Il patrimonio informativo Data Loss Prevention Come tutelare l’azienda dalla fuga di notizie e dallo spionaggio industriale Gianluca Vadruccio [email protected] 11 aprile 2008 1 Cosa può causare? 11 aprile 2008 2 Proprio qualche giorno fa… Financial Times del 07 Aprile 2008 HSBC, the UK’s biggest bank, has apologised to customers after losing the personal details of 370,000 people (names, life insurance cover levels, dates of birth and whether or not a customer smokes) The bank said a computer disk had gone missing after it was couriered from one of its offices in Southampton en-route to another office The incident is the latest in a series of incidents where data has gone missing from banks and government departments. ► ► ► Last November, the government admitted it had lost two CDs containing details of 25m child benefit records. Another UK bank HBOS was forced to apologise to more than 60,000 mortgage customers last June after private information about them was lost in the post. Bank of Scotland, which is part of HBOS, had sent a computer disc containing names, addresses and dates of birth through the post to a credit reference agency. 11 aprile 2008 3 Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni 11 aprile 2008 4 Spionaggio militare/governativo Financial Times del 12 Marzo 2008 US military raises alarm on cyber attacks Kevin Chilton (general for cyber operations): “You worry about activities from an individual to an organisation like al-Qaeda to a nation state” The Pentagon has become especially sensitive to the growing threat from cyberspace since last June, when hackers successfully penetrated and stole data from the unclassified network serving Robert Gates, the US defence secretary Privately, US cyber experts admit that the US has long had the ability to attack – and steal – information from foreign government computer networks. Their concerns are that China and Russia are developing the same capabilities 11 aprile 2008 5 Malware in aumento Rapporto di G Data del 7 Febbraio 2008 Il furto di dati e reti “Bot” ha occupato i titoli dei giornali nel 2007 Malware aumentato del 338,6% Principale interesse: furto dati e spionaggio Esempio citato: violente manifestazioni aventi protagonisti russi ed estoni sfociarono, attraverso le reti “Bot”, in attacchi di tipo Distributed Denial of Service su numerosi siti web di ministeri, funzionari governativi, banche, giornali e imprese 11 aprile 2008 6 Spionaggio alle corporates Financial Times del 01 Dicembre 2007 US military raises alarm on cyber attacks The director-general of MI5 (Jonathan Evans) has warned banks and financial services companies that commercially sensitive information is at risk of being compromised by Chinese computer hacking The decision to send a letter to private companies appears to be an attempt to emphasise that it is not only government computers at risk from Chinese hackers, but those from the private sector too They do not only use traditional methods to collect intelligence but increasingly deploy sophisticated technical attacks, using the internet to penetrate computer networks 11 aprile 2008 7 Sottrazione di informazioni La Repubblica del 01 Dicembre 2007 Il sistema economico britannico a forte rischio di cyber spionaggio A rivelarlo sono i servizi segreti di Sua Maestà, secondo cui gli hacker cinesi su mandato di "organizzazioni statali" di Pechino si infiltrano nella rete per sottrarre informazioni dai database di grande banche, importanti società o studi legali "Le aziende britanniche - prosegue la nota - che operano in Cina sono guardate a vista dall'esercito cinese che usa Internet per appropriarsi di informazioni commerciali confidenziali“ Dopo gli Usa e la Francia anche la Gran Bretagna entra quindi nel mirino degli hacker cinesi 11 aprile 2008 8 Furti di know-how Il Sole24Ore del 28 Ottobre 2007 Spiate 4 aziende su 10 Società vittime di frodi industriali e l’Italia detiene il primato per il numero di reati in materia di proprietà intellettuale… furti di intellectual properties all’ordine del giorno… Una tra le cause principali di rischio è la mancanza di fedeltà all’azienda con cui si hanno rapporti di lavoro. 