo del Quarto ciclo di rivoluzione, la “Industry 4.0”. Questa viene talvolta definita anche come “Digital Transformation” (o “Digitalization”), ed è caratterizzata dalla digitalizzazione end-to-end di tutti gli asset e dall’integrazione dell’ambiente industriale con il cyberspace. La Digital Transformation è un concetto piuttosto nuovo, e di cui non esiste ancora una definizione riconosciuta, ma raccoglie sicuramente una serie di sotto-fenomeni, come il ricorso massivo a soluzioni di Data Analytics, Business Intelligence o Big Data, o come l’espansione dell’Internet Of Things, del Cloud Computing o del Machine Learning. Potremmo dire che la Digital Transformation è l’opportunità che

16

http://www.motorionline.com/2015/07/24/fca-richiama-14-milioni-di-vetture-negli-usa-per-paura-di-un-attacco-hacker/

(28)

28 possiedono le imprese moderne di reinventare e ridisegnare i propri processi di business, in modo da ottimizzare e migliorare la propria offerta al mercato, grazie all’enorme apporto di prodotti e soluzioni tecnologiche digitali. Certe aziende in particolare hanno saputo sfruttare al meglio questo vento di cambiamento, muovendosi in anticipo rispetto alle altre. Gli esempi di casi di successo di Digital Transformation sono pressoché infiniti: applicazioni su smartphone che consentono di noleggiare un’auto e di effettuare il pagamento anche senza portafoglio; sistemi di gestione e controllo operativo di impianti industriali da remoto; dispositivi indossabili che sono in grado di tracciare le nostre performance fisiche; persino manichini che riescono a replicare le nostre forme corporee a distanza in tempo reale. Tutti questi strumenti, che stanno rivoluzionando la nostra vita, possiedono un inconveniente che non può essere sottovalutato: tendono ad accumulare un’enorme mole di dati. E’ per questo che, a sostegno di questo cambiamento, la società è dovuta intervenire costituendo un’infrastruttura di supporto, con elevate capacità di immagazzinamento, e composta da Datacenter colossali distribuiti in tutto il mondo.

Al di là degli ovvi benefici derivanti da un’espansione del cyberspace e dei sistemi computazionali che sono in grado di elaborare questi dati, c’è da dire però che questo sviluppo determina un aumento notevole del bottino di informazioni a cui i “Bad Guys” possono attingere. Nuovi dati, alcuni sensibili altri meno, vengono creati e raccolti in specifiche strutture non sempre affidabili.

Il Cloud Computing, ad esempio, è un tipo di servizio estremamente flessibile e conveniente. Sempre più aziende e privati decidono di affidare, almeno in parte, l’archiviazione dei propri dati ad un Cloud Provider. Tuttavia, questo strumento è il risultato di una serie di tecnologie, dalle quali eredita anche una certa vulnerabilità informatica. Inoltre, andando a porre sotto al dominio di un solo soggetto un grande insieme di informazioni, oltre a semplificare la gestione dei propri archivi attraverso una condivisione di risorse, si alimenta anche una condivisione dei rischi correlati. Un altro grosso attacco che viene solitamente rivolto al servizio Cloud riguarda la difficoltà che lo stesso provider ha nel rilevare con precisione la posizione fisica dei dati, e quindi la possibilità di collocarli su un server piuttosto che su di un altro. Da questo deriva che le informazioni localizzate in un paese a basso livello di Cyber Security possono essere esposte ad un rischio maggiore di violazione rispetto ad altre. Questo aspetto ha sollevato numerosi interrogativi sull’affidabilità del cloud anche in passato. Per di più il controllo delle informazioni è messo a dura prova dallo sviluppo di attacchi specifici

(29)

29 (come DDoS e APT) che stanno prendendo sempre più campo, e che sono finalizzati ad impedire l’accesso a tali risorse da parte dei diretti interessati, facendo venire meno il requisito di disponibilità di accesso alle persone autorizzate. Queste, ed altre possibili minacce, verranno trattate più approfonditamente nel prossimo paragrafo.

