Sicurezza informatica: cosa dovrebbe sapere ogni CEO e CFO

Sintesi

Introduzione

Pensa a [cybersecurity] più come sicurezza nelle strade e nelle automobili. L'auto non è cambiata davvero negli ultimi 30 anni, ma c'è molta sicurezza e non è sexy fino al momento in cui ti salva la vita. Hai parti nascoste - airbag - e parti lì per ricordarti di essere al sicuro come le cinture di sicurezza... Alcune riguardano il buon comportamento e il buon atteggiamento, altre riguardano la sicurezza fisica per ricordarti che c'è un rischio, e parte di esso è cotto per salvarti.

– Sian John, Senior Cybersecurity Strategist presso Symantec

Lo ammetteremo. La sicurezza informatica non è sexy. Tuttavia, nell'era digitale di oggi, la sicurezza informatica è diventata sempre più critica per le grandi aziende e le piccole startup allo stesso modo. Oggi, la posta in gioco è più alta che mai, poiché "ogni azienda è diventata un'azienda tecnologica". La tecnologia è diventata più di un supplemento alle operazioni di un'azienda e, in molti casi, le risorse che vivono sulla loro rete sono le loro operazioni principali. Ciò è aggravato dal fatto che gli hack stanno diventando comuni a causa dell'aumento dell'utilizzo dei dispositivi mobili e dell'Internet delle cose, nonché del crescente ecosistema dei criminali informatici.

Questo articolo delinea i tipi di criminali informatici, le tattiche di criminalità informatica e i fattori che contribuiscono. Il pezzo include anche soluzioni tangibili che le aziende possono utilizzare per proteggersi. Le soluzioni includono sia protezioni tecnologiche che componenti umane. Ad esempio, la leadership deve riconoscere la sicurezza informatica come un problema aziendale strategico e non solo un "problema IT". Inoltre, alcune delle soluzioni più efficaci sono piuttosto basilari, come la formazione dei dipendenti o l'autenticazione a due fattori per gli utenti.

Che cos'è un crimine informatico?

In parole povere, un crimine informatico è un crimine con un qualche tipo di aspetto informatico o informatico. Può prendere forma in una varietà di formati e da individui o gruppi con diversi fattori motivanti. Le minacce informatiche sono rischi fondamentalmente asimmetrici in quanto piccoli gruppi di individui possono causare danni sproporzionati.

Categorie di criminali informatici

1. Gruppi criminali organizzati con motivazioni finanziarie: la maggior parte di questi gruppi si trova nell'Europa orientale

2. Attori dello stato-nazione: persone che lavorano direttamente o indirettamente per il loro governo per rubare informazioni sensibili e interrompere le capacità dei nemici. In genere sono gli aggressori informatici più sofisticati, con il 30% originario della Cina.

3. Gruppi di attivisti o “hacktivist”: di solito non cercano di rubare i soldi. Sono fuori per promuovere la loro religione, politica o causa; per influenzare la reputazione o per avere un impatto sui clienti.

4. Addetti ai lavori: questi sono i dipendenti "disillusi, ricattati o persino troppo disponibili" che operano all'interno di un'azienda. Tuttavia, non possono impegnarsi intenzionalmente in attività di criminalità informatica; alcuni potrebbero semplicemente prendere un elenco di contatti o un documento di progettazione senza rendersi conto del danno che potrebbe causare.

L'età media di un criminale informatico è di 35 anni e l'80% degli hacker criminali è affiliato alla criminalità organizzata. In breve, le persone scelgono questo come professione.

Tattiche di criminalità informatica

I criminali informatici utilizzano metodi statici e dinamici per commettere i loro crimini. Approfondiamo.

Denial of Service (DDoS) distribuito

Un attacco DDoS tenta di interrompere il servizio di una rete. Gli aggressori inviano elevati volumi di dati o traffico attraverso la rete finché non si sovraccarica e smette di funzionare. Il traffico in entrata che allaga la vittima proviene da molte fonti diverse, potenzialmente centinaia di migliaia. Ciò rende impossibile fermare l'attacco bloccando un singolo indirizzo IP e rende difficile distinguere il traffico legittimo dal traffico di attacco.