80% del settore finanziario è vittima di violazioni delle regole di governance, di frodi finanziarie interne, di attacchi informatici. Il 23% di queste violazioni sono attentati alla proprietà intellettuale 11 aprile 2008 9 Il fattore umano Il Sole24Ore del 28 Ottobre 2007 Il fattore umano è la prima causa di violazione dei sistemi In certi casi e per certe situazioni la tecnologia non può fare nulla Dischi esterni, pendrive e palmari aumentano il rischio dell’azienda, diminuiscono la difficoltà di compimento del reato, diminuiscono le possibilità di rilevamento Il 47% delle aziende manifatturiere italiane hanno subito furti di proprietà intellettuale Un illecito è spesso commesso da parte di qualcuno che ha la ragionevole certezza di farla franca, ergo, una della cause per le attività di spionaggio è la totale assenza di procedure e meccanismi di auditing che consentano, a fronte d un incidente, di poterlo ricostruire individuandone il responsabile 11 aprile 2008 10 Computer Crime Trend Fonte: Computer Security Institute – Security Survey 2007 Perdite medie riportate rispetto al 2006: +108% Il 18% del totale è dovuto a malware Le frodi finanziarie sorpassano gli attacchi virus in termini di perdite finanziarie. Se si unisse in una sola categoria tutte le perdite di dati (customer e proprietary), quest’ultima sarebbe al secondo posto. Le azioni di penetration da outsiders sono al quarto posto. L’abuso interno della rete e della posta ha superato la problematica dei virus in termini di “types of attacks or misuse” La percentuale delle organizzazioni che hanno denunciato intrusioni agli enti preposti è passata dal 25% al 29% Budget IT speso per Awareness Training: <1% per il 48% delle organizzazioni Tecniche utilizzate per valutare l’efficacia delle tecnologie di sicurezza implementate: 63% mediante security audits compiute da staff interno 11 aprile 2008 11 Alcuni casi (1) TJX Companies (denunciato il 17 Gennaio 2007) Visa (denunciato il 19 Giugno 2005) Milioni di carte di credito rubate da hackers (outsiders) mediante la compromissione del sistema di gestione delle carte CardSystem. Corriere della Sera del 23 Ottobre 2007 Più di 45 milioni di records (carte di credito) rubati da hackers (outsiders) sfruttando una debolezza del sistema wireless. La casa automobilistica Great Wall Motor replica alle accuse di Torino: non abbiamo copiato la Panda. La Repubblica del 26 Aprile 2006 In Cina copiano anche le Ferrari. Sequestrata una rara 330 P4. E questo si aggiunge alla nota vicenda che ha visto coinvolta la McLaren (insiders) 11 aprile 2008 12 Alcuni casi (2) La Gazzetta dello Sport dell’08 Novembre 2007 Il Corriere della Sera del 9 Settembre 2007 La polizia postale indaghi sulla fuga di notizie (insiders) avvenuta ieri durante la seconda prova degli esami di maturità: lo chiede il Codacons. La Repubblica del 15 Ottobre 2007 Fuga di notizie (insiders) sui test, pubblico ministero all’università (plichi a Catanzaro, voti sospetti al sud) La Repubblica del 22 Giugno 2007 La Renault è stata accusata di essere entrata in possesso, senza autorizzazione, di progetti e informazioni confidenziali appartenenti alla McLaren-Mercedes“ (insiders) Fuga di notizie riservate verso boss di Cosa Nostra (insiders) La repubblica del 26 Settembre 2007 Caos arbitri dopo la fuga di notizie (insiders): il designatore Collina cambia la terna arbitrale 11 aprile 2008 13 Tipologie di utenti e comportamenti (fonte Forrester) Utente “zero-knowledge” Utente “gadget-maniac” Utilizzatore della tecnologia e dei supporti esterni Tester di software e soluzioni Chat, blog, p2p, voip Utente “giocherellone” Peccano di ingenuità Non conoscono le policy e le normative Non utilizza gli strumenti aziendali come dovrebbe Scarica musica, film e giochi Utente “spia-calimero” L’ 80-90% della perdita di informazioni è accidentale e non intenzionale (Gartner) Fuga di notizie fraudolenta Accesso fisico-logico ad aree a lui non consentite 11 aprile 2008 14 Sintesi e statistiche (1) Dati "divulgati" nel 2008 (fonte Attrition.org Data Loss Archive and Database) 12% personali 14% medicali 14% 60% sensibili riservati 11 aprile 2008 15 Sintesi e statistiche (2) Fuga di notizie (principali cause) (fonte Attrition.org Data Loss Archive and Database) 8,5% 7,7% 14,4% condivisi via internet rubati fisicamente 12,0% rubati logicamente (insider) 33,0% 12,8% hacked persi 11,7% trash leaked 11 aprile 2008 16 La sfida di oggi: DLP 11 aprile 2008 17 Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni 11 aprile 2008 18 Perdita di confidenzialità La perdita di confidenzialità si può configurare in due modalità 1. Sottrazione di informazioni riservate da parte di entità esterne attività spionistiche attacchi informatici condotti da Internet attacchi informatici condotti verso il perimetro aziendale aziende terze/terzisti legate da contratti di partnership 2. Sottrazione di informazioni riservate da parte di personale interno necessario comprendere chi potrebbe avere l’interesse e la possibilità di compiere un simile illecito nonché le motivazioni 11 aprile 2008 19 Information Leakage Le condizioni necessarie alla base dei fenomeni di information leakage sono due: Possibilità di accesso alle informazioni