Cyber Risk – Conoscere il problema (Seconda parte)

Cyber Risk – Conoscere il problema (Seconda parte)

Riprendiamo la panoramica/approfondimento sul mondo cyber risk per analizzare in modo più efficace e spero, comprensibile le tipologie e la frequenza di questa “nuova” frontiera di rischio che sta gradualmente interessando il mercato assicurativo mondiale – ed anche Italiano.
I recenti eventi di interesse globale hanno, se mai ce ne fosse bisogno, confermano l’importanza e la penetrazione sociale e politica del rischio cibernetico.
Ad agosto le prime indiscrezioni su un attacco hacker contro Yahoo! quando l’hacker ‘Peace’ annuncia di aver messo in vendita i dati di 200 milioni di utenti sul Dark Web. Tra i dati rubati non ci sono informazioni finanziarie ma nomi, indirizzi e-mail, numeri di telefono, data di nascita e password.
A settembre 2016 un attacco hacker al sito Wada – apre ad un possibile coinvolgimento doping di atleti americani partecipanti alle olimpiadi di Rio 2016.
Nello stesso mese un hacker entra in possesso e distribuisce in rete la copia del passaporto della first lady (ex oramai) americana Michelle Obama.
E questi possono definirsi soltanto i casi di risonanza mediatica mondiale che sono arrivati alla nostra attenzione.
Ma i MALWARE continuano la loro crescita in tutto il mondo.
Nel 2015 le minacce sono aumentate del 17% a livello globale con un aumento del 25% di malware attivi. L’Italia rappresenta il quarto paese più colpito in Europa dopo Montenegro, Polonia e Grecia e si attesta al 53esimo nel mondo – va detto che questa particolare classifica è alterata dalle differenti politiche di obbligo alla denuncia degli attacchi e fino ad oggi in Italia tale obbligo non era previsto.
Negli ultimi due anni l’insicurezza cibernetica a livello globale è aumentata in modo significativo, le tipologie di attacchi e gli hacker si sono moltiplicati e le perdite economiche sono aumentate di 400%.
D’altronde la società sta subendo una trasformazione tecnologica molto rapida che coinvolge tutti gli aspetti umani, da quello più intimo e personale a quello lavorativo e produttivo. Siamo sempre più digitalmente connessi e questa condizione che nasce come un’opportunità, un vantaggio, un segno caratterizzante e distintivo sta ormai diventando una necessità – “indispensabile” (forse…) per stare al passo coi tempi.
L’incremento quindi della superficie di attacco esposta dalla nostra società digitale, sempre più iper-connessa, aumenta i rischi di permeazione criminale, grazie soprattutto al naturale processo che lega un veloce incremento della tecnologia, non accompagnato da un altrettanto rapida ed adeguata informazione e istruzione dei rischi della stessa.
È innegabile che l’impiego spesso congiunto di queste tecnologie (in particolare Social Media, Cloud, Mobile ed Internet of Things) stia dando luogo ad una rivoluzione rapidissima dei processi produttivi, degli stili di vita e dei rapporti socio-economici.
La velocità e l’intensità di questa rivoluzione sono però determinate principalmente da esigenze contingenti di business, che quasi mai includono la Cyber Security tra le reali priorità di progetto ed esercizio di un processo produttivo o di un servizio.
In un parallelo generazionale è come quando negli anni 80’ e 90’ si organizzavano grandi feste in casa a cui amici portavano amici … ma alla fine l’ospite si accorgeva che insieme agli ultimi tiratardi era scomparsa anche l’argenteria…
Siamo interconnessi ma sappiamo veramente con chi? La cyber security deve essere un processo culturale e non solo tecnologico, a livello personale ed aziendale.
I governi dei paesi mondiali stanno gradualmente e con diversa velocità predisponendo i necessari strumenti al fine di arginare e combattere questa nuova frontiera di rischio. Il budget 2016 per il Cybersecurity National Action Plan (CNAP) recentemente sottoposto dal Presidente Obama al Congresso USA è di oltre 19 miliardi di dollari, in Italia il processo e l’analisi delle risposte al problema è ancora in fase di sviluppo fortemente sollecitato dall’approvazione da parte del Parlamento Europeo, il 6 luglio 2016, della Network and Information Security (NIS) Directive Europea, che imporrà ai fornitori di servizi essenziali (in settori critici come l’energia, i trasporti, la salute e la finanza) e digitali (mercati online, motori di ricerca e dei servizi cloud) degli Stati membri dell’Ue alcuni specifici obblighi di sicurezza, tra i quali la comunicazione di eventuali incidenti subiti.
Le reti maggiormente esposte e soggette a gravi attacchi cyber a livello mondiale nel primo semestre 2016, hanno riguardato il settore Bancario, Finanziario e della Salute.
Il panorama Italiano è ben rappresentato dallo studio dell’Osservatorio sugli Attacchi Digitali (Oad), nel quale viene evidenziato un significativo aumento della frequenza complessiva del numero di attacchi per la singola azienda/organizzazione. Fenomeno che interessa principalmente realtà di medie e grandi dimensioni che legano la loro notorietà e penetrazione del mercato alla sensibilità ad attacchi cyber per un motivo evidentemente economico.
Dal punto di vista delle tipologie di attacco, rivela lo studio, i più diffusi si confermano i ‘malware’ (78,4%), e tra questi i ransomware che hanno dominato il panorama delle minacce in Italia nel corso dell’anno, in forte crescita, seguiti dalle tecniche di “social engineering” (71,9%), dal furto dei dispositivi Ict (34%) e dalla saturazione delle risorse (29,4%). La Polizia Postale e delle Comunicazioni nell’ambito del contrasto al “financial cybercrime”, nel 2015 ha verificato 16.697 transazioni on line dubbie in 10 gruppi bancari, bloccando 65.870.825 milioni di euro e recuperando 2.734.269 milioni di euro.
Gran parte degli attacchi, hanno sfruttato le vulnerabilità tecniche dei software e delle architetture IT, ad esempio il mancato aggiornamento dei software continuamente implementati dagli sviluppatori al fine di far fronte alle nuove metodologie di attacco conosciute, o la mancata verifica del codice sicuro per il software messo in produzione, (effettuata solo dal 16,8%) o la sistematica gestione delle patch e delle versioni del software (effettuata da poco meno del 50% del campione) o l’archiviazione criptata delle informazioni critiche (21,8%), la raccolta e la gestione dei log degli operatori  che – anche se obbligatoria per la privacy – non raggiunge livelli di diffusione sufficienti, sino alla carenza o assenza dei piani di Disaster Recovery (effettuate solo dal 21%).
L’orizzonte Cyber è in continuo e rapido movimento, senza segnali di rallentamento. Il mondo assicurativo Italiano, nel quale operiamo si sta progressivamente coinvolgendo nel settore che presenta peculiarità critiche uniche, e necessita di complessità di analisi innovativa ed efficace.
Alla prossima per un’analisi del mercato assicurativo Italiano…. Sempreché non criptino il computer…
Massimiliano Montorsi

Fonti: Repubblica – checkpoint – clusit – new.microsoft.com