Phishing

Spesso fingendosi una richiesta di dati da una terza parte fidata, gli attacchi di phishing vengono inviati via e-mail e chiedono agli utenti di fare clic su un collegamento e inserire i propri dati personali. Spesso comporta manipolazioni psicologiche, invocazioni di urgenza o paura, ingannando individui ignari facendogli consegnare informazioni riservate.

Ci sono un paio di fattori riguardanti. In primo luogo, le e-mail di phishing sono diventate sofisticate e spesso assomigliano a richieste legittime di informazioni. In secondo luogo, la tecnologia di phishing viene ora concessa in licenza ai criminali informatici, inclusi servizi di phishing su richiesta e kit di phishing standard. Forse la cosa più preoccupante è il fatto che i servizi web oscuri hanno consentito ai criminali informatici di perfezionare le proprie campagne e abilità. In effetti, le e-mail di phishing hanno una probabilità sei volte maggiore di essere cliccate rispetto alle normali e-mail di marketing dei consumatori.

Malware

Il malware, abbreviazione di "software dannoso", è progettato per accedere o danneggiare un computer. Malware è un termine generico per una serie di minacce informatiche, inclusi Trojan, virus e worm. Viene spesso introdotto in un sistema tramite allegati di posta elettronica, download di software o vulnerabilità del sistema operativo.

Uso improprio dei privilegi interni

Mentre gli insider malintenzionati che trapelano informazioni su WikiLeaks ricevono tutta la stampa e la gloria, uno scenario più comune è che un dipendente o un utente finale medio ma opportunista prenda segretamente dati riservati sperando di incassare da qualche parte lungo la linea (60% delle volte) . A volte, i dipendenti diventano un po' troppo curiosi e curiosano (17%). Le informazioni personali e le cartelle cliniche (71%) sono prese di mira per reati finanziari, come il furto di identità o la frode alla dichiarazione dei redditi, ma a volte sono semplicemente pettegolezzi.

Skimmer di carte fisiche

Questi attacchi includono l'impianto fisico su una risorsa che legge i dati della banda magnetica da una carta di pagamento (ad esempio, bancomat, pompe di benzina, terminali POS). È relativamente facile e veloce eseguire un attacco come questo, con il potenziale per una resa relativamente alta, così come un tipo di azione popolare (8%).

Conseguenze e costi della sicurezza informatica

Costi per le imprese

Tre anni fa, il Wall Street Journal ha stimato che il costo della criminalità informatica negli Stati Uniti era di 100 miliardi di dollari. Altri rapporti stimavano che la cifra fosse fino a dieci volte superiore a questa. Nel 2017, il costo medio di una violazione dei dati è di 7,35 milioni di dollari, rispetto ai 5,85 dollari del 2014. I costi includono tutto, dal rilevamento, contenimento e ripristino all'interruzione dell'attività, alla perdita di entrate e ai danni alle apparecchiature. Al di là delle preoccupazioni monetarie, una violazione informatica può anche rovinare beni immateriali, come la reputazione di un'azienda o la buona volontà dei clienti.

È interessante notare che le aziende con i più alti livelli di innovazione aziendale spesso subiscono attacchi più costosi. Una "innovazione aziendale" potrebbe essere qualsiasi cosa, da un'acquisizione o dismissione all'ingresso in un nuovo mercato geografico. È stato dimostrato che l'acquisizione o la dismissione di una società aumenta il costo della criminalità informatica del 20%, mentre il lancio di una nuova significativa applicazione aumenta il costo del 18%.

Per le società di servizi finanziari, i costi dopo una violazione della sicurezza possono essere attribuiti a interruzioni dell'attività, perdita di informazioni, perdita di entrate e altri costi.

La sicurezza informatica è pronunciata per il settore dei servizi finanziari

La sfortunata verità è che, sebbene nessun settore sia immune, i problemi di sicurezza informatica sono particolarmente pronunciati per i servizi finanziari. Secondo il Verizon Data Breach Investigations Report del 2017, il 24% delle violazioni ha colpito le organizzazioni finanziarie (il settore principale), seguite dall'assistenza sanitaria e dal settore pubblico. Per fare un confronto, nel 2012, l'industria si è classificata al terzo posto, dopo la difesa, i servizi pubblici e le industrie dell'energia. Al di là della frequenza, il costo per finanziare le imprese è il più alto di tutti i settori, perdendo una media di 16,5 milioni di dollari nel 2013.

