ASSOCIAZIONE ITALIANA PER
LA SICUREZZA INFORMATICA

18 febbraio 2002

 

Newsletter CLUSIT

 

indice

 

 

 

www.clusit.it

1.     INFOSECURITY ITALIA 2002 

2.     NUOVI SOCI

3.     LA SICUREZZA NELLE AZIENDE ITALIANE: PROBLEMI E PROSPETTIVE

4.     “COMPUTER CRIME AND SECURITY SURVEY” (studio del CSI, in collaborazione conl'FBI di San francisco) 

5.     ASSICURAZIONI DELL'INFORMATICA - ESCLUSIONE GUERRA: APPLICABILE AD UNA SITUAZIONE REALE ?

6.     EVENTI SICUREZZA

7.     FORUM DI DISCUSSIONE PER I VISITATORI DEL NUOVO SITO DEL CLUSIT

 

1.     INFOSECURITY ITALIA 2002

Si è conclusa il 25 gennaio scorso in Fiera Milano la seconda edizione di Infosecurity italia, l'evento nazionale più atteso nel mondo della Sicurezza Informatica.
La manifestazione ha riscosso un pieno successo, sia per l'afflusso di pubblico che per l'interesse destato dai convegni e dai seminari.

Sul sito del Clusit si possono consultare gli atti degli interventi.

 

2.  NUOVI SOCI

Durante l'ultimo mese hanno aderito al CLUSIT le seguenti organizzazioni:

ALTAIR (Milano), BANKSIEL (Milano), CERTEAM (Imola), COMMUNICATION VALLEY (Parma), CRYPTOMATHIC (Torino), EOS CONSULTING (Modena), ETNOTEAM (Milano), EURANET (Assago-MI), HALCOM (Roma), I.NET (Milano), INFOCAMERE (Padova), IRISCUBE (Milano), INTRAPRESA (Ragusa) e SHORR KAN (Torino).

 

3.  LA SICUREZZA NELLE AZIENDE ITALIANE: PROBLEMI E PROSPETTIVE

 

 

(Abstract della Ricerca)

In occasione di Infosecurity è stata presentata una ricerca sulla sicurezza nelle aziende italiane, commissionata da Reed Exhibitions Italia e realizzata da SIRMI (società specializzata nelle ricerche nel settore dell'Information Technology) in collaborazione col Clusit .

Nonostante la spesa in sicurezza da parte delle aziende italiane sia in crescita, sembra che sia ancora scarsa la consapevolezza dei danni che un attacco informatico può provocare. Vediamo perchè.

 

L’analisi si è basata su un’indagine campionaria, avendo come riferimento l'universo delle imprese italiane meccanizzate con oltre 10 dipendenti e operanti in tutti i principali settori economici: Finanza, Industria, Commercio, Servizi, Pubblica Amministrazione. A partire dall'universo di riferimento si è proceduto ad estrarre casualmente un campione di 500 imprese ed enti. L’indagine è stata condotta nel mese di settembre 2001, attraverso interviste telefoniche. Al fine di delineare un primo quadro del fenomeno sicurezza in ambito IT nelle aziende italiane si è condotta l’indagine analizzando:

  • le risorse aziendali da proteggere: il sistema informativo e le altre dotazioni tecnologiche;
  • il livello di sicurezza nelle aziende: aspetti economici, organizzativi e strutturali;
  • gli attacchi informatici: caratteristiche, conseguenze per l’impresa e azioni di difesa.

Per la maggioranza delle imprese intervistate il sistema informativo non è un semplice strumento di automazione di procedure operative, ma contribuisce in modo sostanziale alla mission aziendale.La definizione di una politica per la sicurezza e l’inserimento di un responsabile della sicurezza nel proprio organico è un fatto molto comune; si tenga presente che nelle domande sull’esistenza di una politica per la sicurezza e sull’esistenza di un responsabile per la sicurezza non si è fatto riferimento alla sicurezza IT, ma alla sicurezza in generale, rimandando implicitamente alle disposizioni del decreto legislativo 19 settembre 1994, n.626, sulla tutela della salute e della sicurezza dei lavoratori durante il lavoro, in tutti i settori di attività privati o pubblici.La maggior parte delle imprese del campione non ha predisposto un budget specifico per la sicurezza in ambito IT, ma spende comunque in sicurezza IT; questo dato fa supporre che la maggior parte delle imprese consideri la sicurezza un male necessario da gestire in modo contingente (spesa una tantum) e non un asset da gestire in modo programmato (spesa a budget).
Distinguendo le imprese del campione in:

  • imprese che hanno sviluppato una politica per la sicurezza,
  • imprese che intendono sviluppare una politica per la sicurezza,
  • imprese che non hanno e non intendono sviluppare una politica per la sicurezza,

risulta che:

  • se la politica per la sicurezza manca, ma è comunque prevista, la percentuale delle imprese dotate di budget rimane sostanzialmente invariata rispetto a quella delle imprese nelle quali esiste già una politica per la sicurezza, mentre se la politica è assente anche nelle previsioni tale percentuale si contrae notevolmente;
  • è atteso un cambiamento nell’approccio al problema sicurezza da parte delle imprese: sta crescendo la consapevolezza che la sicurezza debba essere gestita non solo sotto l’aspetto organizzativo-procedurale, ma anche economico; in particolare:
    • nello scenario atteso sarà più frequente la definizione contemporanea di politica e budget che del solo budget;
    • l’incidenza del budget per la sicurezza sul totale della spesa IT è maggiore nelle imprese che non dispongono ancora di una politica per la sicurezza, ma intendono svilupparla. 

Cresce la spesa in sicurezza

Si ha l’impressione che le imprese che hanno stanziato un budget o prevedano di farlo prendano lentamente coscienza del fatto che la sicurezza non è un problema di tipo contingente, ma permanente e che probabilmente richiede più risorse di quelle fino ad oggi stanziate perché sottovalutato. I sistemi di sicurezza maggiormente usati sono password (87%), antivirus (93,4%) e procedure di salvataggio (94%). La tipologia dei sistemi di sicurezza di cui le imprese si avvalgono con più frequenza rispecchia esigenze di sicurezza non particolarmente evolute, da ricondursi a loro volta ad uno scarso sfruttamento delle potenzialità d’uso delle tecnologie ICT: ad esempio le imprese del campione non usano l’accesso Internet per ricercare informazioni su clienti e fornitori e per acquistare prodotti/servizi, non sfruttano il sito Web per la stipulazione dei contratti di vendita dei propri prodotti/servizi e tanto meno per il pagamento online degli stessi, non gestiscono la propria catena del valore attraverso la rete Extranet e non gestiscono l’iter degli ordini attraverso la rete Intranet.La Finanza è il settore di mercato che si serve maggiormente di tutti i sistemi di sicurezza IT, fatta eccezione per l’e-mail scanning, utilizzata da una quota maggiore di imprese nell’Industria e per i sistemi di sicurezza fisica, utilizzati da una quota maggiore di imprese nel settore Servizi; al contrario la PA è il settore nel quale è meno diffuso l’uso di tutti i sistemi di sicurezza, fatta eccezione per quelli costituiti dalla configurazione di host e rete e dalla password, che trovano invece il loro minor impiego nell’Industria.Secondo la segmentazione precedentemente indicata (imprese con una politica per la sicurezza assente, presente o prevista):

  • le imprese che fanno maggior uso dei sistemi di sicurezza sono quelle che hanno già delineato una politica per la sicurezza;
  • le imprese che non hanno ancora definito una politica di sicurezza, ma prevedono di farlo, non stanno usando alcuno dei sistemi di sicurezza IT analizzati, ma prevedono di dotarsene in concomitanza alla definizione di una politica di sicurezza;
  • le imprese non interessate a definire una politica per la sicurezza fanno comunque uso dei sistemi di sicurezza IT, riconoscendo implicitamente il rischio di attacchi informatici; si tratta tuttavia di un uso percentualmente inferiore a quello registrato in presenza di una politica di sicurezza. 