2.4. Minacce

Le minacce che interessano il cyberspace sono tutte quelle operazioni malevole volte a sfruttare le vulnerabilità di sistema, e che vengono effettuate da soggetti che si differenziano in finalità ed interessi. Queste azioni si differenziano per tecnologie utilizzate, vettori di attacco ed altre caratteristiche e, come abbiamo visto nei paragrafi precedenti, comportano la perdita di confidenzialità, integrità o disponibilità delle proprie informazioni. Un attacco di questo tipo determina un rischio per il proprietario dell’informazione, e per poter effettuare un’analisi di tale rischio si può fare riferimento al processo di Risk Management, che definisce i parametri che lo compongono, ovvero probabilità ed impatto. In passato gli sforzi di mitigazione si sono orientati prevalentemente verso i rischi caratterizzati da elevata probabilità di accadimento ed impatto significativo. Nel caso delle imprese, spesso il management ha indirizzato la strategia per la tutela delle informazioni in base alla propria propensione al rischio, alle risorse economiche a disposizione ed al panorama delle minacce specifiche del settore di appartenenza. Agli sforzi di mitigazione rivolti verso quest’area di rischio è stato dato il nome di Information Security, talvolta abbreviato in InfoSec.

Figura 7 - Rischio Information Security (Barzilay, 2013) 18

(30)

30 Hanno preso vita le prime tecniche ed i primi strumenti rivolti alla protezione dei propri dati e delle proprie informazioni. Si sono gettate le basi di questa pratica, come la CIA triad, il controllo logico e fisico e la data classification.

Ma nel tempo le minacce sono cambiate: la probabilità del rischio di tipo cyber, che in passato veniva considerata bassa, dati gli attacchi di questo tipo non particolarmente frequenti, è aumentata a causa di violazioni sempre più numerose e di ampia portata. Questo è dovuto ad una maturità degli strumenti e delle tecniche di attacco superiore rispetto al passato ed all’espansione dell’area coperta dal cyberspace, che ha provocato una maggiore esposizione alle minacce. Inoltre anche la soglia d’impatto del Cyberrisk si è innalzata, e questo è dovuto al fatto che i danni provocati da questi attacchi influenzano allo stesso tempo operatività, immagine e privacy del soggetto colpito, e che la propagazione delle informazioni violate avviene sempre più velocemente. La figura seguente mette in mostra questi due fenomeni, che hanno esteso l’area del Cyberrisk, e che hanno costretto ad una revisione critica delle strategie di security finora implementate.

Figura 8 - Evoluzione Rischio Information Security (Barzilay, 2013) 19

Il risultato è che nel tempo si sono dovute sviluppare delle tecniche di security capaci di mitigare anche i rischi di tipo cyber: la spinta delle nuove minacce ha contribuito, infatti, a sviluppare nuove tecniche e nuovi strumenti di difesa. Questo insieme di elementi prende il nome di Cyber Security e, come messo in evidenza dalla seguente figura, questa pratica può essere fatta ricadere sotto alla famiglia dell’Information Security. Come definito nel precedente paragrafo, queste due discipline condividono numerosi aspetti e spesso si intrecciano l’una con l’altra, ma la Cyber Security riguarda un particolare dominio, dove spesso ricadono minacce più complesse.

(31)