riservate ► tematiche legate al controllo degli accessi Esistenza di relazioni tra chi commette l’illecito e la realtà terza che entrerà in possesso delle informazioni riservate ► individui la cui attività professionale presuma o favorisca lo sviluppo di attività relazionali ► livello dirigenziale che, per motivi professionali, intrattiene intensi rapporti relazionali con realtà esterne 11 aprile 2008 20 Concetto di rischio Si definisce rischio (R) il prodotto scalare tra la gravità (G) delle conseguenze che un evento pericoloso determinerebbe (impatto) e la probabilità (P) che tale evento pericoloso (minaccia) si realizzi Obiettivo: Riduzione del rischio R =G⋅P La migliore strategia di riduzione del rischio dovrebbe intervenire su entrambi i fronti 11 aprile 2008 Azione: Riduzione della probabilità che si verifichi l’evento Azione: Riduzione dell’impatto causato dal verificarsi dell’evento 21 Approccio consigliato Rattacchi −outsider = G ⋅ P Aumentare il rischio di chi commette l’illecito 11 aprile 2008 R per −insider = G ⋅ P Riduzione dell’impatto Riduzione della probabilità Aumento dell’impatto (pena) Aumento della probabilità (identificazione e ricostruzione) 22 Sottrazione dall’esterno Si agisce sul fronte della probabilità legata all’evento (diminuzione di Routsider ) Diminuire la probabilità che l’evento si verifichi Assunzione: il furto di informazioni per mezzo di attacchi condotti da Internet è possibile se e solo se le informazioni medesime sono raggiungibili da Internet Le postazioni di lavoro impiegate da personale che ha accesso a informazioni riservate sono sempre più spesso connesse a Internet Infezione diretta: attacchi mirati indiretta: strumenti spionistici per i quali non sono disponibili contromisure tecnologiche come gli antivirus o i software contro il malware) Si suggerisce l’adozione di una policy di sicurezza che regolamenti e protegga l’accesso a Internet da parte delle postazioni di lavoro a rischio 11 aprile 2008 23 Sottrazione dall’interno Contromisure tecnologiche volte a contenere la possibilità di accesso e trattamento delle informazioni riservate supportare le attività investigative e di ricostruzione degli incidenti, ove si verifichino, garantendo dunque l’individuazione dei colpevoli (aumento della probabilità di R per −insider ) Contromisure organizzative volte a regolare l’uso delle tecnologie da parte delle utenze il controllo operato dall’organizzazione 11 aprile 2008 24 Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni 11 aprile 2008 25 Il percorso da seguire Dati Analisi dei macrodati Analisi del rischio Outsiders Analisi delle minacce Diminuzione probabilità di accadimento Contromisure Insiders Analisi delle minacce Possibilità di investigazione e ricostruzione incidenti Inasprimento pena e sanzioni Policy operative Utilizzo strumenti aziendali Definizione regole di accesso ed utilizzo dei dati Regolamentare i rapporti con partner e terzisti Policy organizzative Definizione e divulgazione controlli in essere Sensibilizzazio ne e formazione Relazioni sindacali 11 aprile 2008 Contromisure 26 Analisi delle minacce 11 aprile 2008 27 Governo del rischio Identificazione del rischio Mitigazione del rischio 11 aprile 2008 Valutazione del rischio (risk assessment) 28 Riduzione del rischio e contromisure Nella definizione delle raccomandazioni in tema di meccanismi di controllo è opportuno considerare i seguenti fattori: 1. Efficacia dei meccanismi di controllo proposti 2. Obblighi legislativi e normativi 3. Politiche adottate dall’organizzazione 4. Impatto operativo 5. Sicurezza e affidabilità 11 aprile 2008 29 La attuale tecnologia DLP (1) 1. 2. 3. Data analysis & inventory Classificazione dei dati e politiche di accesso Localizzazione e movimento dei dati Data fingerprinting Ciclo di vita del dato Gestione del dato: creazione, modifica, cancellazione, rimozione Strumenti utilizzati per l’accesso alle informazioni Modalità di utilizzo e scambio del dato Politiche di controllo e reaction Definizione delle security policies Monitoraggio real-time dell’utilizzo del dato Tracciamento e ricostruzione 11 aprile 2008 30 La attuale tecnologia DLP (2) DATA IN MOTION CED ► ► Network ► ► Monitoraggio del traffico real-time Protocolli utilizzati DATA AT REST Strumenti utilizzati Controllo del ciclo di vita del dato Controllo dell’accesso al dato Crittografia DATA IN USE Definizione delle regole di comportamento sul dato Controllo dell’end-point 11 aprile 2008 31 Le contromisure tecnologiche per la DLP Protezione e controllo accessi al dato On-line Off-line (backup, caselle mail POP, file system locale, device esterni…) Cartaceo (cestini, armadi, scrivanie…) Monitoraggio del traffico Monitoraggio