Scarsa consapevolezza sugli attacchi

I virus sono sostanzialmente l’unica tipologia di attacco sperimentata dalla maggioranza del campione e questo fatto non è probabilmente da attribuire all’elevato livello di sicurezza dei sistemi informativi aziendali, ma piuttosto al limitato uso delle tecnologie di rete e quindi alla riduzione, consapevole o inconsapevole, dei rischi connessi.Nessun attacco risulta particolarmente temuto; infatti in corrispondenza della tipologia di attacco più temuta, quella dei virus, si riscontra un valore pari a 6,3 (1= valore min, 10=valore max), che sta ad indicare un attacco temuto “abbastanza” e non “molto”; sicuramente questo dato è da attribuire alla limitata esperienza delle imprese in fatto di attacchi, eccezion fatta per i virus, e alla non piena consapevolezza della pericolosità degli stessi.La maggior parte delle imprese percepisce gli attacchi informatici non come atti compiuti da soggetti intenzionati a danneggiare l’impresa e il suo business con la frode, lo spionaggio o altre azioni analoghe, ma piuttosto come atti compiuti da soggetti definibili comunemente vandali (41%), in quanto attaccano le imprese senza un motivo; inoltre una parte degli attacchi viene attribuita alla pura casualità, nella quale rientra ad esempio il caso in cui dei dipendenti dell’azienda scarichino involontariamente da Internet dei file contenenti virus.Gli attacchi informatici non impattano pesantemente sulle imprese e ciò può spiegare l’attenzione ancora limitata riservata al problema sicurezza: gli attacchi informatici costituiscono un problema una tantum, che si verifica sporadicamente, e non creano grosse complicazioni per cui non si rende per loro necessaria una continua attività di monitoraggio e di difesa.Tra le azioni di difesa dagli attacchi informatici prevale il ricorso ad azioni di tipo tecnico (valutazione dell’affidabilità dei dati, salvaguardia dell’integrità dei dati, sicurezza logica e fisica dei sistemi), e tra queste la valutazione dell’affidabilità dei sistemi (79,8%); gli interventi di tipo strategico ed organizzativo vengono adottati dal 37% del campione, mentre quelli di tipo economico dal 29% del campione.

 

Cosa vuol dire security

Le imprese del campione dimostrano di non sapere che cosa voglia dire politica di sicurezza in ambito IT e visione globale del problema sicurezza. Infatti risulta che:

  • alla domanda se esiste o meno una politica per la sicurezza l’87% del campione totale ha risposto positivamente, mentre alla domanda se la politica per la sicurezza è un’azione per fronteggiare gli attacchi informatici solo il 37% del campione ha risposto positivamente;
  • le imprese del campione totale sono decisamente d’accordo (8,3) sul fatto che la sicurezza vada affrontata in un’ottica globale, però la maggior parte di loro non ha predisposto il budget per la sicurezza, dimostrando quindi di non affrontare affatto il problema sicurezza nella sua completezza.

L’analisi mette in evidenza che le imprese non percepiscono il reale valore della sicurezza in ambito IT ed hanno, consapevolmente o inconsapevolmente, una limitata percezione dei rischi connessi all’uso delle tecnologie; infatti le imprese:

  • sono scarsamente informate sulle tematiche della sicurezza (ad esempio non sanno che cosa sia la politica per la sicurezza e che cosa voglia dire affrontare la sicurezza in un’ottica globale);
  • gestiscono il problema sicurezza in modo parziale (non predispongono ad esempio il budget per la sicurezza IT);
  • affrontano gli attacchi informatici con superficialità (temono poco gli attacchi, considerandoli un problema sporadico, attribuiscono gli attacchi ad atti di vandalismo o alla pura casualità, fanno uno scarso uso dei sistemi di sicurezza).

Il quadro che emerge è particolarmente critico e ciò è dovuto al ritardo degli utenti nel percepire la sicurezza IT non come un costo, ma come una risorsa dell’azienda da tutelare; la criticità della situazione è tra l’altro accresciuta dall’inserimento delle aziende in un sistema di “comunicazione globale” che consente loro di comunicare facilmente e velocemente con terzi, altre imprese o utenti finali, così come consente a terzi di entrare nei sistemi informativi aziendali, accedendo anche a dati riservati, in assenza di sistemi di sicurezza adeguati. Se è vero che l’uso limitato delle tecnologie IP può in parte spiegare il basso livello di attenzione rivolto alle tematiche della sicurezza, è altresì vero che tale atteggiamento debba mutare in vista dei futuri sviluppi delle tecnologie e della loro diffusione e che l’attenzione delle imprese debba rivolgersi non solo alla sicurezza in ambito IP, ma anche alla più generale sicurezza in ambito IT, ad oggi ancora trascurata.