31 Figura 9 - Rischio Cyber Security (Barzilay, 2013) 20

Il parametro che le precedenti figure non considerano sui propri assi è il tempo, e questo perché è difficile identificare in modo univoco quando sia avvenuto questo “salto di qualità” delle minacce informatiche, e non esiste una vera e propria data a cui è possibile ricondurre l’origine del termine Cyber Security. Il concetto di sicurezza delle informazioni, invece, esiste praticamente da sempre: basti pensare che già al tempo dell’antico Egitto si cercava di nascondere le informazioni all’interno di geroglifici crittografati. Il concetto di InfoSec è nato però decisamente più tardi, attorno al periodo della Seconda Guerra Mondiale. In quel momento sono stati realizzati i primi computer, ed in tempo di guerra era fondamentale salvaguardare i dati militari per motivi di sicurezza nazionale. L’Information Security dell’epoca prevedeva sostanzialmente un controllo fisico dell’accesso ai dati contenuti nei mainframe, in quanto le minacce principali riguardavano la sottrazione materiale delle attrezzature od il loro sabotaggio. Negli anni 60 è stato avviato il progetto di ARPANET, il padre di Internet, che aveva lo scopo di rendere più semplice la comunicazione delle informazioni militari, in quanto lo scambio di nastri magnetici non era più sufficientemente pratico. Il sistema però possedeva numerose vulnerabilità, e pochi anni dopo, si sono mossi i primi passi per un controllo di Information Security multilivello. Infatti è stata istituita la task force ARPA, che ha formulato il Rand Report R-609. Questo ha introdotto per la prima volta una serie di controlli specifici per la sicurezza delle informazioni: è stato, infatti, il primo documento in grado di evidenziare i problemi legati al management ed alle policy per l’Information Security.

In quegli anni sono nati anche i primi sistemi operativi capaci di integrare aspetti di sicurezza nelle proprie funzioni chiave: il primo caso è quello di MULTICS (Multiplexed

(32)

32 Information and Computing Service). Negli anni MULTICS, ha subito modifiche ed aggiornamenti e, passando per la struttura di UNIX, oggi è il modello che sta alla base dei sistemi di Linux ed Android.

Gli anni ‘70 ed ‘80 hanno portato al miglioramento dei processori presenti all’interno dei computer, e questo ha favorito la decentralizzazione di risorse computazionali in elaboratori disponibili ad uso comune. E’ nato così il moderno Personal Computer. Ma soltanto nei primi anni 90, attraverso le linee telefoniche, Internet è stato messo a disposizione del pubblico, ed il web ha pian piano interconnesso la nostra società. Alcuni tra i principali problemi di sicurezza informatica che abbiamo oggi possono essere fatti risalire proprio a quei momenti: infatti, nella creazione degli standard di diffusione di Internet, il principio della sicurezza delle informazioni non è stato considerato come prioritario, e per questo motivo la rete cela al suo interno un lato poco noto.

Non a caso, al contrario di quanto siamo portati a credere, il web nasconde la maggior parte dei suoi contenuti ai normali motori di ricerca: attraverso una ricerca su Google è possibile accedere ad una piccolissima parte dei contenuti di Internet, all’incirca il 4%. Il restante 96% fa parte della parte sommersa dell’iceberg che prende il nome di deep web. Quest’area occultata della rete non costituisce necessariamente una minaccia, in quanto può essere utilizzata anche come utile risorsa per effettuare degli scambi di informazione sfuggendo a controlli e censure. Tuttavia, all’interno del deep web si nasconde un pericoloso sottoinsieme, il dark web. Spesso i due concetti vengono confusi, ma il secondo è decisamente più pericoloso del primo. Per accedervi, infatti, non è possibile sfruttare i normali canali di connessione, ma si deve ricorrere a particolari reti sovrapposte, chiamate Darknet, che garantiscono il totale anonimato al soggetto che vi si vuole connettere. Pertanto il dark web è diventato terreno fertile per un vasto insieme di attività criminali che godono così di una maggiore protezione rispetto alla rete “visibile”.

Quindi l’avvento del moderno Internet è stato, almeno in parte, il motore di questa evoluzione del rischio in ambito cyber ed ha fatto sì che la portata degli attacchi risultasse fortemente potenziata.

