Il patrimonio
informativo
Data Loss Prevention
Come tutelare l’azienda dalla fuga di
notizie e dallo spionaggio industriale
Gianluca Vadruccio
[email protected]
11 aprile 2008
1
Cosa può causare?
11 aprile 2008
2
Proprio qualche giorno fa…
Financial Times del 07 Aprile 2008
HSBC, the UK’s biggest bank, has apologised to customers after losing the
personal details of 370,000 people (names, life insurance cover levels,
dates of birth and whether or not a customer smokes)
The bank said a computer disk had gone missing after it was couriered
from one of its offices in Southampton en-route to another office
The incident is the latest in a series of incidents where data has gone
missing from banks and government departments.
►
►
►
Last November, the government admitted it had lost two CDs containing details of
25m child benefit records.
Another UK bank HBOS was forced to apologise to more than 60,000 mortgage
customers last June after private information about them was lost in the post.
Bank of Scotland, which is part of HBOS, had sent a computer disc containing
names, addresses and dates of birth through the post to a credit reference agency.
11 aprile 2008
3
Traccia dell’intervento
Descrizione della tematica e delle
problematiche
Approccio consigliato e tutela del patrimonio
informativo aziendale
Aspetti organizzativi e tecnologici
Analisi investigativa e ricostruzione degli
incidenti
Sintesi e conclusioni
11 aprile 2008
4
Spionaggio militare/governativo
Financial Times del 12 Marzo 2008
US military raises alarm on cyber attacks
Kevin Chilton (general for cyber operations): “You worry about activities from an
individual to an organisation like al-Qaeda to a nation state”
The Pentagon has become especially sensitive to the growing threat from
cyberspace since last June, when hackers successfully penetrated and stole
data from the unclassified network serving Robert Gates, the US defence
secretary
Privately, US cyber experts admit that the US has long had the ability to attack –
and steal – information from foreign government computer networks. Their
concerns are that China and Russia are developing the same capabilities
11 aprile 2008
5
Malware in aumento
Rapporto di G Data del 7 Febbraio 2008
Il furto di dati e reti “Bot” ha occupato i titoli dei giornali nel 2007
Malware aumentato del 338,6%
Principale interesse: furto dati e spionaggio
Esempio citato: violente manifestazioni aventi protagonisti russi ed
estoni sfociarono, attraverso le reti “Bot”, in attacchi di tipo
Distributed Denial of Service su numerosi siti web di
ministeri, funzionari governativi, banche, giornali e imprese
11 aprile 2008
6
Spionaggio alle corporates
Financial Times del 01 Dicembre 2007
US military raises alarm on cyber attacks
The director-general of MI5 (Jonathan Evans) has warned banks and financial
services companies that commercially sensitive information is at risk of being
compromised by Chinese computer hacking
The decision to send a letter to private companies appears to be an attempt to
emphasise that it is not only government computers at risk from Chinese
hackers, but those from the private sector too
They do not only use traditional methods to collect intelligence but increasingly
deploy sophisticated technical attacks, using the internet to penetrate
computer networks
11 aprile 2008
7
Sottrazione di informazioni
La Repubblica del 01 Dicembre 2007
Il sistema economico britannico a forte rischio di cyber spionaggio
A rivelarlo sono i servizi segreti di Sua Maestà, secondo cui gli hacker cinesi
su mandato di "organizzazioni statali" di Pechino si infiltrano nella rete per
sottrarre informazioni dai database di grande banche, importanti società o
studi legali
"Le aziende britanniche - prosegue la nota - che operano in Cina sono
guardate a vista dall'esercito cinese che usa Internet per appropriarsi di
informazioni commerciali confidenziali“
Dopo gli Usa e la Francia anche la Gran Bretagna entra quindi nel mirino degli
hacker cinesi
11 aprile 2008
8
Furti di know-how
Il Sole24Ore del 28 Ottobre 2007
Spiate 4 aziende su 10
Società vittime di frodi industriali e l’Italia detiene il primato per il
numero di reati in materia di proprietà intellettuale… furti di
intellectual properties all’ordine del giorno…
Una tra le cause principali di rischio è la mancanza di fedeltà
all’azienda con cui si hanno rapporti di lavoro.
