Porto

Il Cyber Risk nel settore Marine

Assicurazione trasporti

 

Nell’estate 2017, AP Moller-Maersk S/A (APM), il più importante vettore nel trasporto di container e di general cargo, che controlla circa il 18% dei traffici mondiali, ha subito l’attacco informatico di Petya o NotPetya, un malware che si è poi propagato nei terminal dislocati in 76 Paesi nel mondo.

Il terminal maggiormente colpito è stato quello di Rotterdam Maasvlakte II, che nei primi giorni successivi all’attacco è stato in grado di operare solo al 15% del suo potenziale.

Il blackout è durato diversi giorni e i costi economici sono stati stimati in US$ 850 milioni.

I rischi legati agli attacchi informatici sono ormai una realtà anche dell’industria marittima. Un’indagine di settore evidenzia che oltre il 44% delle linee di navigazione analizzate mostra ridotti livelli di sicurezza dei sistemi informativi, che mancano dei basilari elementi di protezione. BIMCO (Baltic and International Maritime Council), la più importante associazione internazionale nello shipping, ha stilato delle linee guida per informare gli armatori sui rischi e sulle possibilità di mitigarli, anche con un’assicurazione trasporti specifica.

La digitalizzazione del settore marittimo

Le navi e le compagnie di navigazione sono vulnerabili come qualsiasi altro utilizzatore di sistemi informatici.

I porti e i loro container terminal dipendono sempre più da sistemi di comunicazione e gestione elettronica che permettono di semplificare e velocizzare le operazioni di imbarco/sbarco, lo stoccaggio e l’inoltro delle merci. E’ evidente che qualsiasi errore o disfunzione dei sistemi di gestione IT può causare gravi disservizi in catene di approvvigionamento sempre più complesse.

Anche i sistemi di gestione delle navi sono in pieno processo di digitalizzazione, sia a livello di navigazione che di controllo della propulsione e di tutti i sistemi di bordo.

Le vulnerabilità

Già da alcuni anni, il settore marittimo sta prendendo consapevolezza dei cyber risk marittimi: il Maritime Safety Committee dell’IMO – International Maritime Organization - con la circolare MSC-FAL.1/Circ.3 ha predisposto una serie di indicazioni per gli armatori e gli operatori sugli specifici rischi del settore.

BIMCO - Baltic and International Maritime Council - la più importante associazione internazionale nello shipping, presente in oltre 120 Paesi nel mondo e i cui armatori controllano circa il 65% del tonnellaggio navigante, ha avviato parallelamente un’analisi al fine di individuare le più specifiche vulnerabilità delle navi per fornire ai propri associati indicazioni pratiche che incrementino la cyber security. Sono state riscontrate debolezze nei principali sistemi utilizzati per la navigazione: GPS (Global Positioning System), AIS (Marine Automatic Identification System) e ECDIS (Electronic Chart Display and Information System).

Nel 2016, le autorità della Corea del Sud hanno dichiarato che numerosi pescherecci erano stati costretti a un rientro anticipato in porto a seguito di interferenze sul sistema GPS causato da hacker della Corea del Nord, con conseguente perdita del principale strumento automatico di navigazione e della maggior parte dei sistemi di collegamento. In casi simili, il comandante è costretto a rallentare e a procedere in modalità di navigazione a controllo manuale, con ritardi e perdita di attracchi programmati.

A seguito di un attacco informatico, non è remoto nemmeno il rischio di collisione fra navi non più sotto controllo, con la perdita della nave, del carico e di vite umane, senza contare il disastro ambientale che potrebbe derivare dal coinvolgimento di tanker nell’incidente.

La corretta gestione del rischio

Per limitare e gestire rischi sempre più concreti, la compagnia di navigazione non potrà limitarsi alla sicurezza informatica delle singole navi: dovrà allargare l’analisi e l’implementazione all’amministrazione di terra e a tutto il personale a bordo.

La comprensione delle minacce cibernetiche da parte di ciascun armatore che abbia accesso ai sistemi informatici sarà fondamentale quanto la determinazione dei rischi e lo sviluppo di piani per la loro mitigazione.

Secondo l’analisi condotta da BIMCO, appare necessario:

  • identificare i rischi provenienti dall’esterno capaci di compromettere la sicurezza della nave e della sua navigazione, insieme a quelli interni derivanti dall’uso improprio dei sistemi o dalla loro obsolescenza;
  • individuare le vulnerabilità con un inventario dei sistemi elettronici di bordo che siano direttamente o indirettamente collegati fra loro, per poter comprendere gli effetti di un’intromissione non autorizzata;
  • determinare le conseguenze sia di un possibile attacco esterno, sia di un uso improprio interno;
  • sviluppare misure di protezione e controllo per ridurre le vulnerabilità e l’impatto di un eventuale attacco doloso o utilizzo improprio;
  • sviluppare piani di intervento specifici che, in caso di danneggiamento dei sistemi informatici, permettano alla nave di continuare a navigare in maniera sicura e adeguata;
  • imparare a sfruttare i piani di risposta ad un attacco per valutare l’impatto effettivo sui sistemi, anche in un’ottica di prevenzione.

L’assicurazione trasporti

Il mercato assicurativo marine è ancora poco preparato ad assicurare i cyber risk. La Cyber Attack Exclusion Clause del novembre 2003, adottata in tutto il mondo dalla maggior parte degli assicuratori, ha escluso perdite, danni, responsabilità e costi derivanti da qualsiasi tipo di attacco informatico. Il settore si è messo in una posizione di difesa in relazione a un rischio per il quale altri trasporti possono già contare su valide soluzioni assicurative.

A fronte del nuovo scenario di rischio, potrebbero aprirsi nuovi tavoli di confronto per la copertura dei marine cyber risk. L’assicurazione dei rischi on shore ha maturato l’esperienza adeguata ad avviare lo sviluppo di coperture specifiche per il settore trasporti.

A breve il mercato assicurativo sarà probabilmente stimolato dalle richieste degli armatori, ormai consapevoli dei rischi che si trovano ad affrontare senza alcuna salvaguardia di Risk Transfer.