Nei servizi finanziari, il tipo più comune di violazione informatica riguardava gli attacchi DDoS. E, come per tutti gli attacchi DDoS, il settore finanziario è stato il più colpito.

Hacking di servizi finanziari famosi

Attacco a sei banche americane (2012)

Nel 2012, sei grandi banche americane (Bank of America, JPMorgan Chase, Citigroup, US Bank, Wells Fargo e PNC) sono state oggetto di un'ondata di attacchi informatici da parte di un gruppo che rivendicava legami con il Medio Oriente. Gli attacchi hanno causato blackout di Internet e ritardi nell'online banking, con conseguente frustrazione dei clienti che non potevano accedere ai propri account o pagare le bollette online.

Si trattava di attacchi DDoS, in cui gli hacker hanno sopraffatto i siti Web della banca fino al punto di chiusura. Gli attacchi hanno utilizzato anche botnet, reti di computer infetti che eseguono gli ordini dei criminali. A volte, le botnet vengono chiamate "computer zombie" che obbediscono ai comandi di una "botnet principale". Sfortunatamente, questi possono essere noleggiati attraverso il mercato nero o prestati da criminali o governi.

JPMorgan (2014)

Nell'estate del 2014, nella più grande violazione della sicurezza di una banca americana fino ad oggi, i nomi, gli indirizzi, i numeri di telefono e gli indirizzi e-mail di circa 83 milioni di account sono stati compromessi dagli hacker. Ironia della sorte, JPMorgan spende circa 250 milioni di dollari ogni anno per la sicurezza dei computer. La violazione del 2014 non è stata il risultato di uno schema sofisticato. L'attacco non ha utilizzato un attacco zero day, il nuovo bug del software che vende a milioni nel mercato nero. Inoltre, non ha utilizzato malware che gli hacker in Corea del Nord hanno impiegato nel loro attacco informatico a Sony. Piuttosto, l'origine del problema era di base: la banca non utilizzava l'autenticazione a due fattori, che è un ulteriore livello di sicurezza quando gli utenti accedono ai dati o a un'applicazione. Il team di sicurezza di JPMorgan ha trascurato di aggiornare uno dei suoi server di rete con lo schema a doppia password: è bastato questo.

Sistema di pagamento SWIFT (2016)

Nel febbraio 2016, la Society for Worldwide Interbank Financial Telecommunication (SWIFT), un consorzio internazionale di oltre 11.000 banche che facilita i trasferimenti transfrontalieri, è stata violata. La Bangladesh Bank, un utente della rete SWIFT, è stata violata per un importo di 81 milioni di dollari. Solo una piccola parte è stata recuperata prima che la Federal Reserve Bank di New York bloccasse altre 30 transazioni che avrebbero potuto trasferire altri 850 milioni di dollari.

Questi attacchi dimostrano che le reti di pagamento sono affidabili tanto quanto il loro anello più debole. Molti nel settore non sono stati sorpresi dall'attacco. Secondo Justin Clarke-Salt, co-fondatore di Gotham Digital Science, una società di sicurezza informatica, gli attacchi hanno sfruttato un punto debole del sistema: non tutte le istituzioni proteggono l'accesso a SWIFT allo stesso modo. Dopotutto, "Gli aggressori spesso attaccano le persone che sono più facili da attaccare... Finora, lontano da ciò che sappiamo è stato pubblicamente riportato, hanno preso di mira le istituzioni finanziarie più piccole. Ciò è probabilmente dovuto al fatto che hanno controlli meno sofisticati".

Le piccole o grandi imprese sono più vulnerabili?

Sebbene le notizie coprano spesso gli attacchi alle più grandi società (Target, Yahoo, Home Depot, Sony), le piccole aziende non ne sono immuni. Secondo lo State of SMB Cybersecurity Report 2016, negli ultimi 12 mesi, gli hacker hanno violato metà di tutte le piccole imprese negli Stati Uniti.