 

4.  “COMPUTER CRIME AND SECURITY SURVEY” (studio del CSI, in collaborazione conl'FBI di San francisco) 

 

 

(Tratto da "Guida alla manifestazione Reed Infosecurity, 23-25 gennaio 2002", realizzata dal mensile NetBusiness)

Dati alla mano, pensare alla sicurezza

Aumentano i danni economici derivanti da intrusioni, spionaggio industriale e crimini commessi via Internet. Lo rileva il Csi (Computer Security Institute), attraverso lo studio annuale "Computer Crime and Security Survey". La ricerca è stata condotta dal CSI in collaborazione con la Computer Intrusion Squad dell'FBI di San Francisco. Sulla base dell'esame delle risposte fornite da 538 responsabili della sicurezza elettronica appartenenti ad aziende, enti pubblici, università e istituzioni finanziarie e ospedaliere di tutti gli Stati Uniti, lo studio ha confermato come la minaccia costituita dai crimini elettronici e da altre falle nella sicurezza informatica rimanga estremamente elevata e il pedaggio in termini finanziari si faccia sempre più pesante. Tra i dati più interessanti emersi dalla ricerca si segnala che:

  • l'85% degli intervistati, negli ultimi 12 mesi ha identificato falle nella sicurezza dei sistemi di computer,
  • il 64% ha ammesso pesanti danni economici provocati dalle falle nella sicurezza informatica,
  • il 35% è stato in grado di fornire stime o valutazioni approssimative dei danni economici registrati,
  • gli intervistati hanno calcolato perdite per 377.828.700 dollari. Come nel 2000, le perdite finanziarie più consistenti sono state provocate dalla sottrazione di informazioni riservate (34 intervistati hanno quantificato in 151.230.100 dollari i danni registrati) e dalle frodi finanziarie (92.935.500 dollari per 21 intervistati),
  • la percentuale di intervistati che ha indicato nelle connessioni Internet il punto di accesso utilizzato più frequentemente per gli attacchi è stata più alta (70%) rispetto a quanti hanno additato invece i sistemi interni (31%),
  • il 36% degli intervistati ha denunciato alle autorità le intrusioni rilevate, con una decisa crescita rispetto al 25% del 2000; nel 1996 questa categoria assommava soltanto al 16%.

 

5.  ASSICURAZIONI DELL'INFORMATICA - ESCLUSIONE GUERRA: APPLICABILE AD UNA SITUAZIONE REALE ?

 

 

(FONTE: Dr. Riccardo Scalici, socio fondatore del CLUSIT, rischi speciali c/o ACE INSURANCE S.A.-N.V. - Milano)

Prima dello scorso Aprile 2001, nessun assicuratore avrebbe creduto che la classica esclusione "rischio guerra" (presente su tutti i contratti property, ed applicata anche ai contratti che assicurano i "rischi informatici" in tutto il mondo) sarebbe stata attuale ed applicabile ad una situazione reale.

Ma la diffuzione dell'informatica, delle telecomunicazioni e della cosidetta "globalizzazione" significa anche che, ciò che sembra irrealistico, fantascentifico, è invece una realtà meno remota di quello che gli addetti ai lavori pensino.

I giorni 9 e 10 Aprile, successivamente al noto problema diplomatico sorto in Cina a seguito della cattura da parte Cinese di un aereo spia EP-3E della Marina degli Stati Uniti, è avvenuta una "invasione" telematica da parte di Hakers americani in alcuni siti Web cinesi, con intrusioni di vario genere e natura; l'attacco telematico si protrasse per alcune settimane .

 

La risposta non si fece attendere e il sito della Marina americana fu successivamente attaccato, ma era solo un diversivo della prima guerra "telematica" del nuovo millennio.

Alla fine di marzo infatti il NIPC (National Infrastructure Protection Center) lanciò un serio allarme contro un nuovo tipo di baco denominato LiOn.

Il nuovo programma dannoso era il frutto del lavoro del gruppo HUC (Honker Union of Cina), uno dei più forti gruppi Haker cinesi.