Protection

Polizze Cyber: come proteggersi

Il Cyber Risk è un evento sempre più certo e temuto: nessuna azienda può ritenersi immune dal problema

 

Le violazioni cyber sono tra i rischi più diffusi e costosi per le aziende. Eppure solo poche aziende sono in grado di quantificare realmente la propria esposizione al rischio informatico, compromettendo la capacità di proteggersi in modo efficace. Il mercato delle polizze cyber è oggi in rapida evoluzione, ormai in grado di offrire soluzioni personalizzate, premesso un adeguato processo di analisi e valutazione.

Criticità nella valutazione del rischio

Secondo la Geneva Association, organismo internazionale impegnato in importanti questioni strategiche assicurative e relative al Risk Management, i danni causati dagli attacchi cyber si attestano tra 100 e 1.000 mld di $ e incidono sul PIL dei paesi sviluppati fino all’1,6%.

La consapevolezza del rischio, aumentata nettamente negli ultimi anni, scarseggia però ancora tra le piccole e medie imprese, che risultano essere tra le più colpite.

Le molteplici conseguenze di un attacco ai sistemi informatici aziendali possono avere grosse ricadute sui guadagni e vengono raramente considerate nella loro totalità:

  • furto/corruzione di dati sensibili interni e/o di terzi
  • danni patrimoniali derivanti da interruzione dell’attività
  • danni patrimoniali causati da frodi finanziarie
  • danni materiali agli asset aziendali
  • danni materiali ai clienti
  • danni di immagine

Rimane complesso per le aziende valutare la propria capacità di difesa in ambito di sicurezza informatica, a quali attività dare la priorità o se sia opportuno trasferire una parte del rischio al mercato assicurativo.

I parametri da considerare sono spesso di difficile misurazione: quanti dati sensibili vengono trattati, le policy di protezione dei dati, la geolocalizzazione delle sedi, sistemi firewall e antivirus, monitoraggio delle intrusioni, transazioni con carte di credito, gestione della privacy, utilizzo della crittografia, strategie di backup, accesso fisico ai sistemi, accesso da remoto, outsourcing di servizi informatici, esposizione sui social network, strategie di business continuity.

Come scegliere la polizza

La certezza di inviolabilità non esiste e il trasferimento del rischio al mercato assicurativo in questo campo è una necessità.

La stipula di una polizza cyber è più delle altre un processo che parte dall’analisi delle specifiche necessità dell’azienda alla creazione di una cultura aziendale consapevole dei rischi e capace di implementare le misure di sicurezza. La peculiarità del rischio e l’immaturità del settore, ancora sprovvisto di standard assicurativi di riferimento, rendono indispensabile una buona conoscenza del mercato. Interpellare direttamente una compagnia assicurativa potrebbe portare a soluzioni non rispondenti alle esigenze dell’assicurato: molte aziende si rivolgono alla consulenza assicurativa per individuare le strategie da adottare.

Le soluzioni assicurative sono di solito strutturate in macro‐moduli attivabili o meno, generalmente riguardanti:

  • responsabilità Civile verso Terzi, tipicamente per violazione della privacy o utilizzo non autorizzato dell’infrastruttura informatica;
  • costi di reazione indennizzabili a fronte di sinistro;
  • danni indiretti.

Per valutare l’idoneità di una copertura assicurativa occorre individuare i possibili scenari di rischio e includere una stima dei costi legati alla segnalazione alle autorità di vigilanza delle intrusioni subite.

E’ innanzitutto utile analizzare in ottica Cyber le polizze che già coprono asset aziendali e verificare se e in quale misura considerino le problematiche ICT correlate: polizza Incendio, Danni Indiretti o Business Interruption, Elettronica, RC Generale – Responsabilità Civile Generale, RC Professionale – Responsabilità Civile Professionale, RC Prodotti – Responsabilità Civile per prodotto difettoso, D&O – Responsabilità degli Amministratori e dei Dirigenti.

E’ poi da ricordare che la particolarità del rischio cyber lo rende difficile da inserire efficacemente in una copertura assicurativa generale: per questo è consigliabile dotarsi di una polizza specifica.

L’assicurazione deve proteggere non solo i dati immagazzinati all’interno della sede operativa, ma anche quelli presenti all’esterno, per esempio su laptop, cellulari e tablet dei dipendenti di un’azienda: numerosi esperti, infatti, ritengono che la diffusione di malware nei dispositivi mobili avrà una crescita significativa nei prossimi anni.

Molte coperture includono i costi di indagine delle autorità di controllo e vigilanza successive al sinistro, le spese legali, la consulenza di esperti di comunicazione di crisi, esperti informatici e periti.

Vengono invece spesso esclusi i costi legati all’impiego di personale dedicato alle attività di ripristino.

Bisogna prestare particolare attenzione nel caso l’acquisizione e raccolta dei dati sensibili sia nelle mani di un terzo, sincerandosi che abbia adottato adeguate misure di cyber security e sia a sua volta munito di adeguata copertura assicurativa.

Anche in ambito cyber ricorre la bipartizione tra polizze loss occurrence e claim’s made. Le prime restringono la copertura a perdite di dati o attacchi che si verificano dal momento iniziale di copertura; tuttavia, le violazioni del sistema possono essere latenti e venire individuate a distanza di tempo dalla loro realizzazione, per cui una copertura che non preveda almeno una limitata retroattività potrebbe in tali casi rivelarsi inadeguata. Per questo motivo è consigliabile una copertura claim’s made, che assicuri anche eventi dannosi occorsi precedentemente alla decorrenza della polizza e denunciati in seguito, purchè l’assicurato non ne fosse già a conoscenza.

Molte polizze escludono la copertura in relazione al pagamento di riscatti chiesti dal particolare tipo di malware, i ransomware, per liberare il sistema: l’assicurabilità su tali operazioni è del resto dubbia in numerose giurisdizioni.

Le misure di Loss Prevention sono cruciali

La corretta adozione delle misure di prevenzione richieste in polizza quale condizione per la sussistenza delle coperture sarà un tema rilevante in futuro.