Da un lato, secondo alcuni, le aziende più piccole potrebbero non essere in grado di riprendersi da un attacco informatico**. **Secondo Sian John, senior cybersecurity strategist di Symantec, le aziende colpite da un problema di sicurezza subiscono un "enorme colpo reputazionale e finanziario" per le aziende l'anno successivo, prima di tornare alla normalità. Ha chiesto: "Se sei un'azienda più piccola, puoi sopravvivere a quel calo?"

D'altra parte, secondo altri, le piccole aziende sono avvantaggiate: "Una grande azienda è più vulnerabile di una piccola azienda: hanno grandi pool di dati e centinaia di persone devono avere accesso... Se sei all'estremità più piccola del scalare, essere intelligenti riguardo ai processi aziendali e capire dove potrebbero essere sfruttati tali processi aziendali è più facile che per una grande organizzazione", ha dichiarato Richard Horne, partner di PricewaterhouseCoopers.

Sfide di sicurezza informatica

Fattori che contribuiscono all'aumento della criminalità informatica

È emersa una razza "aziendale" di criminali informatici

I criminali informatici stanno ora adottando le best practice aziendali per aumentare l'efficienza dei loro attacchi. Alcuni dei criminali più intraprendenti vendono o concedono in licenza strumenti di hacking a criminali meno sofisticati. Ad esempio, i criminali professionisti hanno venduto la tecnologia zero-day ai criminali sul mercato aperto, dove vengono rapidamente mercificati. Le gang offrono anche il ransomware come servizio, che blocca i file del computer fino a quando la vittima non soddisfa le richieste monetarie, quindi prende una riduzione per aver fornito la licenza.

Ora c'è un intero ecosistema di risorse che i criminali informatici possono sfruttare. “I gruppi avanzati di attacco criminale ora fanno eco alle competenze degli aggressori degli stati-nazione. Hanno ampie risorse e uno staff tecnico altamente qualificato che opera con tale efficienza da mantenere il normale orario lavorativo e persino prendersi i fine settimana e le ferie... Stiamo anche assistendo a criminali di basso livello creare operazioni di call center per aumentare l'impatto dei loro truffe", ha affermato Kevin Haley, direttore di Symantec.

Sicurezza dei fornitori di terze parti

Se una terza parte viene hackerata, la tua azienda corre il rischio di perdere dati aziendali o compromettere le informazioni dei dipendenti. Ad esempio, la violazione dei dati Target del 2013 che ha compromesso 40 milioni di account di clienti è stata il risultato del furto delle credenziali di rete da un fornitore di riscaldamento e condizionamento di terze parti. Uno studio del 2013 ha indicato che il 63% delle indagini sulla violazione dei dati di quell'anno erano collegate a una componente di terze parti.

Maggiore utilizzo delle tecnologie mobili da parte dei clienti

A causa del numero crescente di obiettivi online, l'hacking è diventato più facile che mai. Nel consumer banking, l'utilizzo di dispositivi mobili e app è esploso. Secondo uno studio Bain & Company del 2014, il mobile è il canale bancario più utilizzato in 13 dei 22 paesi e comprende il 30% di tutte le interazioni a livello globale. Inoltre, i consumatori hanno adottato sistemi di pagamento mobile. Per le banche che competono con le startup fintech, la comodità del cliente rimarrà importante. Potrebbero dover soppesare le potenziali perdite per frode con le perdite derivanti da un'esperienza utente più scomoda. Alcune istituzioni stanno utilizzando l'autenticazione avanzata per far fronte a questi ulteriori rischi per la sicurezza, consentendo ai clienti di accedere ai propri account tramite riconoscimento vocale e facciale.

Proliferazione dell'Internet delle cose (IoT)

Internet of Things (IoT) è dedicato all'idea che un'ampia gamma di dispositivi, inclusi elettrodomestici, veicoli ed edifici, possono essere interconnessi. Ad esempio, se la sveglia suona alle 7:00, potrebbe avvisare automaticamente la tua macchina del caffè di iniziare a preparare il caffè per te. L'IoT ruota attorno alla comunicazione da macchina a macchina; è mobile, virtuale e offre connessioni istantanee. Ci sono oltre un miliardo di dispositivi IoT in uso oggi, un numero che dovrebbe superare i 50 miliardi entro il 2020. Il problema è che molti dispositivi intelligenti più economici spesso mancano di un'adeguata infrastruttura di sicurezza. Quando ogni tecnologia presenta un rischio elevato, il rischio cresce esponenzialmente se combinato.