80% del settore finanziario è vittima di violazioni delle regole di
governance, di frodi finanziarie interne, di attacchi informatici. Il
23% di queste violazioni sono attentati alla proprietà intellettuale
11 aprile 2008
9
Il fattore umano
Il Sole24Ore del 28 Ottobre 2007
Il fattore umano è la prima causa di violazione dei sistemi
In certi casi e per certe situazioni la tecnologia non può fare nulla
Dischi esterni, pendrive e palmari aumentano il rischio
dell’azienda, diminuiscono la difficoltà di compimento del
reato, diminuiscono le possibilità di rilevamento
Il 47% delle aziende manifatturiere italiane hanno subito furti di
proprietà intellettuale
Un illecito è spesso commesso da parte di qualcuno che ha la ragionevole
certezza di farla franca, ergo, una della cause per le attività di spionaggio è la
totale assenza di procedure e meccanismi di auditing che consentano, a fronte
d un incidente, di poterlo ricostruire individuandone il responsabile
11 aprile 2008
10
Computer Crime Trend
Fonte: Computer Security Institute – Security Survey 2007
Perdite medie riportate rispetto al 2006: +108%
Il 18% del totale è dovuto a malware
Le frodi finanziarie sorpassano gli attacchi virus in termini di perdite
finanziarie. Se si unisse in una sola categoria tutte le perdite di dati (customer e
proprietary), quest’ultima sarebbe al secondo posto. Le azioni di penetration da
outsiders sono al quarto posto.
L’abuso interno della rete e della posta ha superato la problematica dei virus
in termini di “types of attacks or misuse”
La percentuale delle organizzazioni che hanno denunciato intrusioni agli enti
preposti è passata dal 25% al 29%
Budget IT speso per Awareness Training: <1% per il 48% delle organizzazioni
Tecniche utilizzate per valutare l’efficacia delle tecnologie di sicurezza
implementate: 63% mediante security audits compiute da staff interno
11 aprile 2008
11
Alcuni casi (1)
TJX Companies (denunciato il 17 Gennaio 2007)
Visa (denunciato il 19 Giugno 2005)
Milioni di carte di credito rubate da hackers (outsiders) mediante la
compromissione del sistema di gestione delle carte CardSystem.
Corriere della Sera del 23 Ottobre 2007
Più di 45 milioni di records (carte di credito) rubati da hackers (outsiders)
sfruttando una debolezza del sistema wireless.
La casa automobilistica Great Wall Motor replica alle accuse di Torino: non
abbiamo copiato la Panda.
La Repubblica del 26 Aprile 2006
In Cina copiano anche le Ferrari. Sequestrata una rara 330 P4. E questo si
aggiunge alla nota vicenda che ha visto coinvolta la McLaren (insiders)
11 aprile 2008
12
Alcuni casi (2)
La Gazzetta dello Sport dell’08 Novembre 2007
Il Corriere della Sera del 9 Settembre 2007
La polizia postale indaghi sulla fuga di notizie (insiders) avvenuta ieri durante la
seconda prova degli esami di maturità: lo chiede il Codacons.