Spesso le clausole di esclusione considerano la mancata implementazione di adeguate misure di loss prevention e vanno valutate attentamente possibili eccezioni legate a misrepresentation, vale a dire alla presenza di lacune/omissioni negli elementi e dati forniti dall’assicurato per la valutazione del rischio.

La diffusione della cyber insurance è stata finora ostacolata, oltre che da una percezione parziale della diffusione del fenomeno e dell’entità del rischio, dagli alti costi di copertura e dalla difficoltà nell’individuazione della copertura e del wording di polizza adeguato. Il problema è stato amplificato dal fatto che, trattandosi di un mercato ancora in fase di sviluppo, le compagnie non dispongono di dati storici su un arco di tempo sufficientemente esteso da consentire una completa valutazione del rischio.

L’ambito assicurativo legato al cyber risk sembra tuttavia destinato ad uno sviluppo rilevante nel prossimo futuro.

Rischi emergenti

Rischi emergenti: le tecnologie che stanno cambiando il panorama dei rischi

Le scelte per un futuro responsabile

 

Lo sviluppo delle tecnologie digitali sta facendo emergere rischi nuovi, meno prevedibili nelle conseguenze. Il World Economic Forum ha stilato un rapporto con le indicazioni da seguire per garantire la giusta tutela ai singoli, alle imprese e alla società in generale. Tutti gli stakeholder devono essere parte attiva nel necessario processo di rinnovamento della gestione del rischio.

Le vulnerabilità insite nello sviluppo tecnologico

Il rapido aumento della potenza dei computer, la crescente disponibilità di dati, il complicarsi degli algoritmi e la sempre maggiore interconnessione globale stanno guidando una trasformazione radicale, i cui effetti sono già visibili.

Esaminiamo alcuni dei settori dove i cambiamenti sono più marcati.

Droni

Propriamente detti Aeromobili a Pilotaggio Remoto (APR), sono dispositivi di varie dimensioni capaci di volare senza necessità di un pilota a bordo.

Potenzialità

Si presteranno a sempre maggiori usi in futuro. La Goldman Sachs Global Investment Research stima che il mercato potenziale dei droni si attesti attorno ai 20 bilioni di dollari, specialmente nel settore delle costruzioni, ma anche nell’agricoltura e in campo assicurativo.

Si prevede inoltre che le loro batterie continueranno a crescere in densità, permettendo un maggior tempo e una maggior efficienza di volo, contemporaneamente diminuendo nei costi.

Rischi

La sicurezza è uno dei maggiori problemi quando si parla di droni. Non è remoto, infatti, il rischio che un drone si scontri con un aereo, come stava per accadere con un jet carico di passeggeri nel cielo di Londra. Il governo londinese ha commissionato una serie di test per quantificare i danni che potrebbero essere causati da uno scontro e si stanno sviluppando una serie di tecnologie per limitare i rischi. I rischi legati alla privacy sembrano finora limitati, ma potrebbero crescere con la prossima aggiunta di tecnologie di riconoscimento facciale.

Le soluzioni dell’industria assicurativa

I quadri regolativi in materia sono disomogenei e c’è ancora incertezza riguardo all’attribuzione delle responsabilità. Gli Stati Uniti e l’Europa stanno sviluppando regolamenti per gestire i cambiamenti in atto, stimolati dalla forte domanda di droni per attività ricreative e per la fotografia. In Italia, per l’uso anche ricreativo di droni, stipulare una polizza assicurativa è obbligatorio.

Intelligenza artificiale

L’intelligenza artificiale è già onnipresente, dagli assistenti domestici ai software che registrano e predicono le nostre preferenze e i nostri gusti, e continuano ad essere migliorate. Google ha registrato, ad esempio, un aumento di accuratezza della sua tecnologia di riconoscimento visivo del 93,9% nel 2016, dopo un miglioramento dell’89,6% nel 2014.

Potenzialità

Il mercato dell’intelligenza artificiale rivoluzionerà i sistemi produttivi nel prossimo decennio. Secondo Bloomberg, alcune funzionalità di intelligenza artificiale si troveranno presto incorporate in quasi tutti i software: Google Photos e Amazon Alexa sono dei primi esempi.

Rischi

I rischi più discussi legati alle tecnologie di intelligenza artificiale sono di natura socio-economica. C’è timore per il futuro dell’occupazione, per la funzionalità di sistemi di sicurezza sociale e servizi di welfare.

Le aziende che affidano potere decisionale a sistemi automatizzati devono sempre più affrontare anche rischi finanziari e reputazionali, per non dimenticare anche i rischi fisici che possono derivare da difetti nella produzione, utilizzo improprio degli strumenti, carenza di manutenzione o atti dolosi.

Le soluzioni dell’industria assicurativa

Nel caso eventuali danni siano facilmente attribuibili all’errore umano di specifici operatori, i modelli assicurativi esistenti potrebbero ancora essere sufficienti. Tuttavia, con il complicarsi progressivo della tecnologia, l’attribuzione di responsabilità sarà sempre meno facile, specialmente con la diffusione della robotica e dei sistemi automatici. Dovranno presto essere messi a punto programmi assicurativi che includono la protezione da danni fisici e interruzione delle attività operative causati da sistemi anonimi.

Internet of things

Sensori incorporati in ogni tipo di oggetto e connessi in rete o alla rete globale stanno cominciando a invadere la nostra vita quotidiana. L’International Data Corporation, compagnia di analisi di mercato, ha registrato una crescita del mercato legato alle wearable technologies, le tecnologie indossabili, del 3,1% nel terzo quadrimestre del 2016. Il mercato delle smart home ha avuto uno sviluppo più contenuto, contando comunque 16.9 milioni di sistemi intelligenti per la casa nel 2015, solo nel Nord America.

Potenzialità

Molti analisti credono che il mercato dell’internet of thing legato all’industria sconvolgerà in maniera dirompente il mercato ancor più di quello legato al consumo. Sarà infatti sostenuto da asset centrali per la crescita globale: l’energia, la sanità, i trasporti. Il mercato delle soluzioni IIoT (Industrial Internet of Things) in Cina è cresciuto dell’82% tra il 2010 e il 2015, ma lo sviluppo di questo settore è ben visibile ovunque.

