27 giugno Il patrimonio informativo Data Loss Prevention Come tutelare l’azienda dalla fuga di notizie e dallo spionaggio industriale

Cosa può causare? 27 giugno

Proprio qualche giorno fa… Financial Times del 07 Aprile 2008 HSBC, the UK’s biggest bank, has apologised to customers after losing the personal details of 370,000 people (names, life insurance cover levels, dates of birth and whether or not a customer smokes) The bank said a computer disk had gone missing after it was couriered from one of its offices in Southampton en-route to another office The incident is the latest in a series of incidents where data has gone missing from banks and government departments. ► Last November, the government admitted it had lost two CDs containing details of 25m child benefit records. ► Another UK bank HBOS was forced to apologise to more than 60,000 mortgage customers last June after private information about them was lost in the post. ► Bank of Scotland, which is part of HBOS, had sent a computer disc containing names, addresses and dates of birth through the post to a credit reference agency. 27 giugno

4 Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni

Spionaggio militare/governativo Financial Times del 12 Marzo 2008 US military raises alarm on cyber attacks Kevin Chilton (general for cyber operations): “You worry about activities from an individual to an organisation like al-Qaeda to a nation state” The Pentagon has become especially sensitive to the growing threat from cyberspace since last June, when hackers successfully penetrated and stole data from the unclassified network serving Robert Gates, the US defence secretary Privately, US cyber experts admit that the US has long had the ability to attack – and steal – information from foreign government computer networks. Their concerns are that China and Russia are developing the same capabilities 27 giugno

Malware in aumento Rapporto di G Data del 7 Febbraio 2008 Il furto di dati e reti “Bot” ha occupato i titoli dei giornali nel 2007 Malware aumentato del 338,6% Principale interesse: furto dati e spionaggio Esempio citato: violente manifestazioni aventi protagonisti russi ed estoni sfociarono, attraverso le reti “Bot”, in attacchi di tipo Distributed Denial of Service su numerosi siti web di ministeri, funzionari governativi, banche, giornali e imprese 27 giugno

Spionaggio alle corporates Financial Times del 01 Dicembre 2007 US military raises alarm on cyber attacks The director-general of MI5 (Jonathan Evans) has warned banks and financial services companies that commercially sensitive information is at risk of being compromised by Chinese computer hacking The decision to send a letter to private companies appears to be an attempt to emphasise that it is not only government computers at risk from Chinese hackers, but those from the private sector too They do not only use traditional methods to collect intelligence but increasingly deploy sophisticated technical attacks, using the internet to penetrate computer networks 27 giugno

Sottrazione di informazioni La Repubblica del 01 Dicembre 2007 Il sistema economico britannico a forte rischio di cyber spionaggio A rivelarlo sono i servizi segreti di Sua Maestà, secondo cui gli hacker cinesi su mandato di "organizzazioni statali" di Pechino si infiltrano nella rete per sottrarre informazioni dai database di grande banche, importanti società o studi legali "Le aziende britanniche - prosegue la nota - che operano in Cina sono guardate a vista dall'esercito cinese che usa Internet per appropriarsi di informazioni commerciali confidenziali“ Dopo gli Usa e la Francia anche la Gran Bretagna entra quindi nel mirino degli hacker cinesi 27 giugno

Furti di know-how Il Sole24Ore del 28 Ottobre 2007 Spiate 4 aziende su 10 Società vittime di frodi industriali e l’Italia detiene il primato per il numero di reati in materia di proprietà intellettuale… furti di intellectual properties all’ordine del giorno… Una tra le cause principali di rischio è la mancanza di fedeltà all’azienda con cui si hanno rapporti di lavoro. 80% del settore finanziario è vittima di violazioni delle regole di governance, di frodi finanziarie interne, di attacchi informatici. Il 23% di queste violazioni sono attentati alla proprietà intellettuale 27 giugno

Il fattore umano Il Sole24Ore del 28 Ottobre 2007 Il fattore umano è la prima causa di violazione dei sistemi In certi casi e per certe situazioni la tecnologia non può fare nulla Dischi esterni, pendrive e palmari aumentano il rischio dell’azienda, diminuiscono la difficoltà di compimento del reato, diminuiscono le possibilità di rilevamento Il 47% delle aziende manifatturiere italiane hanno subito furti di proprietà intellettuale Un illecito è spesso commesso da parte di qualcuno che ha la ragionevole certezza di farla franca, ergo, una della cause per le attività di spionaggio è la totale assenza di procedure e meccanismi di auditing che consentano, a fronte d un incidente, di poterlo ricostruire individuandone il responsabile 27 giugno