La Repubblica del 15 Ottobre 2007
Fuga di notizie (insiders) sui test, pubblico ministero all’università (plichi a
Catanzaro, voti sospetti al sud)
La Repubblica del 22 Giugno 2007
La Renault è stata accusata di essere entrata in possesso, senza autorizzazione, di
progetti e informazioni confidenziali appartenenti alla McLaren-Mercedes“
(insiders)
Fuga di notizie riservate verso boss di Cosa Nostra (insiders)
La repubblica del 26 Settembre 2007
Caos arbitri dopo la fuga di notizie (insiders): il designatore Collina cambia la terna
arbitrale
11 aprile 2008
13
Tipologie di utenti e
comportamenti (fonte Forrester)
Utente “zero-knowledge”
Utente “gadget-maniac”
Utilizzatore della tecnologia e dei supporti esterni
Tester di software e soluzioni
Chat, blog, p2p, voip
Utente “giocherellone”
Peccano di ingenuità
Non conoscono le policy e le normative
Non utilizza gli strumenti aziendali come dovrebbe
Scarica musica, film e giochi
Utente “spia-calimero”
L’ 80-90% della
perdita di
informazioni è
accidentale e
non
intenzionale
(Gartner)
Fuga di notizie fraudolenta
Accesso fisico-logico ad aree a lui non consentite
11 aprile 2008
14
Sintesi e statistiche (1)
Dati "divulgati" nel 2008
(fonte Attrition.org Data Loss Archive and Database)
12%
personali
14%
medicali
14%
60%
sensibili
riservati
11 aprile 2008
15
Sintesi e statistiche (2)
Fuga di notizie (principali cause)
(fonte Attrition.org Data Loss Archive and Database)
8,5%
7,7%
14,4%
condivisi via internet
rubati fisicamente
12,0%
rubati logicamente (insider)
33,0%
12,8%
hacked
persi
11,7%
trash
leaked
11 aprile 2008
16
La sfida di oggi: DLP
11 aprile 2008
17
Traccia dell’intervento
Descrizione della tematica e delle
problematiche
Approccio consigliato e tutela del patrimonio
informativo aziendale
Aspetti organizzativi e tecnologici
Analisi investigativa e ricostruzione degli
incidenti
Sintesi e conclusioni
11 aprile 2008
18
Perdita di confidenzialità
La perdita di confidenzialità si può configurare in
due modalità
1. Sottrazione di informazioni riservate da parte di entità esterne
attività spionistiche
attacchi informatici condotti da Internet
attacchi informatici condotti verso il perimetro aziendale
aziende terze/terzisti legate da contratti di partnership
2. Sottrazione di informazioni riservate da parte di personale interno
necessario comprendere chi potrebbe avere l’interesse e la possibilità di
compiere un simile illecito nonché le motivazioni
11 aprile 2008
19
Information Leakage
Le condizioni necessarie alla base dei fenomeni
di information leakage sono due:
Possibilità di accesso alle informazioni riservate
►
tematiche legate al controllo degli accessi
Esistenza di relazioni tra chi commette l’illecito e la realtà terza che
entrerà in possesso delle informazioni riservate
►
individui la cui attività professionale presuma o favorisca lo sviluppo di
attività relazionali
►
livello dirigenziale che, per motivi professionali, intrattiene intensi rapporti
relazionali con realtà esterne
11 aprile 2008
20
Concetto di rischio
Si definisce rischio (R) il prodotto scalare tra la gravità (G) delle
conseguenze che un evento pericoloso determinerebbe (impatto) e la
probabilità (P) che tale evento pericoloso (minaccia) si realizzi
Obiettivo:
Riduzione del
rischio
R =G⋅P
La migliore strategia di
riduzione del rischio dovrebbe
intervenire su entrambi i fronti
11 aprile 2008
Azione:
Riduzione della
probabilità che si
verifichi l’evento
Azione:
Riduzione dell’impatto
causato dal verificarsi
dell’evento
21
Approccio consigliato
Rattacchi −outsider = G ⋅ P
Aumentare
il rischio di
chi
commette
l’illecito
11 aprile 2008
R per −insider = G ⋅ P
Riduzione dell’impatto
Riduzione della probabilità
Aumento dell’impatto (pena)
Aumento della probabilità
(identificazione e ricostruzione)
22
Sottrazione dall’esterno
Si agisce sul fronte della probabilità legata all’evento (diminuzione di
Routsider )
Diminuire la probabilità che l’evento si verifichi
Assunzione: il furto di informazioni per mezzo di attacchi condotti da Internet è
possibile se e solo se le informazioni medesime sono raggiungibili da Internet
Le postazioni di lavoro impiegate da personale che ha accesso a informazioni
riservate sono sempre più spesso connesse a Internet
Infezione
diretta: attacchi mirati
indiretta: strumenti spionistici per i quali non sono disponibili contromisure