Rischi

Tutti i dispositivi connessi possono potenzialmente fungere da punti d’accesso per violazione di dati e attacchi all’intera rete. In questi mesi di preparazione e adattamento al Regolamento Generale sulla Protezione dei Dati (GDPR), è stato sottolineato, almeno a livello europeo, il problema della protezione dei dati e del diritto alla privacy dei cittadini. Lo sviluppo delle tecnologie IoT sta cambiando significativamente il modo in cui i dati personali vengono raccolti, conservati, analizzati e utilizzati.

Le soluzioni dell’industria assicurativa

L’utilizzo di dispositivi connessi in rete potrebbe permettere una maggiore interazione tra assicurato e assicuratore, con un conseguente miglioramento del servizio offerto. Installare sensori di monitoraggio in casa aiuterebbe inoltre l’intervento tempestivo in caso di sinistro, limitandone i danni. Vale lo stesso per le attività produttive, che potrebbero facilmente ottenere soluzioni assicurative personalizzate.

Phishing

Cyber Security: attenzione alla supply chain

Attacco di phishing colpisce Unicredit tramite un fornitore

 

Gli attacchi informatici sono in continuo aumento, pochi giorni fa è stata la volta di Unicredit: 400.000 clienti italiani si sono visti violare i dati relativi a prestiti personali. Non sono stati acquisiti dati sensibili che permettano l'accesso ai conti bancari o transazioni non autorizzate, come password o altre credenziali di accesso, ma gli hacker potrebbero essere entrati in possesso di alcuni dati anagrafici e codici Iban. UniCredit ha informato le autorità competenti e avviato un audit sul tema. Intanto il titolo cala in Borsa dello 0,7%. Il Cyber Risk si conferma la vera sfida per la protezione dell’impresa e per garantire la continuità operativa (Business Continuity). E’ importante adottare un nuovo approccio alla gestione del rischio che parta dalla prevenzione e arrivi fino alla sottoscrizione di adeguate polizze assicurative.

Serve un sistema di Cyber Security integrato

Dotarsi di un piano integrato di protezione dal rischio cyber sta diventando sempre più un imperativo per le imprese. Gli attacchi informatici stanno colpendo aziende di tutte le dimensioni. Singoli utenti e piccole realtà non possono ritenersi al riparo da questo genere di pericoli e non è certo la prima volta che un’azienda strutturata viene colpita da attacchi informatici. Negli ultimi mesi sono state colpite la società britannica di pubblicità Wpp, il colosso dei trasporti danese Moller-Maersk, Deutsche Bahn, Renault e molte altre.

Attenzione alla sicurezza dei fornitori

C’è un’insidia in più. Dotarsi di un sistema di protezione dal rischio cyber è fondamentale, ma occorre assicurarsi che anche la propria supply chain ne sia dotata. In effetti, molte imprese chiedono già un piano di protezione informatica come requisito agli eventuali fornitori, data la facilità del contagio.

I criminali informatici si sono accorti che è più facile attaccare grandi strutture indirettamente, colpendo un contatto meno protetto. È il caso di UniCredit, che dichiara che gli accessi non autorizzati erano stati fatti tramite un loro fornitore. Era già successo nel dicembre 2013 all'azienda statunitense Target, vittima di un grave attacco sferrato passando per i sistemi informatici compromessi di alcuni punti vendita. A seguito di quest’episodio, sono stati rubati 40 milioni di dollari di tessere di debito e di credito e l’azienda americana è stata costretta a pagare più di 191 milioni di dollari, cifra ridotta poi a 145 milioni grazie alla copertura di polizze assicurative. Proprio per questo, è importante che ogni azienda si strutturi con un piano di Business Continuity efficiente, che metta al riparo le attività produttive e i servizi offerti anche con specifiche polizze cyber. Fondamentale svolgere preventivamente un’analisi dei punti critici del sistema e delle pratiche aziendali, senza dimenticare quelle dei fornitori e dei clienti.

Minaccia phishing: cos'è?

Il rischio maggiore per i correntisti Unicredit è che gli hacker utilizzino o vendano i loro dati per attuare tentativi di truffa sfruttando la posta elettronica, utilizzando cioè quella tecnica denominata phishing.

“Phishing: Truffa informatica effettuata inviando un'e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico”.

Nonostante sia ormai tra le minacce informatiche più conosciute, il phishing resta un pericolo a livello globale: da una ricerca condotta da Intel e McAfee emerge che solo il 3% dei 19mila intervistati in 144 Paesi è stato capace di identificare correttamente tutti i dieci esempi del test a cui sono stati sottoposti, riuscendo a distinguere le mail legittime da quelle progettate per carpire informazioni. Avendo fallito almeno una prova, ben l’80% del campione preso in esame sarebbe rimasto vittima di un hacker.

Come proteggersi?

Ecco le principali regole che ogni utente può seguire per evitare di incorrere in attacchi di phishing e furto di dati:

  • Controllare la grammatica del messaggio via email. Il dipendente che ha salvato Deutsche Bank da un attacco cyber nel 2016 si era insospettito per un errore all’interno della comunicazione ufficiale, «fandation» al posto di «foundation»;
  • Evitare click su indirizzi fasulli, riconoscibili da strani codici numerici o altri URL incorporati all’interno. Gli indirizzi ufficiali sono di solito chiari e semplici;
  • Non cliccare su alcun link che chiede di modificare i tuoi dati personali di un account, soprattutto se si tratta di portali istituzionali, della tua banca o della tua compagnia telefonica. Nessun ente serio chiede di rivelare dati sensibili via email, telefono, SMS o chat;
  • Modifica le impostazioni della privacy dei social network a cui sei iscritto e nascondi i dati sensibili;
  • Cestina le mail che finiscono nella cartella spam del tuo servizio di posta elettronica: sono per la maggior parte junk mail o tentativi di phishing. Se il tuo client di posta non prevede una funzione di riconoscimento della posta indesiderata, scarica un apposito programma antispam;
  • Installa nel tuo computer un antivirus che includa la protezione dal phishing e assicurati che si aggiorni con frequenza;
  • Non salvare dati d’accesso ai portali nel browser, usa password alfanumeriche, di almeno 6 caratteri e cambiale spesso (una volta al mese);
  • Per eventuali acquisti su Internet, preferisci le carte prepagate alle carte di credito o apri un account PayPal, che in caso di truffa ti permetta di essere risarcito. Accertati anche che il sito di acquisti online sia affidabile e che utilizzi sistemi di crittografia come le connessioni SSL/TLS, rese visibili sulla barra degli indirizzi del browser da un’icona a forma di lucchetto;
  • Attenzione agli indirizzi web abbreviati tramite servizi quali TinyURL o Google urlshortener: potrebbero nascondere rischi di cyber security. Meglio controllare sempre l’indirizzo completo prima di visitarlo, ad esempio con il programma Long URL Please;
  • Controlla spesso i movimenti del tuo conto corrente e delle tue carte di credito o bancomat
attacco-hacker-petya

Il nuovo attacco hacker globale: come difendersi da NotPetya

Ci risiamo. A un mese e mezzo dal devastante WannaCry, un nuovo attacco hacker sta paralizzando mezzo mondo.

Il nuovo ramsonware si chiama Petya (o NotPetya), ha colpito alcune importanti infrastrutture critiche ucraine (tra cui la Banca Centrale, la maggiore compagnia energetica nazionale e la centrale di Chernobyl) per poi diffondersi a macchia di leopardo nel resto del mondo: dalla compagnia navale danese Maersk, al colosso petrolifero russo Rosneft, passando per il gruppo pubblicitario Wpp, il gruppo francese Saint Gobain, la casa farmaceutica Merck, fino ad arrivare in Italia dove ha colpito i server di DLA Piper, uno studio legale internazionale.

A farne le spese sono stati, almeno stando alle informazioni note fino ad ora, oltre 12 mila computer.

Rispetto a WannaCry il nuovo ramsonware sembra essere più sofisticato. Come ha confermato al Corriere della Sera Gianluca Varisco, Responsabile della cyber sicurezza nel team per la Trasformazione Digitale del Governo, sebbene abbia caratteristiche simili, per questa variante non sembrerebbe essere possibile fermare la propagazione da remoto mentre risulterebbe essere in grado di aggredire e infettare altri sistemi all'interno della stessa rete.

Come agisce Petya / Not Petya

Il ransomware è un software malevolo che si insinua nel dispositivo, rende inaccessibili i file presenti sul disco rigido e chiede un riscatto per ottenere il codice per «liberarli» e riprenderne il controllo.

L’infezione avviene tramite l'apertura di un allegato malevolo all'interno di un messaggio di posta.

Sul monitor dell'utente compare quindi la richiesta del pagamento di un riscatto di circa 300 dollari in bitcoin. Ma, attenzione!, l'indirizzo email segnalato per comunicare il pagamento del riscatto è stato prontamente bloccato dal provider, quindi, chiunque paghi non avrà indietro i suoi file.

Come difendersi

Anche in questo caso, come successo per WannaCry, Petya era già conosciuta dai ricercatori informatici - per diffondersi sfrutta una vulnerabilità del sistema operativo Windows - e l’arma, un codice chiamato «EternalBlue», era già stato scoperto e sfruttato dall’Nsa, l’Agenzia americana per la sicurezza nazionale. Tutto il mondo era venuto a conoscenza della sua esistenza grazie a una fuga di notizie pubblicata da Wikileaks, Microsoft aveva corretto la falla, ma per i computer non aggiornati la vulnerabilità nel software esiste ancora. Quindi, come sempre è importante:

  1. Aggiornare costantemente tutti i sistemi
  2. Fare il back up quotidiano dei dati su computer, smartphone, server, …
  3. Conservare le copie dei dati su dispositivi di archiviazione separati e anche distanti fra loro. Una delle copie può essere archiviata in cloud.

Intanto il ricercatore Amit Serper ha trovato un "vaccino" per rendere i computer immuni a Petya/NotPetya.

Ha analizzato il processo con il quale NotPetya infetta un PC e individuato un'operazione per renderlo inoffensivo: in pratica ha scoperto che il ramsonware si aggancia a un file locale per diffondersi all'interno della macchina e che, creando un file di sola lettura dal nome “perfc” nella cartella C:Windows, non ha più possibilità di diffondersi (qui la guida utile a chi ancora non è stato infettato).

 

COSA POSSIAMO IMPARARE

Questo ennesimo attacco ci ricorda quanto ci sia ancora da fare per affrontare la principale minaccia alla sicurezza globale di questo millennio.

Sappiamo che ogni innovazione si accompagna sempre a nuovi rischi. In particolare l’innovazione digitale, che ha pervaso ogni aspetto della nostra vita lavorativa e personale, rappresenta oltre che una fantastica opportunità anche una grande minaccia che ci rende tutti più vulnerabili.

In particolare le imprese operano ormai in un ambito globale e interconnesso che, per sua natura, è più fragile: è necessario che venga completamente ripensata la strategia di risk management.

Bisogna imparare a conoscere la minaccia in ambito cyber per difendersi preventivamente e acquisire quindi un vantaggio anche in termini di competitività.

In Italia si sono fatti passi avanti razionalizzando, da un punto di vista normativo, l'architettura di comando e controllo della cyber security nazionale e stanziando maggiori risorse economiche per rafforzare le organizzazioni che materialmente si occupano della protezione delle reti nazionali più sensibili.

Se da una parte è fondamentale che tali risorse vengano incrementate per arrivare almeno al livello di quelle stanziate dagli altri Paesi europei e per rafforzare il necessario know how scientifico nazionale, dall’altra è indispensabile che tutte le imprese italiane, PMI comprese, aumentino la loro consapevolezza circa i rischi derivanti da un inadeguato livello di protezione cyber aziendale.