Computer Crime Trend Fonte: Computer Security Institute – Security Survey 2007 Perdite medie riportate rispetto al 2006: +108% Il 18% del totale è dovuto a malware Le frodi finanziarie sorpassano gli attacchi virus in termini di perdite finanziarie. Se si unisse in una sola categoria tutte le perdite di dati (customer e proprietary), quest’ultima sarebbe al secondo posto. Le azioni di penetration da outsiders sono al quarto posto. L’abuso interno della rete e della posta ha superato la problematica dei virus in termini di “types of attacks or misuse” La percentuale delle organizzazioni che hanno denunciato intrusioni agli enti preposti è passata dal 25% al 29% Budget IT speso per Awareness Training: <1% per il 48% delle organizzazioni Tecniche utilizzate per valutare l’efficacia delle tecnologie di sicurezza implementate: 63% mediante security audits compiute da staff interno 27 giugno

Alcuni casi (1) TJX Companies (denunciato il 17 Gennaio 2007) Più di 45 milioni di records (carte di credito) rubati da hackers (outsiders) sfruttando una debolezza del sistema wireless. Visa (denunciato il 19 Giugno 2005) Milioni di carte di credito rubate da hackers (outsiders) mediante la compromissione del sistema di gestione delle carte CardSystem. Corriere della Sera del 23 Ottobre 2007 La casa automobilistica Great Wall Motor replica alle accuse di Torino: non abbiamo copiato la Panda. La Repubblica del 26 Aprile 2006 In Cina copiano anche le Ferrari. Sequestrata una rara 330 P4. E questo si aggiunge alla nota vicenda che ha visto coinvolta la McLaren (insiders) 27 giugno

Alcuni casi (2) La Gazzetta dello Sport dell’08 Novembre 2007 La Renault è stata accusata di essere entrata in possesso, senza autorizzazione, di progetti e informazioni confidenziali appartenenti alla McLaren-Mercedes“ (insiders) Il Corriere della Sera del 9 Settembre 2007 Fuga di notizie (insiders) sui test, pubblico ministero all’università (plichi a Catanzaro, voti sospetti al sud) La Repubblica del 22 Giugno 2007 La polizia postale indaghi sulla fuga di notizie (insiders) avvenuta ieri durante la seconda prova degli esami di maturità: lo chiede il Codacons. La Repubblica del 15 Ottobre 2007 Fuga di notizie riservate verso boss di Cosa Nostra (insiders) La repubblica del 26 Settembre 2007 Caos arbitri dopo la fuga di notizie (insiders): il designatore Collina cambia la terna arbitrale 27 giugno

Tipologie di utenti e comportamenti (fonte Forrester) Utente “zero-knowledge” Peccano di ingenuità Non conoscono le policy e le normative Utente “gadget-maniac” Utilizzatore della tecnologia e dei supporti esterni Tester di software e soluzioni Chat, blog, p2p, voip Utente “giocherellone” Non utilizza gli strumenti aziendali come dovrebbe Scarica musica, film e giochi Utente “spia-calimero” Fuga di notizie fraudolenta Accesso fisico-logico ad aree a lui non consentite 27 giugno L’ 80-90% della perdita di informazioni è accidentale e non intenzionale (Gartner)

Sintesi e statistiche (1) 27 giugno

Sintesi e statistiche (2) 27 giugno

La sfida di oggi: DLP 27 giugno

27 giugno Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni

Perdita di confidenzialità La perdita di confidenzialità si può configurare in due modalità 1.Sottrazione di informazioni riservate da parte di entità esterne  attività spionistiche  attacchi informatici condotti da Internet  attacchi informatici condotti verso il perimetro aziendale  aziende terze/terzisti legate da contratti di partnership 2.Sottrazione di informazioni riservate da parte di personale interno  necessario comprendere chi potrebbe avere l’interesse e la possibilità di compiere un simile illecito nonché le motivazioni 27 giugno

