Sicurezza informatica: Lo stato dell’arte e le novità normative 20 gennaio 2017
Gabriele Faggioli Legale CEO Partners4innovation (Digital 360) Adjunct Professor MIP-Politecnico di Milano Presidente CLUSIT (Associazione Italiana per la Sicurezza Informatica) Membro del Group of Expert in Cloud Computing Contract della Commissione Europea Responsabile scientifico dell’Osservatorio Security & Privacy del Politecnico di Milano
Rapporto CLUSIT 2016 Dalla edizione del Rapporto Clusit, completata nel Gennaio 2016, è emersa l’assenza di: un’adeguata consapevolezza a livello globale nei confronti delle minacce cibernetiche; adeguati investimenti in termini economici; una visione prospettica necessaria ad affrontare un problema che richiede tempi di reazione estremamente rapidi.
2016: il rischio «cyber» diventa inaccettabile (1/2) Lo scenario attuale: Da un lato: a partire dal 2016 l’Italia si è dotata di un articolato «Piano nazionale per la protezione cibernetica e la sicurezza informatica»; del febbraio 2016 è la pubblicazione di un «Framework Nazionale di Cyber Security», frutto di un’inedita partnership tra pubblico e privato; D’altro lato, però: le tipologie di aggressori si sono moltiplicate; le perdite economiche sono aumentate di 4 volte; è aumentata in modo significativo la superficie di attacco, in conseguenza del crescente processo di digitalizzazione (Social Media, Cloud, Mobile ed Internet of Things); il settore dell’ICT ha subito tagli di budget.
2016: il rischio «cyber» diventa inaccettabile (2/2) Ciò imporrebbe di adottare dei piani strategici a livello nazionale, che coinvolgano l’architettura istituzionale di sicurezza cibernetica; al contrario, negli ultimi tre anni il divario tra percezione dei rischi «cyber» e realtà, tra gravità di questi rischi ed efficacia delle contromisure adottate, è aumentato; attualmente, dunque, il tema della cybersecurity non è ancora gestito in modo efficace.
Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia DISTRIBUZIONE DEGLI ATTACCANTI PER TIPOLOGIA Rispetto al 2014, nel 2015 le tipologie di attaccanti sono così ripartite: Cybercrime (+30,04%, con 684 attacchi) Hacktivism (- 11%, con 209 attacchi) Espionage (+ 40%, con 96 attacchi) Information welfare (-50%, con 23 attacchi)
Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia DISTRIBUZIONE DELLE VITTIME PER TIPOLOGIA (1/2) Rispetto al 2014, nel 2015 la crescita maggiore degli attacchi gravi si osserva verso: Critical Infrastructures (+ 153,85%) Online Services/Cloud (+ 81,55%) Entertainment/News (+ 79,22%) Automotive (+ 66,67%)
Rapporto CLUSIT 2016 sulla sicurezza ICT in Italia DISTRIBUZIONE DELLE VITTIME PER TIPOLOGIA (2/2) Research/Education (+ 51,85%) Banking/Finance (+28%) Software/Hardware vendor (+ 25%) Health (+ 12,50%)
Osservatorio Politecnico di Milano I risultati 2015 – Le fonti di attacco 18% Competitor 49% Lavoratori attuali 58% Associazioni criminali Ex lavoratori 14% Interne Esterne Collaboratori diretti 30% 46% Hacktivist Le fonti di attacco sono eterogenee, ed i numeri confermano che sono sia di origine esterna che interna. Infatti, accanto al rimine organizzato e agli hacktivist, anche i lavori attuali ed i collaboratori diretti rappresentano fonti di attacco rilevanti. Provider di servizio IT 17% Campione : 124 rispondenti
Osservatorio Politecnico di Milano I risultati 2015 – Le principali vulnerabilità Inconsapevolezza rispetto alle policy aziendali 78% Distrazione delle persone 56% Accesso in mobilità alle informazioni 47% Presenza di device mobile personali (BYOD) 33% Architettura IT obsoleta 18% In effetti, analizzando le principali vulnerabilità, emerge come sia proprio l’inconsapevolezza sulle privacy aziendali e la distrazione delle persone a rappresentare il rischio maggiore. Vi sono poi anche elementi legati all’accesso in mobilità alle informazioni e piu’ in generale alla compresenza in ambito business anche di device personali. Da non dimenticare, inoltre, gli aspetti tecnologici, legati ad un architettura IT spesso non allo stato dell’arte. Campione : 125 rispondenti