Come dice Andrea Margelletti, Presidente del Ce.S.I. - Centro Studi Internazionali,

Mai come in questo dominio, spetta non solo al decisore politico, ma anche al sistema imprenditoriale nazionale, decidere se affrontare compiutamente la sfida cyber e i relativi investimenti salvaguardando il know how e il Pil nazionale o se, invece, continuare con il piccolo cabotaggio e condannare il Paese alla retrocessione al Terzo Mondo digitale”.

 

Ecco i 15 Controlli Essenziali di Cybersecurity per le PMI proposti dal Cybersecurity Report 2016, realizzato dal Research center of cyber intelligence and information security dell’Università Sapienza di Roma e dal Laboratorio Nazionale Cini (Consorzio interuniversitario nazionale per l’informatica) :

  1. verificare che in azienda esista e sia mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
  2. assicurarsi che i servizi web (social network, cloud computing, posta elettronica, spazio web, ecc) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
  3. individuare informazioni, dati e sistemi critici per l’azienda affinché siano adeguatamente protetti.
  4. nominare un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
  5. identificare e rispettare leggi e/o regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
  6. verificare che tutti i dispositivi che lo consentono siano dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornati.
  7. password diverse per ogni account, della complessità adeguata, valutando anche l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (come l’autenticazione a due fattori).
  8. accertare che il personale autorizzato all’accesso, remoto o locale, ai servizi informatici disponga di utenze personali non condivise con altri, che l’accesso sia opportunamente protetto e che i vecchi account non più utilizzati siano disattivati.
  9. ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
  10. il personale deve essere adeguatamente sensibilizzato e formato sui rischi di cyber security e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali; i vertici aziendali dovranno predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
  11. verificare che la configurazione iniziale di tutti i sistemi e dispositivi sia svolta da personale esperto, responsabile per la configurazione sicura degli stessi, e che le credenziali di accesso di default siano sempre sostituite.
  12. eseguire periodicamente backup delle informazioni e dei dati critici per l’azienda, conservarli in modo sicuro e verificarli
  13. verificare che le reti e i sistemi siano protetti da accessi non autorizzati
  14. servono strumenti specifici, in caso di incidente vanno informati i responsabili della sicurezza e i sistemi vanno messi in sicurezza da personale esperto.
  15. tutti i software in uso (inclusi i firmware) devono essere aggiornati all’ultima versione consigliata dal produttore.
Server - sicurezza informatica

Cyber Security, ancora pochi gli investimenti

Il rischio attachi informatici è ancora sottovalutato dalle aziende

Chissà se la tempesta Wannacry è riuscita a far comprendere alle aziende quanto sia importante tutelare la propria impresa dal rischio cyber. Con l’Industria 4.0 sempre più connessa, il rischio che macchinari, raccolte o trasmissioni di dati si fermino a scapito della business continuity è molto elevato. E può capitare davvero a qualsiasi realtà di trovarsi all’improvviso a dover fronteggiare una situazione di crisi: basti pensare che nel settore metallurgico ci sono stati casi di hackeraggio che hanno influito sulle colate dei materiali.

Eppure l’Italia secondo l’Accenture Security Index è in undicesima posizione (su 15 paesi esaminati) per le azioni di cyber security effettuate dalle aziende.

Sicurezza Informatica

Le nostre aziende, come riportato da Il Sole 24 Ore, presentano elevate performance solo in 10 dei 33 ambiti (29%), posizionando il nostro paese prima di Norvegia, Germania, Australia e Spagna. Più strutturate sono invece Gran Bretagna e Francia (44%). Gli ambiti in cui siamo più preparati riguardano:

  • i piani di cyber response;
  • il supporto al rischio IT;
  • il processo di comunicazione in caso di incidente informatico;
  • la responsabilità della cyber security;
  • l’approccio alle architetture basato sulla cyber security.

Al contrario, le aziende non sono ancora adeguatamente strutturate per gestire questi aspetti:

  • identificazione degli asset di alto valore e dei processi di business;
  • investimenti in cyber security a tutela degli asset chiave;
  • inclusione dei finanziamenti alla cyber security nei piani dell’IT;
  • cyber security delle terze parti;
  • clausole di sicurezza per le terze parti.

PMI: ANCORA POCHI INVESTIMENTI IN SICUREZZA INFORMATICA

Implementare una strategia di sicurezza informatica è ormai essenziale per qualsiasi realtà. Il mercato delle soluzioni in cyber security ha raggiunto in Italia nel 2016 un giro di affari pari a 972 milioni, in crescita del 5% rispetto all’anno precedente. La quota di investimenti da parte delle grandi aziende è pari al 74%, mentre le PMI hanno speso in sicurezza informatica solo poco più 250 milioni. Questo dato denota come le medie imprese siano ancora inconsapevoli dei rischi che corrono.  Lo confermano anche i dati del Politecnico: il 93% delle PMI che ha dedicato un budget alla sicurezza informatica lo ha fatto senza un utilizzo consapevole e maturo. Le risorse vengono dedicate soprattutto all’adeguamento normativo (48%) per il quale solo il 9% delle PMI ha programmi di formazione specifici.

Il Governo sta tentando di intervenire attraverso il piano Industria 4.0 nel quale sono presenti agevolazioni per investimenti in sicurezza informatica.

WANNACRY: CHE COS’E’ E COME DIFENDERSI

Il ransomware WannaCry ha colpito lo scorso 12 maggio oltre 150 paesi facendo almeno 200.000 vittime. Sono stati infettati i sistemi informatici di realtà come Deutsche Bahn, FedEx, Renault e il Ministero dell’interno Russo. In Italia è stata colpita l’Università degli Studi di Milano.

Come fare per tutelarsi?

 

Attacchi informatici

Attacchi informatici, 2016 anno nero per l’Italia

Nel nostro Paese sono particolarmente diffusi i ransomware, gli attacchi realizzati attraverso dei malware

Nel 2016 l’Italia è stata fra i paesi più colpiti al mondo dagli attacchi informatici. Non era mai successo che il nostro paese rientrasse nella top ten degli attacchi più gravi registrati e che si distinguesse per numero di vittime.