Information Leakage Le condizioni necessarie alla base dei fenomeni di information leakage sono due: Possibilità di accesso alle informazioni riservate ► tematiche legate al controllo degli accessi Esistenza di relazioni tra chi commette l’illecito e la realtà terza che entrerà in possesso delle informazioni riservate ► individui la cui attività professionale presuma o favorisca lo sviluppo di attività relazionali ► livello dirigenziale che, per motivi professionali, intrattiene intensi rapporti relazionali con realtà esterne 27 giugno

Concetto di rischio 27 giugno Si definisce rischio (R) il prodotto scalare tra la gravità (G) delle conseguenze che un evento pericoloso determinerebbe (impatto) e la probabilità (P) che tale evento pericoloso (minaccia) si realizzi Obiettivo: Riduzione del rischio Azione: Riduzione della probabilità che si verifichi l’evento Azione: Riduzione dell’impatto causato dal verificarsi dell’evento La migliore strategia di riduzione del rischio dovrebbe intervenire su entrambi i fronti

Approccio consigliato 27 giugno Aumentare il rischio di chi commette l’illecito Riduzione dell’impatto Riduzione della probabilità Aumento dell’impatto (pena) Aumento della probabilità (identificazione e ricostruzione)

Sottrazione dall’esterno 27 giugno Si agisce sul fronte della probabilità legata all’evento (diminuzione di ) Diminuire la probabilità che l’evento si verifichi Assunzione: il furto di informazioni per mezzo di attacchi condotti da Internet è possibile se e solo se le informazioni medesime sono raggiungibili da Internet Le postazioni di lavoro impiegate da personale che ha accesso a informazioni riservate sono sempre più spesso connesse a Internet Infezione diretta: attacchi mirati indiretta: strumenti spionistici per i quali non sono disponibili contromisure tecnologiche come gli antivirus o i software contro il malware) Si suggerisce l’adozione di una policy di sicurezza che regolamenti e protegga l’accesso a Internet da parte delle postazioni di lavoro a rischio

Sottrazione dall’interno 27 giugno Contromisure tecnologiche volte a contenere la possibilità di accesso e trattamento delle informazioni riservate supportare le attività investigative e di ricostruzione degli incidenti, ove si verifichino, garantendo dunque l’individuazione dei colpevoli (aumento della probabilità di ) Contromisure organizzative volte a regolare l’uso delle tecnologie da parte delle utenze il controllo operato dall’organizzazione

27 giugno Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni

Il percorso da seguire 27 giugno Dati Analisi dei macrodati Analisi del rischio Outsiders Analisi delle minacce Diminuzione probabilità di accadimento Contromisure Insiders Analisi delle minacce Possibilità di investigazione e ricostruzione incidenti Inasprimento pena e sanzioni Contromisure Policy operative Utilizzo strumenti aziendali Definizione regole di accesso ed utilizzo dei dati Regolamentare i rapporti con partner e terzisti Policy organizzative Definizione e divulgazione controlli in essere Sensibilizzazio ne e formazione Relazioni sindacali

Analisi delle minacce 27 giugno

Governo del rischio 27 giugno Identificazione del rischio Valutazione del rischio (risk assessment) Mitigazione del rischio

Riduzione del rischio e contromisure 27 giugno Nella definizione delle raccomandazioni in tema di meccanismi di controllo è opportuno considerare i seguenti fattori: 1.Efficacia dei meccanismi di controllo proposti 2.Obblighi legislativi e normativi 3.Politiche adottate dall’organizzazione 4.Impatto operativo 5.Sicurezza e affidabilità

La attuale tecnologia DLP (1) 1. Data analysis & inventory Classificazione dei dati e politiche di accesso Localizzazione e movimento dei dati Data fingerprinting 2. Ciclo di vita del dato Gestione del dato: creazione, modifica, cancellazione, rimozione Strumenti utilizzati per l’accesso alle informazioni Modalità di utilizzo e scambio del dato 3. Politiche di controllo e reaction Definizione delle security policies Monitoraggio real-time dell’utilizzo del dato Tracciamento e ricostruzione 27 giugno

La attuale tecnologia DLP (2) DATA IN MOTION CED ► Strumenti utilizzati ► Controllo del ciclo di vita del dato Network ► Monitoraggio del traffico real-time ► Protocolli utilizzati DATA AT REST Controllo dell’accesso al dato Crittografia DATA IN USE Definizione delle regole di comportamento sul dato Controllo dell’end-point 27 giugno