Una volta definiti i vettori del cambiamento è lecito interrogarsi sul perché il fenomeno dei Cyber Attack abbia registrato una crescita superiore rispetto anche ad altre aree criminali, e su quali siano state le spinte che hanno portato molti soggetti malevoli a

(33)

33 specializzarsi in questo settore. Aldilà della crescita dimensionale del cyberspace, che è stata descritta nei precedenti paragrafi, una delle caratteristiche più interessanti delle violazioni cyber è legata al basso tasso di rilevabilità che questi possiedono. Questo determina un evidente vantaggio per i soggetti che commettono crimini di questo tipo. Fra gli esperti del settore spesso si usa dire che esistono due diversi tipi di aziende: quelle che sono state violate, e quelle che ancora non sanno di esserlo. Dietro a questo paradosso in realtà si nasconde un fenomeno molto esteso. Infatti, in molti casi reali di furto di informazioni, la scoperta della violazione è avvenuta con molto ritardo rispetto alla data dell’evento, e spesso le prove dell’intrusione non sono arrivate da sensori del soggetto colpito, ma da fonti indirette. Il report pubblicato dal Ponemon Institute, “2016 Cost of Data Breach Study: Global Analysis” (Ponemon Institute , 2016)21, attraverso

l’analisi di un campione di 383 aziende colpite in 12 paesi, stima che il tempo mediamente impiegato da un’organizzazione per scoprire di aver subito un data breach è di 201 giorni, con un range di tempo che va dai 20 ai 569 giorni. Tutto ciò lascia intuire che in molti casi la scoperta della violazione non sia neppure avvenuta. Questo aspetto risulta molto interessante per quei soggetti che effettuano violazioni con finalità di Espionage/Sabotage, come specificato nei paragrafi precedenti. Infatti, la possibilità di rimanere nascosti nel web dà un grosso aiuto alle strategie di spionaggio, consentendo di protrarre i furti per lunghi periodi di tempo senza alcun disturbo.

I motivi di questa impercettibilità sono da ricercare nel fatto che, durante le intrusioni, le informazioni non vengano più rubate, ma copiate. In questo modo, oltre ad avere a disposizione una certa informazione, si riesce a ritardare notevolmente il tempo di reazione del soggetto violato, al punto tale che questo rischia di accorgersi del problema quando è troppo tardi anche per intraprendere una qualunque contromossa.

Oltretutto, la scelta di puntare sul cyberspace risulta conveniente anche da un punto di vista economico: come in ambito aziendale, così anche per quello criminale, la convenienza di un investimento può essere valutata con il ritorno che questa è in grado di garantire. Le attrezzature necessarie ad effettuare un attacco, anche su vasta scala, non richiedono esborsi elevati e per persone pratiche del settore risultano anche semplici da reperire. Lo testimonia anche il recente caso di spionaggio effettuato in Italia dai fratelli Occhionero, che attraverso dispositivi elementari hanno effettuato delle

(34)

34 importanti azioni di spionaggio coinvolgendo nello scandalo alcune tra le maggiori cariche dello Stato. Viceversa, il guadagno che si può ottenere dalla vendita o dallo sfruttamento dei dati illecitamente appropriati, è smisuratamente più grande. Da una sola postazione, inoltre, è possibile accedere a praticamente tutto il Cyberspace e, grazie ai potenti mezzi messi a disposizione dalla rete, è possibile trovarsi simultaneamente in più luoghi differenti. Economicamente parlando, un investimento di questo tipo è estremamente redditizio per il soggetto che attacca, ma non per quello che difende. Tutto questo rende appetibile il settore cyber al mondo criminale, che nel corso del tempo ha imparato a spendere maggiori risorse in questa direzione.

Assieme a questo però va considerato che la crescita del numero complessivo di violazioni subite in tutto il mondo è, almeno in parte, causato da un aumento degli attacchi subiti di cui si è venuti a conoscenza. Infatti, in alcuni paesi e per alcuni particolari settori sono nate delle norme specifiche che costringono il soggetto violato a fare “disclosure” della violazione subita. Il fine è anche quello di tutelare gli utenti le cui informazioni sono in possesso delle organizzazioni che sono state interessate da un’intrusione. In USA, ad esempio, mentre in passato un incidente veniva occultato per non avere delle perdite in termine di immagine, oggi la violazione deve essere obbligatoriamente dichiarata. In questo senso il Cyberrisk non è aumentato tanto per l’evoluzione delle minacce, quanto per lo sviluppo di una consapevolezza che la probabilità di incorrere in un incidente di sicurezza è superiore a quanto si potesse immaginare in passato.