Sono i primi dati che emergono dal Rapporto Clusit 2017, realizzato  dall’Associazione Italiana per la Sicurezza Informatica in collaborazione con Fastweb, Akamai e IDC Italia.

Mentre proprio in questi giorni il Governo italiano si appresta a definire un programma nazionale di cyber sicurezza con un nuovo Decreto per innalzare il livello di sicurezza informatica nel nostro Paese, ci si interroga sulla percezione che si ha dei rischi e su come tutelarsi. Un problema concreto soprattutto per le aziende, in difficoltà sia per la mancanza di competenze specifiche, sia per gli strumenti di cui dispongono, spesso non in grado di fornire risposte immediate e complete. Solo recentemente, va ricordato, si sta ricorrendo con più frequenza anche a polizze cyber risk che possano tutelare la continuità operativa delle imprese.

Ma quali sono gli attacchi più frequenti registrati in Italia nel 2016?

Nel nostro Paese sono particolarmente diffusi i ransomware, gli attacchi realizzati attraverso dei malware (+116% dei casi nel 2016) che criptano i file dell’hard disk, recuperabili poi dall’utente attraverso il pagamento di un riscatto. Il fatto che sia un evento tipicamente italiano è riconducibile alla poca preparazione delle vittime, che non si rendono conto del pericolo a cui espongono la propria azienda cliccando su link non affidabili. Questa tipologia di attacchi potrebbe quindi essere contenuta con una maggiore consapevolezza degli strumenti in dotazione e più attenzione da parte degli utenti.

Secondo il Clusit il 32% degli attacchi informatici viene effettuato con tecniche ancora sconosciute, ma a destare maggiore preoccupazione è l’aumento esponenziale (+1.166%) degli attacchi compiuti con tecniche di Phishing /Social Engineering. Queste modalità inducono gli utenti a fare dei passi falsi, dando poi il via al cyber attack vero e proprio.Attacchi informatici - Rapporto Clusit 2017

A livello mondiale gli attacchi di cyber crime sono cresciuti del 9,8%, mentre quelli riferibili a cyber warfare, ovvero alla guerra delle informazioni, sono aumentati addirittura del 117%. Lo spionaggio è in calo (-8%) così come l’Hacktivism (-23%), le operazioni condotte da gruppi di hacker, come Anonymous.

E’ importante evidenziare inoltre come alcuni settori siano stati più soggetti a cyber attack rispetto ad altri. Nel 2016, infatti, la maggior crescita percentuale di attacchi gravi si è registrata nel settore della sanità (+102%), seguita dalla GDO (+70%) e dal comparto bancario e finanziario (+64%).

Aumentati gli attacchi informatici a realtà europee (fra il 13 e il 16%) e in Asia (15/16%), mentre si registra una leggera diminuzione negli Stati Uniti. Gli obiettivi privilegiati restano le multinazionali.

Il  rapporto Clusit riporta anche gli attacchi più gravi verificatisi nel 2016. L’Italia conquista la famigerata top ten per quello realizzato in primavera ai danni del Ministero degli Esteri Italiano, reso noto solo poche settimane fa dal Guardian. E’ emerso come si trattasse di un attacco di matrice cosiddetta state-sponsored, forse su input della Russia, che avrebbe compromesso alcuni sistemi non classificati.

Fra i cyber attack di rilievo si distingue quello ai danni del Partito Democratico americano nel corso della campagna presidenziale, quando furono rese pubbliche da Wikileaks oltre 19 mila mail del Comitato nazionale dalle quale si evinceva la spinta data alla candidatura di Hillary Clinton a scapito di Bernie Sanders.

Il “data breach”, ovvero la violazione dei dati personali, più clamoroso non solo del 2016, ma della storia, è stato quello perpetrato ai danni di Yahoo e dei suoi utenti. Sono stati sottratti nomi, indirizzi mail, numeri di telefono, password e persino domande di sicurezza cifrate, rivendute in alcuni casi nel dark web per 300 mila dollari. Un danno che ha portato anche alla diminuzione delle quotazioni di Yahoo, nell’ambito dell’acquisizione di Verizon.

Le banche ad essere finite nel mirino del cyber attack con azioni clamorose sono state due. La Banca del Bangladesh ha subito un danno stimato in 81 milioni di dollari a causa di una compromissione del sistema con il quale i criminali avevano ordinato una transazione di 1 miliardo di dollari, di cui è andata a buon fine “solo” la prima tranche. La britannica Tesco Bank ha subito invece una violazione per circa 20 mila clienti, privati del loro denaro nell’arco di un week end.

Si segnala infine l’attacco subito dal sistema di trasporto pubblico di San Francisco, che ha avuto come conseguenza l’apertura di tutti i tornelli e la circolazione gratuita degli utenti, non potendo emettere i titoli di viaggio. Il tutto a causa di un ransomware, che ha portato ad infettare 2 mila sistemi fra server, client e macchine e per la cui risoluzione era stato richiesto un riscatto di 73 mila dollari.

Rischi aziendali

Rischi aziendali, la business interruption il più temuto

Per il quinto anno consecutivo l’interruzione dell’attività si conferma il rischio più temuto dalle aziende. E’ quanto emerge dall’indagine annuale Allianz Risk Barometer, realizzata da Allianz Global Corporate & Specialty e che analizza i dati di un sondaggio condotto tra 1.237 esperti in 55 Paesi.

Per il 37% degli intervistati (36% in Italia) la business interruption rappresenta quindi il rischio aziendale più grave, dal quale possono derivare significative perdite di reddito e danni immateriali quali alla reputazione e all’immagine del brand. Sono però nuove le cause scatenanti che possono causare l’interruzione dell’attività: dagli attacchi informatici all’instabilità politica fino al terrorismo. Ogni azienda, a prescindere dalle dimensioni e dalle attività, dovrebbe quindi dotarsi di un Business Continuity Plan, un piano di operatività continuativa che possa dare indicazioni concrete alle figure chiave su come agire in caso di imprevisto a salvaguardia dell’attività e dei beni dell’azienda.