Consapevolezza della sicurezza informatica e disponibilità ad affrontare

Nonostante i titoli dei giornali sulla sicurezza informatica e le sue minacce, permane un divario tra la consapevolezza delle aziende e la loro disponibilità ad affrontarlo. Nell'ultimo anno, gli hacker hanno violato la metà di tutte le piccole imprese statunitensi. Nel sondaggio del 2013 del Ponemon Institute, il 75% degli intervistati ha indicato di non disporre di un piano formale di risposta agli incidenti di sicurezza informatica. Il 66% degli intervistati non era sicuro della capacità della propria organizzazione di riprendersi da un attacco. Inoltre, un sondaggio del 2017 della società di sicurezza informatica Manta ha indicato che una piccola impresa su tre non dispone degli strumenti per proteggersi.

Tatticamente parlando, le società di servizi finanziari hanno molto da migliorare in termini di rilevamento e risposta agli attacchi. Nel 2013, l'88% degli attacchi avviati contro le società FS ha avuto successo in meno di un giorno. Tuttavia, solo il 21% di questi viene scoperto entro un giorno e, nel periodo successivo alla scoperta, solo il 40% viene ripristinato entro un giorno.

Le soluzioni di sicurezza informatica richiedono un approccio su più fronti

Non esiste una soluzione "taglia unica" per la sicurezza informatica. Tuttavia, in generale, le soluzioni dovrebbero includere sia una tecnologia sofisticata che componenti più "umani" come la formazione dei dipendenti e la definizione delle priorità nella sala del consiglio.

Intelligence sulle minacce attuabile

Intelligenza in tempo reale:

L'intelligence in tempo reale è un potente strumento per prevenire e contenere gli attacchi informatici. Più tempo ci vuole per identificare un hack, più costose saranno le sue conseguenze. Uno studio del 2013 del Ponemon Institute ha rivelato che i dirigenti IT ritengono che meno di 10 minuti di notifica anticipata di una violazione della sicurezza siano un tempo sufficiente per disattivare la minaccia. Con appena 60 secondi di notifica di un compromesso, i costi risultanti potrebbero essere ridotti del 40%.

Secondo James Hatch, direttore dei servizi informatici di BAE Systems, "Rilevare presto [un attacco informatico] è la chiave... Potrebbe fare la differenza tra perdere il 10% dei propri [computer] e il 50%". Sfortunatamente, in realtà, le aziende impiegano in media più di sette mesi per scoprire un attacco dannoso.

Azioni complementari:

Le aziende possono adottare diverse misure tattiche più piccole per proteggersi. Questi includono:

• Mettere in atto una strategia di difesa a più livelli. Assicurati che copra l'intera azienda, tutti gli endpoint, i dispositivi mobili, le applicazioni e i dati. Ove possibile, utilizzare la crittografia e l'autenticazione a due o tre fattori per l'accesso alla rete e ai dati.

• Esecuzione di una valutazione di fornitori di terze parti o creazione di accordi sul livello di servizio con terze parti: implementare una politica di "privilegio minimo" in merito a chi e a cosa possono accedere gli altri. Prendi l'abitudine di rivedere l'uso delle credenziali con terze parti. Potresti anche fare un ulteriore passo avanti con un contratto di servizio (SLA), che obbliga contrattualmente che terze parti rispettino le politiche di sicurezza della tua azienda. Il tuo SLA dovrebbe dare alla tua azienda il diritto di verificare la conformità della terza parte.

• Backup continuo dei dati. Questo può aiutare a proteggersi dal ransomware, che blocca i file del computer fino a quando la vittima non soddisfa le richieste monetarie. Il backup dei dati può rivelarsi fondamentale se i tuoi computer o server vengono bloccati perché non dovresti pagare per l'accesso ai tuoi dati.

• Patch frequenti. Una patch software è un aggiornamento del codice nel software esistente. Si tratta spesso di soluzioni temporanee tra le versioni complete del software. Una patch può correggere un bug del software, risolvere una nuova vulnerabilità di sicurezza, risolvere problemi di stabilità del software o installare nuovi driver.

