La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il rischio informatico nel mondo finanziario

PubblicatoGiuliana Carboni Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Il rischio informatico nel mondo finanziario"— Transcript della presentazione:

1 Il rischio informatico nel mondo finanziario
Nuovi attacchi, nuove difese TOR VERGATA 9 maggio 2012 Sabina Di Giuliomaria

2 Agenda Il rischio: una definizione Di che cosa NON vi parlerò oggi
Di che cosa è bene parlare sempre Il processo cardine della sicurezza 7 principi generali della sicurezza informatica 5 “W” del rischio informatico 7 principi base del Social Engineering Grandi aziende – grandi rischi Grandi aziende – risposta al rischio

3 Focus su…. APT Defense in depth The Black swan

4 Il rischio: una definizione
La probabilità che un evento in grado di produrre danni si verifichi e l'entità dei danni che ne possono derivare

5 Di che cosa NON vi parlerò oggi
Tecnologia (strumenti di attacco e di difesa) Carte (credito, debito, prepagate…) Quadro giuridico (criminalità informatica, codice privacy, direttive europee su sistemi di pagamento e moneta elettronica, Infrastrutture Critiche) FORENSICS (Forensic science) …………perché……………

6 Il processo cardine della sicurezza
Classificazione degli asset Minacce e Vulnerabilità Individuazione del rischio inerente Controlli In uso Rischio attuale Rischio residuo evitare mitigare trasferire accettare Risposta al rischio

7 La percezione del rischio: le persone esagerano i rischi …..
Spettacolari Rari Oltre il proprio controllo o imposti dall’esterno Di cui si parla molto Intenzionali o causati dall’uomo Immediati Improvvisi Nuovi e non familiari Che non conoscono Diretti contro i propri figli Moralmente offensivi Bruce Schneier

8 La percezione del rischio: le persone sottovalutano i rischi …..
Ovvii Comuni Ben conosciuti Anonimi Maggiormente sotto il proprio controllo o assunti volentieri Di cui non si parla Naturali A lungo termine o diffusi Che si evolvono lentamente nel tempo Che riguardano gli altri Bruce Schneier

9 I 7 Principi generali della sicurezza informatica
Le misure di sicurezza devono essere conformi ai requisiti di business aziendali, nonché alle normative vigenti. La sicurezza riguarda tutti e la consapevolezza individuale gioca un ruolo fondamentale nel conseguimento degli obiettivi di sicurezza prefissati. Le misure di sicurezza devono essere efficaci, comprensibili e bilanciate rispetto ai relativi costi. La sicurezza richiede una combinazione di misure tecniche e organizzative. È necessario che la sicurezza sia pianificata e integrata nelle attività di sviluppo sin dalle fasi iniziali. Le autorizzazioni devono essere basate sul principio del "need-to-know" correlato al business aziendale. La sicurezza deve essere continuamente monitorata. Fonte: OCSE, Guidelines for the Security of Information Systems; BCE, Information Technology Committee, ESCB Information Systems Security Policy.

10 Le 5 “W” del rischio informatico
WHO? WHY? WHAT? WHERE? WHEN?

11 WHO? Underground Hacker Economy: il mercato illegale e sommerso di beni e servizi alla base delle attività criminali perpetrate quotidianamente hacker indipendenti + in misura crescente rete organizzata che coinvolge criminali

12 WHO? Fonte: Rapporto Clusit 2012 – ICT security

13 WHO? Sophos: Distribuzione degli agenti di minaccia

14 WHO? Frequentemente i grandi attacchi esterni hanno visto la complicità di un insider all’azienda. Questo è il modo più insidioso e sotterraneo di attacco e può spesso arrecare i danni maggiori all’azienda frodata.

15 WHO? Fonte: McAfee threat predictions 2012

16 WHY? Anni ’70: sete di sapere Anni ’80: + curiosità
Anni ’90: + sfida ai sistemi informatici, scambio di informazioni  gruppi di hackers, comunità underground Anni 2000: rabbia e denaro + politica (cyber -hacktivism) + criminalità (cybercrime)

17 WHY? Fonte: SYMANTEC

18 WHY? La criminalità informatica colpisce i clienti delle banche in maniera sempre più sofisticata trovando modi nuovi per aumentare il proprio margine di profitto e, contemporaneamente, ridurre le probabilità di essere rintracciata. 18

19 WHAT? trasferimento/deviazione fondi carte di credito
credenziali di home banking indirizzi di posta elettronica scambio di servizi di cash out (trasformazione di fondi provenienti da account di home banking rubati in denaro pulito) hosting di pagine web dedicate al phishing servizi di traduzione in varie lingue di mail di phishing vendita o noleggio di tool completamente automatizzati (crimeware) per poter diventare un phisher in poche ore + contratto garanzia + help desk Botnet ……