L’imprevedibilità del contesto economico è il secondo rischio più sentito, a causa della volatilità dei mercati e dei rischi politici. La Brexit e la nuova era Trump, con i forti venti di protezionismo, passando per le continue minacce del terrorismo globale, alimentano le preoccupazioni.

Gli attacchi informatici rimangono fra i rischi maggiormente temuti, stabili sul podio come rilevato lo scorso anno (4° in Italia). Basti pensare che in una sola settimana, Akamai, società specializzata in servizi di rete per la distribuzione dei contenuti, ha censito oltre 50 milioni di attacchi informatici in tutto il mondo! La cyber security è un tema sempre più affrontato dalle aziende, perché interessa tutte le realtà a prescindere dal settore o dalle dimensioni. In vista del nuovo regolamento Europeo sulla protezione dei dati e nell'ottica di sviluppo dell'industria 4.0, inoltre, dove l'automazione diventa preoponderante, la protezione e la gestione dei dati rappresenta un asset fondamentale per garantire la continuità operativa dell'azienda. La maggiore attenzione nei confronti della sicurezza informatica e delle polizze cyber risk che possono tutelare l’azienda emerge anche dal fatto che oggi è il board delle società ad avere la responsabilità della cyber security. La consulenza aziendale, in questo ambito, è inoltre sempre più ricercata e apprezzata, perchè molte imprese ritengono di non possedere le competenze necessarie per potersi tutelare. Nota dolente: le piccole aziende ancora sottovalutano la minaccia informatica, nonostante sia evidente che un attacco grave potrebbe risultare molto più dannoso proprio per realtà più piccole e meno strutturate.

Le catastrofi naturali restano fra i rischi più sentiti; in Italia risultano essere al terzo posto anziché al quarto come a livello globale, complici i recenti terremoti che stanno affliggendo il centro Italia. La prevenzione dei rischi e l’adozione di formule di autoassicurazione che possano consentire risarcimenti celeri e certi sono al momento nuovamente in discussione. Nel ramo danni l’Italia rimane, fra i paesi europei, quello maggiormente sottoassicurato.

I cambiamenti legislativi, dalle sanzioni economiche al protezionismo, rappresentano un’ulteriore minaccia, così come gli sviluppi macroeconomici, gli incendi e le esplosioni, nonché il rischio politico, con il terrorismo in prima fila.

La perdita di valore del brand e di reputazione è il problema più sentito dal 13% dei rispondenti, seguito dai rischi connessi alle nuove tecnologie, dall’intelligenza artificiale ai droni fino alla stampa 3d.

 

Attacchi informatici

Assiteca Sicurezza Informatica su Radio Montecarlo

A Radio Montecarlo gli scorsi 12 e 13 gennaio è intervenuto Guido Mondelli, amministratore di Assiteca Sicurezza Informatica e uno tra i massimi esperti di cyber security. La sicurezza da intrusioni digitali è questione che riguarda tutti: dalle singole persone alle aziende, di qualsivoglia dimensione. Per Mondelli sono necessarie la formazione e la fiducia delle istituzioni.

Ascolta l'intervista del 12 gennaio 2017 andata in onda su Radio Montecarlo all'interno del TG delle ore 13.00

Ascolta l'intervista del 13 gennaio 2017 andata in onda su Radio Montecarlo all'interno dell'approfondimento mattutino delle ore 6.30

 

Sicurezza Informatica

La Cyber Security nell’era dell’Innovazione Digitale

Cyber security, attacchi informatici, hacker. Cresce la necessità di essere informati e di capire come potersi difendere.

Lo dimostrano anche le ricerche condotte su Google: negli ultimi 10 anni sono cresciute del 770% le richieste di informazioni relative agli hackeraggi e del 550% quelle su come modificare le proprie password, così che siano più sicure.

La posta in gioco è decisamente alta, soprattutto per le aziende: basti pensare che nel 2015 i danni reputazionali conseguenti ad attacchi informatici hanno generato perdite per  9 miliardi di euro.

Come tutelarsi?

Gabriele Giacoma, amministratore delegato di Assiteca Sicurezza Informatica,  ha affrontato la complessa questione del cyber crime soprattutto alla luce della Digital Transformation nel sistema industriale italiano.

Ai microfoni di Fabbrica 2.4, trasmissione condotta da Filippo Astone su Radio24, ha ricordato come sia oggi fondamentale occuparsi simultaneamente dei tre livelli di sicurezza informatica: fisica, logica e organizzativa.  Difendere le reti, testare i sistemi informativi con appositi servizi quali il Vulnerability Assessment e il Penetration Test per capire quanto siano vulnerabili,  e fare formazione per poter riconoscere i rischi. Il ricorso a polizze Cyber, che coprono i danni materiali e immateriali, come ad esempio la perdita di dati causata da virus, e la Responsabilità Civile verso terzi, dai clienti ai fornitori, è un ulteriore tutela per qualsiasi azienda.

Trascurare anche uno solo di questi aspetti può causare, in caso di attacco informatico, l’uscita dal mercato nell’arco di soli 3 anni.

La sfida dell’Innovazione Digitale pone quindi le imprese italiane di fronte ad un nuovo rischio. Di Cyber Security  si parlerà anche nel corso del convegno e dell’evento di premiazione della VII ed. del Premio Assiteca - Innovazione Digitale il prossimo 26 gennaio presso la sede del Sole 24 Ore a Milano, dove verranno decretate le imprese vincitrici fra le 26 finaliste.

Durante l'incontro Raffaello Balocco, Responsabile Scientifico degli Osservatori Digital Innovation della School of Management del Politecnico di Milano, illustrerà i risultati dell’indagine che si è posta l'obiettivo di mappare lo stato di diffusione dell’innovazione digitale tra le imprese italiane, individuare i migliori progetti e sondare i modelli di governance e gestione del rischio che sono stati adottati.
Interverrà inoltre Salvatore Majorana - Direttore del Technology Transfer dell’Istituto Italiano di Tecnologia (IIT).