• Whitelist di applicazioni software. La whitelist delle applicazioni impedirebbe ai computer di installare software non approvato. Ciò consente agli amministratori di avere molto più controllo.

Assicurazione contro gli hacker

Una tendenza emergente è l'assicurazione anti-hacker, o assicurazione informatica. Il suo ambito varia a seconda dei provider, ma in genere protegge da violazioni e perdite della sicurezza. Gli assicuratori in genere limitano la loro capacità tra $ 5 milioni e $ 100 milioni per cliente. A ottobre 2016, solo il 29% delle attività statunitensi aveva acquistato un'assicurazione informatica. Tuttavia, si stima che il mercato complessivo delle assicurazioni informatiche sarà di $ 20 miliardi entro il 2025, rispetto ai $ 3,25 miliardi di oggi. Gli assicuratori sono rialzisti, stimando che i premi triplicheranno nei prossimi anni.

Affinché un'organizzazione determini di quanta assicurazione informatica ha bisogno, dovrebbe misurare il proprio rischio informatico. Deve capire in che modo le loro risorse sono colpite da un attacco informatico e come dare loro la priorità.

Programmi Bug Bounty

Un'altra nuova idea nel settore è qualcosa chiamato programma di ricompense dei bug, in cui un'organizzazione paga degli estranei ("hacker amichevoli") per informarla di falle di sicurezza. Aziende che vanno da Google e Dropbox ad AT&T e LinkedIn hanno già adottato questa pratica.

Non dimenticare la componente umana

• Un "problema IT" diventa un problema aziendale strategico. Per molti CEO e CFO, l'hacking può essere frustrante perché non capiscono il nemico. Secondo Richard Anderson, presidente dell'Institute of Risk Management, "Ci sono ancora molte persone sedute a cavallo di aziende più grandi che lo considerano ancora come qualcosa di cui si prendono cura i geek, piuttosto che un problema di affari". Tuttavia, come hanno dimostrato le statistiche, questo non potrebbe essere più lontano dalla verità.

  Un white paper di Deloitte suggerisce di creare un team dedicato alla gestione delle minacce informatiche e di creare una "cultura consapevole del rischio informatico". Si raccomanda inoltre alle organizzazioni di designare un Chief Information Security Officer (CISO). Ad esempio, né JPMorgan né Target avevano CISO quando sono stati violati rispettivamente nel 2014 e nel 2013.

• Ritorno alle origini: formazione dei dipendenti. Le violazioni dei dati sono spesso il risultato delle debolezze psicologiche degli esseri umani. È quindi fondamentale educare i dipendenti sui segnali di pericolo di violazioni della sicurezza, sulle pratiche sicure (facendo attenzione all'apertura degli allegati e-mail, su dove stanno navigando) e su come rispondere a una sospetta acquisizione.

Pensieri di separazione

Una confutazione comune alla crescente attenzione ai pericoli della sicurezza informatica è: "Cosa, allora? Dovremmo semplicemente smettere di innovare per paura di attacchi?" La risposta è, non esattamente. Tuttavia, potrebbe essere utile per le aziende considerare la sicurezza informatica come una questione etica. Cioè, la sicurezza informatica non dovrebbe essere solo una questione di tecnologia, ma anche di moralità. Dopotutto, è etico creare e vendere una tecnologia che lasci i consumatori vulnerabili? Con la cultura "crescita o muori" della Silicon Valley e talvolta miope, questo è probabilmente un atteggiamento impopolare.

Tuttavia, ci sono precedenti in altri settori. Ad esempio, l'American Medical Association e l'American Bar Association richiedono ai professionisti di seguire i rispettivi codici etici. I medici devono impegnare il giuramento di Ippocrate, uno dei più antichi documenti vincolanti della storia, che impone ai medici di impegnarsi a proteggere i loro pazienti. Allo stesso modo, gli avvocati seguono un modello di regole di condotta professionale, impegnandosi a proteggere e rispettare i propri clienti.

Faremmo tutti bene a ricordare che sebbene la tecnologia possa andare e venire, giusto e sbagliato non cambiano mai.