tecnologiche come gli antivirus o i software contro il malware)
Si suggerisce l’adozione di una policy di sicurezza che regolamenti e protegga
l’accesso a Internet da parte delle postazioni di lavoro a rischio
11 aprile 2008
23
Sottrazione dall’interno
Contromisure tecnologiche volte a
contenere la possibilità di accesso e trattamento delle informazioni
riservate
supportare le attività investigative e di ricostruzione degli incidenti,
ove si verifichino, garantendo dunque l’individuazione dei colpevoli
(aumento della probabilità di
R per −insider
)
Contromisure organizzative volte a regolare
l’uso delle tecnologie da parte delle utenze
il controllo operato dall’organizzazione
11 aprile 2008
24
Traccia dell’intervento
Descrizione della tematica e delle
problematiche
Approccio consigliato e tutela del patrimonio
informativo aziendale
Aspetti organizzativi e tecnologici
Analisi investigativa e ricostruzione degli
incidenti
Sintesi e conclusioni
11 aprile 2008
25
Il percorso da seguire
Dati
Analisi dei
macrodati
Analisi del
rischio
Outsiders
Analisi delle
minacce
Diminuzione
probabilità di
accadimento
Contromisure
Insiders
Analisi delle
minacce
Possibilità di
investigazione
e ricostruzione
incidenti
Inasprimento
pena e
sanzioni
Policy operative
Utilizzo
strumenti
aziendali
Definizione
regole di
accesso ed
utilizzo dei dati
Regolamentare
i rapporti con
partner e
terzisti
Policy
organizzative
Definizione e
divulgazione
controlli in
essere
Sensibilizzazio
ne e
formazione
Relazioni
sindacali
11 aprile 2008
Contromisure
26
Analisi delle minacce
11 aprile 2008
27
Governo del rischio
Identificazione
del rischio
Mitigazione del
rischio
11 aprile 2008
Valutazione del
rischio (risk
assessment)
28
Riduzione del rischio e contromisure
Nella definizione delle
raccomandazioni in
tema di meccanismi di
controllo è opportuno
considerare i seguenti
fattori:
1. Efficacia dei
meccanismi di
controllo proposti
2. Obblighi legislativi
e normativi
3. Politiche adottate
dall’organizzazione
4. Impatto operativo
5. Sicurezza e
affidabilità
11 aprile 2008
29
La attuale tecnologia DLP (1)
1.
2.
3.
Data analysis & inventory
Classificazione dei dati e politiche di accesso
Localizzazione e movimento dei dati
Data fingerprinting
Ciclo di vita del dato
Gestione del dato: creazione, modifica, cancellazione, rimozione
Strumenti utilizzati per l’accesso alle informazioni
Modalità di utilizzo e scambio del dato
Politiche di controllo e reaction
Definizione delle security policies
Monitoraggio real-time dell’utilizzo del dato
Tracciamento e ricostruzione
11 aprile 2008
30
La attuale tecnologia DLP (2)
DATA IN MOTION
CED
►
►
Network
►
►
Monitoraggio del traffico real-time
Protocolli utilizzati
DATA AT REST
Strumenti utilizzati
Controllo del ciclo di vita del dato
Controllo dell’accesso al dato
Crittografia
DATA IN USE
Definizione delle regole di comportamento sul dato
Controllo dell’end-point
11 aprile 2008
31
Le contromisure
tecnologiche per la DLP
Protezione e controllo accessi al dato
On-line
Off-line (backup, caselle mail POP, file system locale, device
esterni…)
Cartaceo (cestini, armadi, scrivanie…)
Monitoraggio del traffico
Monitoraggio delle attività
Centralizzazione e controllo degli eventi
Filtraggio ed analisi del contenuto
Sicurezza fisica
11 aprile 2008
32
Le contromisure
organizzative per la DLP (1)
Definizione delle politiche di:
accesso e manipolazione dei dati
comportamento ed utilizzo dei dati
Definizione delle procedure di:
monitoraggio delle attività
conservazione degli eventi
controllo degli eventi
Divulgazione ai fruitori delle:
norme di utilizzo dei dati
norme di utilizzo degli strumenti aziendali
esistenza e modalità di effettuazione dei controlli
11 aprile 2008
33
Le contromisure
organizzative per la DLP (2)
Definire opportune procedure di audit periodico
dinamicità degli strumenti
dinamicità delle politiche e dell’utenza
dinamicità dei meccanismi di controllo
modifica della classificazione dei dati
Impostare norme contrattuali, leve politiche e di etica per la
gestione dei partners e dei terzisti
Impostare un dialogo ed un approccio condiviso con la
rappresentanza sindacale
11 aprile 2008
34
Tallone d’Achille
1.
Difficile “garantire” la protezione dei dati
critici aziendali
a.
2.
Si agisce sull’aumento del rischio per chi
commette l’illecito
Attenzione alla steganografia o simili
1.