Una volta esposto lo sviluppo delle minacce alla sicurezza delle informazioni nell’ambito del cyberspace è opportuno entrare nel merito delle specifiche tecniche utilizzate negli attacchi, talvolta chiamate anche “root cause”.

Di seguito si riporta una breve lista di alcune fra le più utilizzate:

Code Injection

Si tratta di una tecnica di attacco che prevede l’immissione non autorizzata di codice malevolo, in qualunque tipo di sistema informatico. Attraverso l’immissione di queste stringhe si riesce a far eseguire al sistema delle operazioni inattese e deleterie per il proprietario. Questa tecnica può essere scomposta in diverse sottocategorie, a seconda

(35)

35 del linguaggio utilizzato o delle librerie colpite, come ad esempio: DLL Injection, SQL Injection o altre

DoS - Denial Of Service

Si tratta di un vero e proprio sovraccarico di un sistema digitale che opera da server per un sito web. Il carico eccessivo provoca l’inaccessibilità al sito da parte del pubblico. Questa classe di attacchi si è ulteriormente arricchita di nuove tecniche, quali ad esempio la DDoS (Distribuited Denial of Service), che riguarda un attacco identico al precedente, ma effettuato attraverso il collegamento di un vasto insieme di macchine, che costituiscono una botnet, ovvero un insieme di dispositivi connessi ed infettati. E’ una tecnica molto utilizzata, perché consente di effettuare attacchi da varie macchine, rendendo difficile o, addirittura impossibile, il riconoscimento del vero responsabile dell’incidente.

Con l’espansione del fenomeno dell’Internet Of Things i risultati degli attacchi sono stati ulteriormente potenziati. Grazie alla capacità di ostacolare i processi del soggetto colpito, questa tecnica è particolarmente utilizzata per fini di Hacktivism, il cui concetto è stato espresso nei paragrafi precedenti

Account Cracking

Questi tipi di attacco identificano delle azioni di tipo intrusivo nei confronti dell’account di un soggetto terzo effettuato con modifiche a parti di software od utilizzando strumentazioni specifiche per effettuare un furto di credenziali. L’Hijacking, ad esempio, è un dirottamento dell’utente verso siti web o pagine effettuato senza la richiesta o l’autorizzazione di quest’ultimo. Prendendo il controllo dei pacchetti di indirizzamento dell’account si riesce quindi a pilotare la navigazione dell’utente.

Altri incidenti di questo tipo, invece, riguardano l’utilizzo di dati dell’account del soggetto violato, al fine di effettuare delle operazioni altrimenti non consentite, come ad esempio accedere al conto bancario on-line. Anche in questo caso, l’utente viene raggirato, in quanto vengono utilizzate le proprie informazioni senza previa autorizzazione

(36)

36 • Phishing / Social Engineering

Il Phishing ed il Social Engineering sono attacchi particolarmente semplici ed efficaci, e sono due termini che si riferiscono a tecniche di attacco molto simili. Fanno leva sull’aspetto più debole dei processi informatici, ovvero l’elemento umano. Questo genere di attacco prevede l’invio di un'email, o la creazione di una pagina web fasulla, il cui contenuto è di interesse per l’utente. Nel caso di ingegneria sociale, in particolare, l’autore dell’inganno è un soggetto particolarmente abile a nascondere la propria identità, fingendosi un’altra persona. L’ingannato è quindi spinto a credere al contatto fittizio, e viene raggirato ottenendo informazioni riservate, che l’utente stesso diffonde una volta caduto nella trappola

Multiple Techniques / APT

ATP sta per Advanced Persistent Threat, ed infatti questa tecnica prevede una serie di attacchi mirati ripetuti. Le tecniche di attacco utilizzate sono molteplici, e cercano di creare scompiglio nella sicurezza del soggetto colpito, proprio grazie ad un elevato livello di diversificazione.