20 WHAT? Il cybercrime rappresenta oggi il secondo tipo di crimine economico più diffuso nell’industria, dietro solo all'appropriazione indebita di asset. 38% di tutti i crimini economici ai danni del mondo finanziario= cyberattacks.  impatti maggiori: il danno d’immagine (54%), la perdita di dati sensibili (49%), le perdite finanziarie (39%) noie regolamentari (32%). Nonostante ciò….. il 29% degli intervistati ammette che in azienda non c’è alcun piano di formazione legato alla cybersecurity.    Fonte: PricewaterhouseCoopers - indagine  condotta su 878 rappresentanti di istituti finanziari di 56 Paesi a fine 2011 20

21 WHAT? Fonte: Rapporto Clusit 2012 – ICT security

22 Nuovi Malware creati nel 2011
Fonte: PandaLabs

23 Infezioni Malware nel 2011 Fonte: PandaLabs

24 WHERE? Fonte: Verizon Data breach investigations report 2012
- Paesi colpiti da almeno un attacco nel 2009

25 WHERE? Fonte: Verizon Data breach investigations report 2012
- Paesi colpiti da almeno un attacco nel 2010

26 WHERE? Fonte: Verizon Data breach investigations report 2012

27 WHEN? Man In The Middle (Man In The Browser, Man In The Channel/sms)
Botnet Malware APT Social Engineering Targattacks Events BYOD (Android) Pagamenti virtuali TV on the Net Game consolle 2012? "

28 WHEN? I creatori di Trojan bancari che rubano informazioni riservate sono raramente le stesse persone che in realtà rubano i soldi. Il modello di business criminale che si è sviluppato intorno a questo tipo di malware è molto complesso e viene schematizzato in seguito. Figura 3. Schema di furto dati. In primo luogo, i gruppi di cyber-criminali (fig. 1) commissionano un Trojan costruito apposta con caratteristiche specifiche ai forum specializzati o al mercato nero del malware (fig. 2). Essi possono anche affittare l'intera infrastruttura necessaria per distribuire il Trojan, tramite i server di spam o malware che utilizzano le tecniche di drive-by-download: attraverso questa tecnica, i file possono essere scaricati automaticamente ai computer sfruttando le falle di sistema senza la conoscenza degli utenti. Una volta che ottengono il Trojan, questo viene distribuito agli utenti per rubare i loro dati bancari (fig. 3). A tal fine, i metodi di distribuzione più comuni sono le pagine web spam o infette. La tecnica per infettare pagine web legittime è quella di modificare il codice sorgente, aggiungendo un intermezzo di riferimento ad un server maligno. Questi criminali non rubano denaro direttamente dagli utenti, rubano le loro coordinate bancarie che vengono poi vendute ad altri (fig. 4). Questa strategia rende ancora più difficile, alle Forze dell’ordine, scoprire il percorso reale. Tutti i dati rubati sono venduti sul mercato malware. Tuttavia, nemmeno coloro che acquistano i dati bancari rubati in realtà rubano il denaro. Per coprire ancora di più le loro tracce, contattano altre persone che fungono da intermediari del denaro, i money mule[1] (Fig.5) Il denaro rubato viene trasferito sui conti dei money mule, che mantengono circa il 3-5% dell'importo trasferito e quindi utilizzano un tipo di piattaforma a pagamento o un altro modo anonimo di inviare denaro per mandare i soldi ai veri criminali. Quando i crimini vengono denunciati alla polizia, l'unica pista è quella che conduce direttamente ai money mule. Questo significa che chiunque vince, tranne, naturalmente, le vittime ed i “muli”, che verranno considerati gli unici responsabili. [1] I “money mule” sono persone che trasferiscono il denaro rubato da un Paese all’altro e possono essere soggette a procedimento penale per le loro azioni. PandaLabs Bulletins 2009

29 2012? Fonte Trend Micro

30 Grandi aziende – grandi rischi
I nuovi campi di battaglia: Mobile Cloud Crisi economica …… mai sottovalutare i rischi interni …… 30

31 Fonte: Pricewaterhouse Coopers (Global Economic Crime Survey – nov 2011)

32 Fonte: Pricewaterhouse Coopers (Global Economic Crime Survey – nov 2011)

33 Grandi aziende – la risposta al rischio
Risk Assessment (classificare le risorse, valutare impatti e probabilità degli scenari di rischio, decidere presidi, accettare rischio residuo) Formazione AWARENESS (int.+ext.) Business Continuity Plan – Disaster Recovery Defense in depth – la difesa in profondità * Il cigno nero * 33

34 Advanced Persistent Threats
Fonte Trend Micro

35 APT Il target Le motivazioni I punti di attacco
Posti di lavoro-rete aziendale Strumenti di mobilità (byod) Social Engineering

36 APT Fonte: McAfee dic 2011

37 Attacco APT Fonte: Trend Micro

38 Defense in depth (National Security Agency-NSA)
Fonte: 38

39 Defense in depth Fonte:

40 L’anello più debole della catena
il pericolo maggiore = Social Engineering

41 I 7 principi base del Social Engineering
Principio della distrazione Principio dell’aderenza alla società Principio del gruppo Principio della disonestà Principio dell’illusione Principio del bisogno e dell’opportunismo Principio del tempo University of Cambridge - Computer Laboratory – Agosto 2009 Understanding scam victims: seven principles for systems security (Frank Stajano, Paul Wilson)

42 Nassim Nicholas Taleb Filosofo, saggista e matematico libanese naturalizzato statunitense, esperto di matematica finanziaria. Il suo saggio Il cigno nero (2007) è stato inserito dal Sunday Times tra i libri che hanno cambiato il mondo …della incertezza che avvolge le vicende umane…feroce polemica contro color che cercano di convincerci che l’incertezza è controllabile e il rischio non esiste.

