Seminari sui Modelli di Risk Management e Lineamenti di Sicurezza Cibernetica

Lineamenti di Sicurezza Cibernetica

Genesi e Struttura della Problematica

SEMINARI sui MODELLI di RISK MANAGEMENT LINEAMENTI di SICUREZZA CIBERNETICA GENESI e STRUTTURA della PROBLEMATICA

Rapporto CLUSIT sulla Sicurezza ICT in Italia

RAPPORTO CLUSIT sulla SICUREZZA ICT in ITALIA Il DOCUMENTO di ANALISI, relativo il 2023 (per i soli incidenti GRAVI), evidenzia un peggioramento rispetto al 2022. Per tipologia si vede prevalere la categoria CYBER-CRIME (64%) e attacchi classificati come HACKTIVISM (attivisti) (36%). Il settore della PA è l'obiettivo di maggiore interesse per numero di attacchi, quello FINANZIARIO/ASSICURATIVO ha registrato un forte incremento degli attacchi gravi; il nº di attacchi subiti nel 2023 è > alla Į di quelli subiti tra 19-22. Distributed Denial of Service (DDoS) e malware sono le tecniche di attacco dominanti; i primi, in particolare, risultano in fortissimo incremento (dal 4% del 2022 al 36%). In aumento anche gli attacchi basati su phishing e ingegneria sociale, che in Italia risultano incidere in misura maggiore rispetto al dato mondiale.

L'Agenzia per la Cybersicurezza Nazionale

L'AGENZIA per la CYBERSICUREZZA NAZIONALE L'ACN -> istituita nel 2021 per ridefinire l'architettura nazionale di cybersicurezza; dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. Nel 2022 l'ACN e la BI hanno sottoscritto un protocollo d'intesa per la collaborazione in materia di sicurezza cyber, per innalzare il livello di resilienza cibernetica nei rispettivi ambiti di competenza.

OBIETTIVI: - razionalizzare e semplificare il sistema di competenze esistenti; - valorizzare gli aspetti di sicurezza e resilienza cibernetiche, ai fini della tutela della sicurezza nazionale nello spazio cibernetico. COMPITO di: - prevenire e mitigare gli attacchi cibernetici e favorire il raggiungimento dell'autonomia tecnologica; - attuare la «Strategia nazionale di cybersicurezza», adottata dal Presidente del Consiglio, che contiene gli obiettivi.

Agenda di Ricerca e Innovazione

AGENDA di RICERCA e INNOVAZIONE DOCUMENTO STRATEGICO finalizzato a sostenere la ricerca e l'innovazione nella cybersicurezza da parte del settore pubblico e privato; risultato di un'attività congiunta tra l'ACN e il Ministero dell'Università e della Ricerca. Individua i TEMI PRIORITARI di RICERCA nel settore della sicurezza cibernetica, in un'ottica di continuo aggiornamento e fissando l'orizzonte temporale al 2026 (+ Strategia nazionale di cybersicurezza). Rivolto a tutti coloro operano direttamente o beneficiano della ricerca sulla cybersicurezza in Italia, incluse università, amministrazioni pubbliche, imprese e consorzi pubblici e privati.

COSTRUZIONE: - IDENTIFICAZIONE aree d'interesse tramite raggruppamento e indicazione delle corrispondenze con le iniziative di classificazione esistenti nel dominio di conoscenza della cybersicurezza; - DEFINIZIONE sotto-aree e dei relativi argomenti tramite valutazione delle priorità italiane ed europee, nonché di riferimenti rilevanti sul piano internaz. Sono state individuate: 6 aree; 18 sotto-aree; 60 argomenti. Inoltre identificata una lista delle cd tecnologie emergenti e dirompenti (Emerging and Disruptive Technologies - EDT), selezionate come rilevanti per la cybersicurezza in generale e utili a indirizzare lo studio degli argomenti di ricerca proposti.

AREE: 1. sicurezza dei dati e privacy (ingegneria protezione dei dati; crittografia; condivisione affidabile); 2. gestione delle minacce cibernetiche (attacco e difesa; cyberthreat intelligence); 3. sicurezza del software e delle piattaforme (sviluppo e test del software; blockchain); 4. sicurezza delle infrastrutture digitali (hardware; reti); 5. aspetti della società (umani; formativi; legali); 6. aspetti di governo (organizzativi; gestione del rischio; standardizzazione). Alcune EDT: - reti mobili 5G e successive; - Internet of things - loT; - Machine learning; - tecnologie quantistiche.