0-Day

Con questa classe si individua una tipologia di attacco il cui metodo non è ancora noto, e che pertanto costituisce una minaccia ancora non conosciuta. Sono tecniche che solitamente vengono sviluppate da soggetti molto esperti, e che consentono di penetrare siti importanti od ottenere particolari privilegi. La loro pericolosità è data proprio dalla novità dell’attacco, e pertanto non ne vengono divulgati i particolari per molto tempo

Phone Hacking

E’ un tipo di attacco che viene sferrato secondo diverse modalità, andando a manipolare un telefono cellulare. Alcuni esempi sono telefonate intercettate, accesso ai messaggi vocali ed altri accessi non autorizzati alla rete del soggetto colpito. L’intento di questo

(37)

37 genere di attacchi è quello di carpire o eventualmente di effettuare delle modifiche a determinate informazioni di cui il soggetto colpito è in possesso

Malware

E’ un termine che unisce le due parole malicious software, ovvero software dannoso. Con questo termine vengono descritti tutti gli attacchi che vengono effettuati utilizzando vari tipi di software malevoli. Pertanto questa classe merita un maggiore livello di dettaglio per descrivere alcune delle tipologie malware esistenti:

o Virus

Sono dei software capaci di infettare i file di un sistema in modo da riprodursi generando copie di sé stesso. Il virus riesce ad infettare esclusivamente il file del computer che lo ospita rimanendone confinato. E’ in grado di provocare gravi danni anche alla struttura hardware provocando, ad esempio, il surriscaldamento della CPU mediante overlocking, oppure arrestando la ventola di raffreddamento

o Worm

Sono software in grado di replicarsi di file in file proprio come accade per i virus, ma a differenza di questi sono capaci di spostarsi da un sistema ad un altro attraverso la rete. Questa capacità di diffusione fa sì che questi vengano spesso utilizzati come vettori per veicolare altri tipi di software dannosi all’interno del computer

o Trojan

E’ un software capace di infettare un sistema rendendolo vulnerabile ad altre minacce. Le tipologie di trojan esistenti si distinguono proprio sulla base degli attacchi a cui vengono solitamente associati. Il software, per installarsi, necessita dell’autorizzazione da parte dell’utente, e questa viene ottenuta camuffando il trojan in un software benigno, rinominando il file in modo più familiare per l’utente

Riferimenti

Scarica adesso ( PDF - 145 pagine - 2.87 MB )

Documenti correlati

DISPONE Art. 1 (iscrizione)

3) L'idoneità tecnica dei veicoli, attestata dal responsabile tecnico secondo le modalità previste dall’articolo 15 comma 3 lettera a), del D.M. 120 deve essere garantita

LO STRUMENTO PER LA MAPPATURA DEL RISCHIO DA SOVRACCARICO BIOMECCANICO DEGLI ARTI SUPERIORI: LA CHECKLIST OCRA.

La prima parte della checklist OCRA (Scheda 1, prima parte) prevede una breve descrizione del posto di lavoro e del lavoro svolto sulla postazione. Per meglio caratterizzare il

1. Si considerino la matrice A ed il vettore B dipendenti dal parametro reale h:

[r]

1 Come compilare una pratica

All’interno della stessa pagina la selezione delle voci che interessano deve continuare con livelli successivi di dettaglio fino a quando non compare il simbolo

(a) Supponiamo che l’organizzazione malavitosa controlli n = 2 000 voti

(b) Qual è il numero minimo n di individui che l’organizzazione malavitosa deve controllare, per garantire che la probabilità di vittoria di A sia almeno del

DISPONE Art. 1 (iscrizione)

1) Durante il trasporto i rifiuti devono essere accompagnati dal provvedimento d’iscrizione corredato dalla dichiarazione sottoscritta dal legale rappresentante ai

Settore bancario e analisi dei dati

Abbiamo l'esigenza di utilizzare un'architettura (roadmap) che ci indichi i dati di cui disponiamo e le relative modalità di correlazione Abbiamo l'esigenza di utilizzare metodi

A (da compilare per tutti) Pag 1 di

Le registrazioni devono essere effettuate entro 30 giorni dall’esecuzione delle operazioni e il registro va conservato almeno per i 3 anni successivi a quello cui si