43 “tutti i cigni sono bianchi”
Il cigno nero Giovenale: rara avis in terris nigroque simillima cygno = un fatto impossibile o perlomeno improbabile. “tutti i cigni sono bianchi” => fino alla scoperta del cigno nero australiano Chenopis atrata da parte degli esploratori europei (‘800). Una falsa premessa può portare a un risultato sbagliato e dei dati limitati producono una conclusione incorretta. Il limite del ragionamento secondo cui "tutti i cigni sono bianchi" è dato dai limiti dell'esperienza che ci fa credere che non esistano cigni neri.

44 The black swan è un evento isolato , che non rientra nel campo delle normali aspettative, poiché niente nel passato può indicare in modo plausibile la sua possibilità; ha un impatto enorme; nonostante il suo carattere di evento isolato, la natura umana ci spinge a elaborare a posteriori giustificazioni della sua comparsa per renderlo spiegabile e prevedibile. 44

45 A black swan 45

46 Il processo cardine della sicurezza
Classificazione degli asset Requisiti di sicurezza /security goal PRESIDIO RECOVERY Controlli In uso Rischio attuale evitare mitigare trasferire accettare Risposta al rischio Rischio residuo 46

47 STAY TUNED…and DON’T GIVE UP!

Scaricare ppt "Il rischio informatico nel mondo finanziario"

Presentazioni simili

Presentazione della ricerca Internet e cinema Focus on Europe- Kidflix Special Giffoni, 19 luglio 2003.

Presentazione della ricerca Internet e cinema Focus on Europe- Kidflix Special Giffoni, 19 luglio 2003.
APRE Agenzia per la Promozione della Ricerca Europea

APRE Agenzia per la Promozione della Ricerca Europea
Le migrazioni temporanee per lavoro dei molisani diplomati e laureati

Le migrazioni temporanee per lavoro dei molisani diplomati e laureati
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
1 CONVEGNO SOCI ANSSAIF 2004 23-24 settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.

1 CONVEGNO SOCI ANSSAIF settembre 2004 Golg Hotel Acaya (Lecce) Paolo Giudice (CLUSIT, ANSSAIF, CLUSIS, CISCA) Lassicurazione come trasferimento.
Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.

Anthony Cecil Wright Roma, 20 Giugno 2006 Prima indagine sul Phishing in Italia.
PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA

PREVENZIONE DEL CRIMINE SICUREZZA E PSICOLOGIA
L’istruzione, la crisi ed il mercato del lavoro giovanile

L’istruzione, la crisi ed il mercato del lavoro giovanile
INTERNET: RISCHI E PERICOLI

INTERNET: RISCHI E PERICOLI
A che punto è il digital divide nella scuola piemontese? Una proposta di indagine Marina Battistin.

A che punto è il digital divide nella scuola piemontese? Una proposta di indagine Marina Battistin.
I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.

I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.
La Macroeconomia: l’offerta e la domanda aggregata

La Macroeconomia: l’offerta e la domanda aggregata
Il management del marketing

Il management del marketing
ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,

ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,
Daniela Corsaro Università Cattolica del Sacro Cuore di Milano

Daniela Corsaro Università Cattolica del Sacro Cuore di Milano
Il Business Plan Area Creazione e Sviluppo d’Impresa ARIES

Il Business Plan Area Creazione e Sviluppo d’Impresa ARIES
Banche e Aziende ICT: esploriamo nuovi orizzonti

Banche e Aziende ICT: esploriamo nuovi orizzonti
Viaggio della ricerca in Italia Università Politecnica delle Marche 20 Maggio 2005 LINIZIATIVA ERA-MORE E IL PORTALE PER LA MOBILITA Katia Insogna Fondazione.

Viaggio della ricerca in Italia Università Politecnica delle Marche 20 Maggio 2005 LINIZIATIVA ERA-MORE E IL PORTALE PER LA MOBILITA Katia Insogna Fondazione.
POLICY E VALUTAZIONE DELLE COMPETENZE:

POLICY E VALUTAZIONE DELLE COMPETENZE:
Danco Singer 2004 - 2005 Larga Banda Master in Editoria Multimediale La velocità di trasportare contenuti.

Danco Singer Larga Banda Master in Editoria Multimediale La velocità di trasportare contenuti.

Presentazioni simili

Annunci Google