Disposizioni in Materia di Rafforzamento della Cybersicurezza Nazionale e di Reati Informatici

• Obbligo di notifica degli incidenti (art. 1);
• Mancato o ritardato adeguamento a segnalazioni dell'ACN (art. 2);
• Disposizioni in materia di Nucleo per la cybersicurezza (art. 4);
• Coordinamento operativo tra intelligence e ACN (art. 5);
• Rafforzamento della resilienza della PA (art. 6);
• Funzioni dell'ACN in materia di IA (art. 7);
• Procedimento amministrativo sanzionatorio per violazioni in materia di cybersicurezza (art. 8);
• Modifiche al codice penale (art. 11).

Infrastrutture Critiche

INFRASTRUTTURE CRITICHE Ovvero le risorse materiali, i servizi, i sistemi di tecnologia dell'informazione, le reti e i beni infrastrutturali che, se danneggiati o distrutti, causerebbero gravi ripercussioni alle funzioni cruciali della società, come ad esempio: gli impianti e le reti energetiche; i sistemi di comunicazione, la tecnologia dell'informazione, le reti informatiche; la finanza; il sistema sanitario; i trasporti; l'amministrazione pubblica.

L'Attenzione del Sistema Finanziario: Stress Test e Segnalazione degli Incidenti

L'ATTENZIONE del SISTEMA FINANZIARIO: STRESS TEST e SEGNALAZIONE degli INCIDENTI Gli incidenti informatici stanno rapidamente crescendo in un contesto di rapida trasformazione digitale e concorrenza di fattori. Le informazioni tempestive e accurate sugli incidenti informatici sono fondamentali per efficaci azioni di risposta e ripristino, concorrendo a promuovere la stabilità finanziaria.

In tale quadro il FINANCIAL STABILITY BOARD (FSB) ha pubblicato un RAPPORTO per il raggiungimento di una maggiore convergenza nella segnalazione degli incidenti informatici (Cyber Incident Reporting - CIR); questo affronta le problematiche associate alla raccolta di informazioni sugli incidenti informatici da parte degli intermediari finanziari e alla successiva condivisione tra le Autorità preposte.

DEFINISCE 3 MODALITà per raggiungere una maggiore convergenza: · emanare raccomandazioni finalizzate a una > armonizzazione nella segnalazione degli incidenti; · promuovere lo sviluppo di terminologie comuni relative agli incidenti; · sviluppare uno standard per la segnalazione degli incidenti. Allo scopo, il Financial Stability Board ha contestualmente aggiornato il Cyber Lexicon che, attraverso la diffusione di un glossario comune, mira a facilitare la comprensione e l'analisi, la condivisione delle informazioni, l'attività.

Stress Test sul Rischio Cibernetico

STRESS TEST sul RISCHIO CIBERNETICO 109 banche vigilate dalla BCE saranno sottoposte a una prova di STRESS TEST test sulla capacità di risposta e ripresa in caso di attacco cibernetico, in uno scenario d'hp in cui un attacco cibernetico riesca a perturbare l'operatività corrente delle banche. I risultati della prova verranno discussi con ciascuna banca nell'ambito del processo di revisione prudenziale. La prova ha l'obiettivo di valutare la resilienza cibernetica e si inquadra nel contesto degli stress test condotti dalla BCE sul rischio di tasso di interesse sul portafoglio bancario, di liquidità e climatico.

Gruppo di Esperti Informatici del G7

GRUPPO di ESPERTI INFORMATICI del G7 Il Gruppo di esperti informatici del G7 coordina la politica e la strategia di sicurezza informatica nelle giurisdizioni G7. Mira a migliorare la resilienza informatica del settore finanziario attraverso la valutazione delle minacce e un approccio condiviso circa la mitigazione del rischio. Le autorità effettuano regolarmente ESERCITAZIONI per verificare le capacità di coordinamento e di resilienza in caso di un incidente informatico diffuso riguardante il sistema finanziario. In aprile è stata completata un'esercitazione di coordinamento transfrontaliero che presupponeva un attacco informatico su larga scala contro infrastrutture ed entità del mkt finanziario in tutte le giurisdizioni del G7. L'operazione ha coinvolto 23 autorità finanziarie, tra cui Ministeri delle finanze, banche centrali, autorità di vigilanza bancaria, autorità di mercato e rappresentanti dell'industria privata.

Sicurezza Cibernetica: Tecnologie, Processi e Misure di Protezione

SICUREZZA CIBERNETICA -> insieme di tecnologie, processi e misure di protezione progettate per ridurre il rischio di attacchi informatici. Generalmente oggetto di un corso di laurea magistrale, si forma figure professionali multidisciplinari in grado di operare nella progettazione, ingegnerizzazione, sviluppo e gestione della sicurezza informatica e di sistemi informativi complessi, fornendo solide basi scientifiche e tech, competenze legali in ambito civile e penale e correlate all'economia aziendale. Essere ESPERTI di sicurezza cibernetica significa avere acquisito competenze interdisciplinari proprie sia della classe di laurea magistrale in Ingegneria Informatica sia di quella in Sicurezza Informatica.