delle attività Centralizzazione e controllo degli eventi Filtraggio ed analisi del contenuto Sicurezza fisica 11 aprile 2008 32 Le contromisure organizzative per la DLP (1) Definizione delle politiche di: accesso e manipolazione dei dati comportamento ed utilizzo dei dati Definizione delle procedure di: monitoraggio delle attività conservazione degli eventi controllo degli eventi Divulgazione ai fruitori delle: norme di utilizzo dei dati norme di utilizzo degli strumenti aziendali esistenza e modalità di effettuazione dei controlli 11 aprile 2008 33 Le contromisure organizzative per la DLP (2) Definire opportune procedure di audit periodico dinamicità degli strumenti dinamicità delle politiche e dell’utenza dinamicità dei meccanismi di controllo modifica della classificazione dei dati Impostare norme contrattuali, leve politiche e di etica per la gestione dei partners e dei terzisti Impostare un dialogo ed un approccio condiviso con la rappresentanza sindacale 11 aprile 2008 34 Tallone d’Achille 1. Difficile “garantire” la protezione dei dati critici aziendali a. 2. Si agisce sull’aumento del rischio per chi commette l’illecito Attenzione alla steganografia o simili 1. Si agisce sul monitoraggio delle attività e sulla conservazione degli eventi 11 aprile 2008 35 Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni 11 aprile 2008 36 I controlli sono leciti? Linee guida del Garante per posta elettronica e internet Gazzetta Ufficiale n. 58 del 10 marzo 2007 Informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli Vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori Raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori Qualora le misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità 11 aprile 2008 37 Sentenze Il Corriere della Sera del 19 Dicembre 2007 Sentenza n.47096 della Cassazione Penale: non è reato consultare la posta elettronica del dipendente previa informativa I dirigenti dell'azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione 11 aprile 2008 38 Vietato spiare… ma La Repubblica del 13 Marzo 2008 "Vietato spiare chi scarica musica“ - Altolà del Garante della privacy Caso Peppermint: la società discografica ha svolto, attraverso una società informatica svizzera, un sistematico monitoraggio delle reti peer to peer I motivi addotti dal Garante: La direttiva europea sulle comunicazioni elettroniche vieta […] trattamenti di dati massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti Violazione del principio di finalità: le reti p2p sono finalizzate allo scambio tra utenti di dati e file per scopi personali. L'utilizzo dei dati dell'utente può avvenire, dunque, soltanto per queste finalità e non per scopi ulteriori. Non sono stati rispettati i principi di trasparenza e correttezza, perchè i dati sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non erano necessariamente coinvolti nello scambio di file. 11 aprile 2008 39 I passi fondamentali Cosa si vuole monitorare Identificazione delle sorgenti Eventi Server Applicazioni Dove sono contenute le informazioni necessarie Politiche di audit Attività Devices Change 11 aprile 2008 Client Politiche di trasporto e rotazione 40 … e solo dopo Architettura Correlazione Conservazione Gestione ricettori politiche On-line real-time alerting normalizzatori regole Off-line reportistica correlatori analisi e Debugging alarming e alerting gestione incidenti 11 aprile 2008 41 … e prima di rendere operativo 1. 2. 3. 4. Coinvolgimento della rappresentanza sindacale (controllare ed accertare) Definizione, divulgazione e sottoscrizione delle politiche di controllo (controllare) Definizione, divulgazione e sottoscrizione delle politiche di utilizzo degli strumenti informatici (controllare) Definizione, divulgazione e sottoscrizione delle politiche di accertamento e tracciamento (accertare) SE COME 11 aprile 2008 42 Traccia dell’intervento Descrizione della tematica e delle problematiche Approccio consigliato e tutela del patrimonio informativo aziendale Aspetti organizzativi e tecnologici Analisi investigativa e ricostruzione degli incidenti Sintesi e conclusioni 11 aprile 2008 43 Il decalogo della DLP Quali sono i dati riservati? 2. Chi vi può accedere e con che strumenti? 3. Chi potrebbe essere l’outsider? 4. Chi potrebbe essere l’insider? 5. Come proteggermi dagli outsiders? 6. Come definire e regolamentare il rapporto con i partners/terzisti? 7. Come monitorare gli insiders? 8. Come definire e divulgare le mie politiche interne? 9. Come sensibilizzare e formare i miei dipendenti? 10. Come condurre il tracciamento e le analisi investigative? 1. 11 aprile 2008 44 Sezione “domande e risposte” Gianluca Vadruccio [email protected] 11 aprile 2008 45