La temibilità di questo programma consiste nell'avere, oltre alle caratteristiche note del famoso Code Red, anche la possibilità di accettare nuovi comandi da una centrale operativa remota !

Un'altra particolarità è quella di infettare i computer di Linux, e di conseguenza di  essere in grado di farsi passare per un qualunque computer della rete.

L'infezione si è rivelata molto difficile da individuarsi per queste ed altre particolarità.

Non sappiamo se questo tipo di attività in rete si sia ora completamente fermata; di certo dopo le risoluzioni diplomatiche i rispettivi governi hanno "cercato di fermare l'attività ostile" ma, poichè non vi erano "imprimatur", nè da una 

parte, nè dall'altra, non vi sono state ammissioni ufficiali, nè dichiarazioni .

Per gli addetti ai lavori nel Web è stato un brutto periodo, e di sicuro si è percepita la necessità urgente di maggiore protezione informatica, e di potenziare i centri di difesa ed emergenza .

 

Se possiamo tirare un bilancio di questa "azione di guerra non dichiarata" tramite il Web, a danno di apparati ufficiali e aziende private, si può stimare complessivamente un minimo di 1600 siti danneggiati (tra USA e Cina); ma i danni economici non sono stati ancora calcolati, e  le organizzazioni ufficiali 

USA (tipo NSA) tendono a ridurre al minimo le informazioni su questi 

argomenti in quanto è, a ragione, ritenuto un settore strategico per la sicurezza nazionale .

 

Si pone alla fine per gli assicuratori la valutazione di cosa fare, quando i propri assicurati sono colpiti da azioni dannose di questo genere; in effetti non è per nulla facile dimostrare che i danni sofferti sono conseguenza di un'azione "militare" informatica.

Ora (dopo l'11 settembre) che anche il terrorismo è diventato una forma di azione di guerra, agli albori del nuovo millennio, il concetto stesso di "guerra" ha subito una trasformazione radicale.

 

6.  EVENTI SICUREZZA

6-7 marzo 2002, Milano

IDC Security Conference 2002.

 

6-7 marzo 2002, Londra

MIS Training's 5th Annual Web Sec Europe Conference. I soci CLUSIT possono usufruire di uno sconto speciale del 10% -  per maggiori informazioni

 

8 marzo 2002, Milano

Presso IBM Forum - "Risk Analysis & Security Management. Un aspetto che non deve coinvolgere solo i Security Managers", conferenza e tavola rotonda a cura di ASIS International, American Chamber of Commerce in Italy e IBM Global Services.

 

18 marzo 2002, Milano

"La gestione della sicurezza delle informazioni nella aziende del commercio, del turismo e dei servizi", workshop presso l'Unione Commercio, Turismo e Servizi di Milano.

 

18 marzo 2002,  Castello di San Martino, Priverno (LT)

"Rivoluzione ConNettiva e Sicurezza", convegno a cura del CeAs. 

 

18-20 marzo 2002, Parigi

EUROSEC 2002, 13rd  forum on information Systems Security.

 

 

7.  FORUM DI DISCUSSIONE PER I VISITATORI DEL NUOVO SITO DEL CLUSIT  

Il sito del CLUSIT ha cambiato aspetto. Si è cercato di privilegiare la semplicità e la rapidità di consultazione.  

Sul nuovo sito è in funzione un forum di discussione, che e' disponibile per chiunque voglia porre quesiti, manifestare commenti e suggerimenti, proporre tematiche di discussione.  

 

 

Per cancellarsi dalla mailing-list inviare una e-mail a info@clusit.it

specificando nel Subject: REMOVE con l'indirizzo e-mail da eliminare.

 

CLUSIT - ASSOCIAZIONE ITALIANA PER LA SICUREZZA INFORMATICA*

Dipartimento di Scienze dell'Informazione Università degli Studi di Milano

Via Comelico 39 - 20135 MILANO  -  cell. 349.7768882

* associazione senza fini di lucro, costituita il 4 luglio 2000

© 2001 Clusit - Vietata la riproduzione

Clausola di esclusione della responsabilità e informazioni relative al Copyright: http://www.clusit.it/disclaimer.htm