Si agisce sul monitoraggio delle attività e
sulla conservazione degli eventi
11 aprile 2008
35
Traccia dell’intervento
Descrizione della tematica e delle
problematiche
Approccio consigliato e tutela del patrimonio
informativo aziendale
Aspetti organizzativi e tecnologici
Analisi investigativa e ricostruzione degli
incidenti
Sintesi e conclusioni
11 aprile 2008
36
I controlli sono leciti?
Linee guida del Garante per posta elettronica e internet
Gazzetta Ufficiale n. 58 del 10 marzo 2007
Informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di
Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli
Vieta poi la lettura e la registrazione sistematica delle e-mail così come il
monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò
realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei
lavoratori
Raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito
coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente
indicate le regole per l'uso di Internet e della posta elettronica
Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il
rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori
Qualora le misure preventive non fossero sufficienti a evitare comportamenti anomali,
gli eventuali controlli da parte del datore di lavoro devono essere effettuati con
gradualità
11 aprile 2008
37
Sentenze
Il Corriere della Sera del 19 Dicembre 2007
Sentenza n.47096 della Cassazione Penale: non è reato consultare la
posta elettronica del dipendente previa informativa
I dirigenti dell'azienda accedono legittimamente ai computer in dotazione
ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro
data piena informazione
11 aprile 2008
38
Vietato spiare… ma
La Repubblica del 13 Marzo 2008
"Vietato spiare chi scarica musica“ - Altolà del Garante della privacy
Caso Peppermint: la società discografica ha svolto, attraverso una società
informatica svizzera, un sistematico monitoraggio delle reti peer to peer
I motivi addotti dal Garante:
La direttiva europea sulle comunicazioni elettroniche vieta […] trattamenti di
dati massivi, capillari e prolungati nei riguardi di un numero elevato di
soggetti
Violazione del principio di finalità: le reti p2p sono finalizzate allo scambio tra
utenti di dati e file per scopi personali. L'utilizzo dei dati dell'utente può
avvenire, dunque, soltanto per queste finalità e non per scopi ulteriori.
Non sono stati rispettati i principi di trasparenza e correttezza, perchè i dati
sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non
erano necessariamente coinvolti nello scambio di file.
11 aprile 2008
39
I passi fondamentali
Cosa si vuole
monitorare
Identificazione
delle sorgenti
Eventi
Server
Applicazioni
Dove sono
contenute le
informazioni
necessarie
Politiche di
audit
Attività
Devices
Change
11 aprile 2008
Client
Politiche di
trasporto e
rotazione
40
… e solo dopo
Architettura
Correlazione
Conservazione
Gestione
ricettori
politiche
On-line
real-time alerting
normalizzatori
regole
Off-line
reportistica
correlatori
analisi e Debugging
alarming e alerting
gestione incidenti
11 aprile 2008
41
… e prima di rendere operativo
1.
2.
3.
4.
Coinvolgimento della rappresentanza sindacale (controllare ed
accertare)
Definizione, divulgazione e sottoscrizione delle politiche di
controllo (controllare)
Definizione, divulgazione e sottoscrizione delle politiche di utilizzo
degli strumenti informatici (controllare)
Definizione, divulgazione e sottoscrizione delle politiche di
accertamento e tracciamento (accertare)
SE
COME
11 aprile 2008
42
Traccia dell’intervento
Descrizione della tematica e delle
problematiche
Approccio consigliato e tutela del patrimonio
informativo aziendale
Aspetti organizzativi e tecnologici
Analisi investigativa e ricostruzione degli
incidenti
Sintesi e conclusioni
11 aprile 2008
43
Il decalogo della DLP
Quali sono i dati riservati?
2.
Chi vi può accedere e con che strumenti?
3.
Chi potrebbe essere l’outsider?
4.
Chi potrebbe essere l’insider?
5.
Come proteggermi dagli outsiders?
6.
Come definire e regolamentare il rapporto con i partners/terzisti?
7.
Come monitorare gli insiders?
8.
Come definire e divulgare le mie politiche interne?
9.
Come sensibilizzare e formare i miei dipendenti?
10. Come condurre il tracciamento e le analisi investigative?
1.
11 aprile 2008
44
Sezione “domande e risposte”
Gianluca Vadruccio
[email protected]
11 aprile 2008
45