La normativa cogente: sviluppi passati, attuale e trend futuri Linee di tendenza normative Tendenza a porre in essere normative che impongono adempimenti mirati a proteggere l’azienda dall’interno. Solo in relazione alle infrastrutture critiche si tende a emanare normative che impongono misure di sicurezza a protezione di attacchi esterni Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali Spinta alla sicurezza (obblighi di adottare misure di sicurezza) ma limiti alla sicurezza (tutela privacy del lavoratore e dei terzi) Estensione degli obblighi di raccogliere i log Estensione degli obblighi di segnalazione dei casi di data breach Regolamentazione del tempo di mantenimento dei dati Grande attenzione del tema security nell’ambito dei servizi IT e in particolare nel caso di servizi di cloud computing Creazione della figura del DPO
EVOLUZIONE NORMATIVA La normativa sulla privacy ha avuto una serie di passaggi rilevanti: 1996: emanata la prima legge sulla protezione dei dati personali che prevedeva l’obbligo di adozione delle misure «minime» di sicurezze e delle misure di sicurezza «idonee». Fu una rivoluzione e per la prima volta i «dati personali» potevano essere trattati seguendo regole ben determinate con relative, importanti, responsabilità. Seguirono poi le misure di sicurezza di cui al D.P.R. 28-07-1999, n. 318: Pregio: grandissima valenza educativa Difetto: normativa sperimentale, ampiezza e farraginosità della normativa 2003: emanato il d.lgs 196/03 che ha completamente riaccorpato la normativa (e che è ancora la normativa in vigore). Le misure minime di sicurezza sono previste dall’Allegato B. Esistono però numerosi provvedimenti ancillari alla normativa che prevedono misure di sicurezza obbligatorie per una serie di trattamenti e interi settori di mercato Pregio: plasmatura per settori di mercato Difetto: scarsa capacità della norma di adeguarsi alle evoluzioni tecnologiche (cookies) 2018: Regolamento UE. Impostazione «sistemica». Il tema della sicurezza passa da una logica di «minimo» a una logica di «adeguato» in base ai rischi corsi (e nei casi previsti alla valutazione di impatto). In pratica ogni azienda o pubblica amministrazione deve analizzarsi e decidere come posizionarsi
LINEE DI TENDENZA NEGLI ULTIMI ANNI Tendenza a porre in essere normative che impongono adempimenti mirati a proteggere l’azienda dall’interno. Solo in relazione alle infrastrutture critiche si tende a emanare normative che impongono misure di sicurezza a protezione di attacchi esterni Tendenza a porre in essere provvedimenti settoriali in sostituzione di provvedimenti generali Spinta alla sicurezza (obblighi di adottare misure di sicurezza) ma limiti alla sicurezza (tutela privacy del lavoratore e dei terzi) Estensione degli obblighi di raccogliere i log Estensione degli obblighi di segnalazione dei casi di data breach Regolamentazione del tempo di mantenimento dei dati Grande attenzione del tema security nell’ambito dei servizi IT e in particolare nel caso di servizi di cloud computing Creazione della figura del DPO
art. 32 GDPR art. 19 EIDAS art. 29 art. 14 NIS MISURE TECNICHE E ORGANIZZATIVE appropriate adeguate art. 32 GDPR art. 19 EIDAS art. 29 CRIMINAL OFFENCES AND PENALTIES art. 14 NIS
art. 32 GDPR art. 19 EIDAS art. 29 art. 14 NIS MISURE TECNICHE E ORGANIZZATIVE per gestire i rischi legati alla sicurezza dei servizi fiduciari per garantire un livello di sicurezza adeguato al rischio art. 32 GDPR art. 19 EIDAS art. 29 CRIMINAL OFFENCES AND PENALTIES art. 14 NIS
IL PERCORSO NORMATIVO ? 13 Dicembre 2016 Leggi nazionali, Linee guida, Provvedimenti e Autorizzazioni dell’Autorità 13 Dicembre 2016 Pubblicazione delle Linee Guida (WP Art.29) 25 maggio 2018 Il Regolamento n. 679/2016 diventa applicabile 24 Maggio 2016 Entrata in vigore del Regolamento n. 679/2016 10 gennaio 2017 Proposta di Regolamento per la riforma della Direttiva E-Privacy
COSA ACCADE A MAGGIO 2018 Regolamento 2016/679 IN VIGORE, NON APPLICABILE (?) Direttiva 1995/46 IN VIGORE, DECADE il 24 maggio 2018 Autorizzazioni Generali Autorità Garante IN VIGORE, DECADONO il 24 maggio 2018 Provvedimenti Autorità Garante NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Accordi internazionali su trasferimento dati NON DECADONO fino a quando non verranno modificati, sostituiti, abrogati Decisioni Commissione UE NON DECADONO fino a quando non verranno modificate, sostituite, abrogate
GRAZIE Gabriele.faggioli@p4i.it