Le contromisure tecnologiche per la DLP Protezione e controllo accessi al dato On-line Off-line (backup, caselle mail POP, file system locale, device esterni…) Cartaceo (cestini, armadi, scrivanie…) Monitoraggio del traffico Monitoraggio delle attività Centralizzazione e controllo degli eventi Filtraggio ed analisi del contenuto Sicurezza fisica 27 giugno

Le contromisure organizzative per la DLP (1) Definizione delle politiche di: accesso e manipolazione dei dati comportamento ed utilizzo dei dati Definizione delle procedure di: monitoraggio delle attività conservazione degli eventi controllo degli eventi Divulgazione ai fruitori delle: norme di utilizzo dei dati norme di utilizzo degli strumenti aziendali esistenza e modalità di effettuazione dei controlli 27 giugno

Le contromisure organizzative per la DLP (2) Definire opportune procedure di audit periodico dinamicità degli strumenti dinamicità delle politiche e dell’utenza dinamicità dei meccanismi di controllo modifica della classificazione dei dati Impostare norme contrattuali, leve politiche e di etica per la gestione dei partners e dei terzisti Impostare un dialogo ed un approccio condiviso con la rappresentanza sindacale 27 giugno

Tallone d’Achille 1. Difficile “garantire” la protezione dei dati critici aziendali a. Si agisce sull’aumento del rischio per chi commette l’illecito 2. Attenzione alla steganografia o simili 1. Si agisce sul monitoraggio delle attività e sulla conservazione degli eventi 27 giugno

27 giugno Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni

I controlli sono leciti? Linee guida del Garante per posta elettronica e internet Gazzetta Ufficiale n. 58 del 10 marzo 2007 Informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli Vieta poi la lettura e la registrazione sistematica delle così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori Raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori Qualora le misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità 27 giugno

Sentenze Il Corriere della Sera del 19 Dicembre 2007 Sentenza n della Cassazione Penale: non è reato consultare la posta elettronica del dipendente previa informativa I dirigenti dell'azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione 27 giugno

Vietato spiare… ma La Repubblica del 13 Marzo 2008 "Vietato spiare chi scarica musica“ - Altolà del Garante della privacy Caso Peppermint: la società discografica ha svolto, attraverso una società informatica svizzera, un sistematico monitoraggio delle reti peer to peer I motivi addotti dal Garante: La direttiva europea sulle comunicazioni elettroniche vieta […] trattamenti di dati massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti Violazione del principio di finalità: le reti p2p sono finalizzate allo scambio tra utenti di dati e file per scopi personali. L'utilizzo dei dati dell'utente può avvenire, dunque, soltanto per queste finalità e non per scopi ulteriori. Non sono stati rispettati i principi di trasparenza e correttezza, perchè i dati sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non erano necessariamente coinvolti nello scambio di file. 27 giugno

I passi fondamentali 27 giugno Cosa si vuole monitorare EventiAttivitàChange Identificazione delle sorgenti ServerApplicazioniDevicesClient Dove sono contenute le informazioni necessarie Politiche di audit Politiche di trasporto e rotazione

… e solo dopo 27 giugno Architettura ricettorinormalizzatoricorrelatori Correlazione politicheregole Conservazione On-lineOff-line Gestione real-time alertingreportisticaanalisi e Debuggingalarming e alertinggestione incidenti

… e prima di rendere operativo 1. Coinvolgimento della rappresentanza sindacale (controllare ed accertare) 2. Definizione, divulgazione e sottoscrizione delle politiche di controllo (controllare) 3. Definizione, divulgazione e sottoscrizione delle politiche di utilizzo degli strumenti informatici (controllare) 4. Definizione, divulgazione e sottoscrizione delle politiche di accertamento e tracciamento (accertare) 27 giugno

27 giugno Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni

Il decalogo della DLP 1. Quali sono i dati riservati? 2. Chi vi può accedere e con che strumenti? 3. Chi potrebbe essere l’outsider? 4. Chi potrebbe essere l’insider? 5. Come proteggermi dagli outsiders? 6. Come definire e regolamentare il rapporto con i partners/terzisti? 7. Come monitorare gli insiders? 8. Come definire e divulgare le mie politiche interne? 9. Come sensibilizzare e formare i miei dipendenti? 10. Come condurre il tracciamento e le analisi investigative? 27 giugno

Sezione “domande e risposte” 27 giugno