Conoscenze e competenze si suddividono nelle seguenti aree di apprendimento: · computer science; · sicurezza cibernetica: pianificazione, analisi e ricerca; · sicurezza cibernetica: prevenzione e protezione; · crittografia; · reticolo normativo.

Parte I - Valutazione e Gestione del Rischio

Il Rischio

PARTE I - VALUTAZIONE e GESTIONE del RISCHIO IL RISCHIO -> possibilità di subire un danno in seguito a fatti non prevedibili. Nel linguaggio comune si definisce rischio la «possibilità prevedibile di subire un danno, un evento negativo, un inconveniente, come conseguenza del proprio comportamento o di difficoltà oggettive». Nel linguaggio tecnico, il rischio è «la possibilità che si verifichi qualcosa che abbia effetto sugli obiettivi»; quindi «è misurato in termini di conseguenze e di probabilità [ ... ] può comportare effetti sia positivi che negativi». Il RISCHIO CYBER è connesso al trattamento delle informazioni del sistema informatico di un'impresa (banche dati, hardware, software) che vengono violate, rubate o cancellate a causa di eventi accidentali o di azioni.

Ragionamenti sull'Incertezza

RAGIONAMENTI sull'INCERTEZZA ALEATORIO - significato «che diamo è semplicemente quello di "non conosciuto", pertanto "incerto", ma di per sé ben determinato, ovvero individuato senza possibilità di equivoco; deve essere precisato in modo tale che un'eventuale scommessa (o assicurazione [o investimento]) basata su di esso risultasse decisa in modo incontestabile».

Terminologia del Rischio Cyber

Terminologia ASSET -> insieme di beni, dati e persone necessarie all'erogazione di un servizio IT. VULNERABILITà -> debolezza di un asset. MINACCIA -> atto volontario o evento accidentale che può causare la perdita di una proprietà di sicurezza. EVENTO (accaduto) -> realizzazione effettiva di una minaccia.

Gestione dei Rischi Cyber

GESTIONE dei RISCHI CYBER La gestione ha l'obiettivo di PRESERVARE: RISERVATEZZA (protezione delle info da letture non autorizzate - il furto non è immediatamente riscontrabile), INTEGRITà (protezione delle info da modifiche non autorizzate - le conseguenze possono essere catastrofiche), AUTENTICITÀ (verifica dell'identità della sorgente delle informazioni), DISPONIBILITÀ delle informazioni (risorse, servizi e dati di un sistema devono essere sempre accessibili agli utenti legittimi). Le INFORMAZIONI devono essere PROTETTE durante l'intero ciclo-vita. La valutazione relativa agli strumenti di protezione da adottare è in primo luogo economica (+analisi del rischio e valutazione del valore presunto del bene da proteggere). Il PROCESSO di valutazione economica: entità del rischio; valore presunto per l'attaccante; massimo costo che si è disposti a sostenere per la protezione; costi per l'attaccante (+ elevare il livello di sicurezza significa elevare i costi di violazione, cioè ridurre le probabilità di attacco). La sicurezza è relativa (- varia in funzione degli obiettivi).

Costruzione di un Modello di Valutazione del Rischio

COSTRUZIONE di un MODELLO di VALUTAZIONE del RISCHIO La costruzione parte dalla considerazione e dall'analisi dei 3 FATTORI che incidono sulla valutazione (caratteristiche dell'ASSET; livello di VULNERABILITà; tipo di MINACCIA) per stimare il danno eventuale. Prevede: VALUTAZIONE INIZIALE -> identificazione delle informazioni per tipologia e correlazione alle risorse informatiche; misurazione del livello iniziale di esposizione al rischio. IDENTIFICAZIONE e ANALISI dei fattori di rischio -> stima della probabilità e della gravità di accadimento (l'evento).

Trattamento del Rischio

• EVITARE il rischio
• MITIGARE il rischio (definizione di un piano di gestione dei rischi: individuazione del livello di protezione ottimale; scelta e attivazione delle contromisure, verifiche operative e test di vulnerabilità; monitoring; formazione e sensibilizzazione)
• ACCETTARE il rischio
• TRASFERIRE il rischio residuo.

Valutazione Iniziale: Controlli di Sicurezza Cibernetica

Inventario Dispositivi Software

1. Esiste (aggiornato) un INVENTARIO di sistemi, dispositivi, software, servizi, applicazioni in uso nell'organizzazione.
2. I servizi web (social network, posta elettronica, etc.) offerti da 3º parti (cui registrati) sono strettamente NECESSARI.
3. Sono INDIVIDUATE le informazioni, i dati e i sistemi critici per l'organizzazione, per garantire adeguata protezione.