FORENSICS E FRODI AZIENDALE 21 NOVEMBRE 2001 AIEA, Sessione di Studiio
Lapplicazione di computer science al processo investigativo Però… Non esiste una definizione universalmente accettata Sotto-discipline incluse: Computer media analysis Imagery e Video/Audio enhancement DB visualization Non esiste una Procedura Operativa definita di Computer Forensics Una checklist di 17 punti per il processo investigativo degli hard drives dei computers redatta da IACIS è disponibile solo per le forze di polizia giudiziaria Computer Forensics: una definizione
Investigare che cosa? 3 livelli di rischio Italiano: Dipendenti Consulenti esterni Terze parti 4 tipi di reati: Reati contro dati (access/interception/interference/misuse) Reati legati ai sistemi informativi (frodi ecc.) Reati legati ai contenuti Violazione del diritto dautore e affini Draft Convention on Cyber Crime June European Committee on Crime Problems
INTERNET INTRANET CORPORATE VPN APP 3 ORDER FULFILLMENT APP 3 ORDER FULFILLMENT APP 2 INVENTORY APP 2 INVENTORY APP 4 SUPPLY CHAIN APP 4 SUPPLY CHAIN APP 1 CRM APP 1 CRM APP 5 LOGISTICA APP 5 LOGISTICA APP 6 HR/AMMIN APP 6 HR/AMMIN Customer/ Supply Chain Transactions Customer Inquiries Supply Chain Transactions Customer Transactions Mobile/Remote Mobile/RemoteEmployees Customer Inquiries Supply Chain Transactions ExtranetNetwork/ApplicationSecurity Application security LIVELLI DI ACCESO
I DANNI La Sfida: Come gestire il rischio LE TRE ZONE DI RISCHIO PER OGNI BUSINESS COMMERCIALE TECNOLOGICOLEGALE LA SICUREZZA I REATI E I DIRITTI ++ LINDIVIDUO V. LAZIENDA
Che dicono le aziende? 9%: violazione della sicurezza negli ultimi 12 mesi 50%: le minacce più consistenti sono dovute ad hackers e inadeguatezza dei sistemi di sicurezza 79%: la violazione sarà perpetrata attraverso internet o altri accessi esterni 50%: procedure per contrastare le violazioni 22%: includono linee guida per il forensic response Non è stata intrapresa azione legale per: inadeguatezza delle soluzioni legali, impossibilità di recovery, e mancanza di prove (KPMG 2001 e-Fraud Survey di 12 paesi)
Panorama giuridico-legislativo Decreto Legislativo 29 dicembre 1992, n. 518 tutela giuridica dei programmi per elaboratore Legge 23 dicembre 1993, n. 547 modificazioni ed integrazioni alle norme del codice penale e del codice di procedure in tema di criminalità informatica Direttiva UE 85/46/CE del 24 ottobre 1995 e Legge 31 dicembre 1996 n. 675 : privacy
Considera che… chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni Legge 547/1993 Art. 615-ter chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei allaccesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni Legge 547/1993 Art. 615-quater
Considera inoltre che… chiunque distrugge, deteriora o rende, in tutto o in parte, inservibili sistemi informatici…è punito con la reclusione da sei mesi fino a tre anni 635-bis Codice Penale chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico…è punito con la reclusione sino a due anni e con la multa sino a lire venti milioni CP Art. 615-quiquies chiunque,…installa apparecchiatura atte ad intercettare, impedire, o interrompere comunicazioni relative ad un sistema informatico…è punito con la reclusione da uno a quattro anni CP art. 617-quinquies Art 2049 c.c. e Art 40 c.p.: datore di lavoro è responsabile delle azioni del dipendente; reati omissivi
La Formula Vincente SICUREZZA ASSICURAZIONE + Competenza Diritti Rischio Residuo Documentazione
90° Minuto Corte di Cassazione n del : una duplicazione abusiva dei dati di uno studio commerciale da parte di un ex-socio. La Cassazione afferma la perseguibilità penale dellaccesso abusivo ex art. 615 ter c.p. anche nel caso in cui sia posto in essere da soggetto precedentemente autorizzato. Il Ladro e La Telecamera Il Password per una vita!
Conclusioni e domande Grazie per lattenzione Avv. Robert A. Rosen Amministratore Delegato WebComm
WebComm PUOPOLO SISTILLI GEFFERS & LUISE WEBCOMM CATALYST CONSULTING GROUP XO SOFT Our WebCommunity IL GRUPPO E-Mkt In Italy Global Alliances