L'impatto finanziario degli attacchi informatici continua a crescere in maniera esponenziale. La disparità tra il costo del lancio di un attacco (la sua realizzazione e messa in rete) e il costo aziendale per prevenirlo o riparare i danni creati è enorme. Un attacco DDoS può costare infatti solo 15 € al mese per essere eseguito, mentre le perdite subite per la vittima, incluso il danno d’immagine, sono considerevolmente più alti (Europol, World’s Biggest Marketplace selling internet paralysing DDoS attacks taken down).

L’Internet Organized Crime Threat Assessment (IOCTA) riporta come il crimine informatico continua a crescere ed evolversi.

Ovviamente le minacce non sono solo informatiche e non sono solo intenzionali.

Cosa sono le minacce?

La Minaccia è la causa potenziale di un incidente, che può comportare danni ad un sistema o all’organizzazione.

L’Incidente è un evento o serie di eventi, non voluti e/o inattesi, relativi alla sicurezza delle informazioni, che hanno una probabilità significativa di compromettere le attività e di minacciare la sicurezza delle informazioni.

La ISO/IEC 27001 è lo standard atto a proteggere e gestire il sistema informativo. Il titolo della norma ci sembra infatti sufficientemente esaustivo: “Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni”.

Si consiglia per rendere sistematica l’analisi delle minacce, partire da una check list di controllo.

Presentiamo a titolo d’esempio una Check List semplificata:

1. Intrusioni di malintenzionati (interni e/o esterni) fisiche
   • Infrazioni e violazioni alla sicurezza
2. Intrusioni di malintenzionati (interni e/o esterni) informatiche
   • Violazioni a tutti i sistemi informatici, tra cui: server, apparati di rete, applicazioni, pc, stampanti, dispositivi portatili come cellulari e tablet. Può anche riguardare impianti o dispositivi non associati al trattamento delle informazioni.
   • Sicurezza delle credenziali di accesso: password condivisa, non aggiornata, non complessa, annotata in prossimità dei dispositivi, password usate per più sistemi; software di brute force.
   • tecniche di hacking
3. Social engineering quali truffe o raggiri
   • Phishing; Spear phishing; Fingerprinting
4. Furti d’identità o credenziali
5. Danneggiamenti di apparecchiature fisiche e/o software
   • Tecniche di tampering quali manomettere delle apparecchiature, come smart card, lettori di tessere o i terminali, cavi di trasmissione per accedere ad informazioni riservate.
6. Danneggiamenti di software
   • Uso inappropriato o danneggiamento di software
   • Introduzione di vulnerabilità o inefficienze nel codice in fase di sviluppo del software
7. Furto di apparecchiature informatiche
   • I dispositivi portatili posso essere rubati anche senza l’intrusione nella sede
8. Lettura, furto, copia o alterazione di documenti in formato fisico
   • La presenza di documenti cartacei su scrivanie, in armadi non chiusi a chiave, soprattutto se in luoghi di facile accesso quali sale riunioni o corridoi
9. Lettura, furto, copia di documenti informatici
   • l’ipod slurping: un malintenzionato chiede ad una persona di collegare il proprio dispositivo portatile al suo computer, per esempio per poterlo caricare. Il dispositivo fa partire un programma di scarico dati.
10. Modifica di documenti informatici: Cancellazione o alterazione di documenti per errore
    • error-proof: la maggior parte dei dispositivi non prevede la doppia richiesta di cancellazione
11. Intercettazioni e/o interferenze di emissioni elettromagnetiche
12. Trattamento scorretto delle informazioni rispetto alla normativa
    • Violazioni in termini di GDPR
    • Direct marketing non richiesto (es: spamming)
13. Malware
    • Virus, worm, trojan horse e spyware
    • Backdoor
    • APT Advanced persistent threat
14. Copia e uso illegale di software
    • Installazione di software non autorizzati da parte dei membri dell’organizzazione
    • Configurazione o modifica alla configurazione da parte di personale non competente di software autorizzati
15. Uso non autorizzato di sistemi e servizi informatici esterni
    • Utilizzo servizi Internet, in particolare quelli di condivisione di file, i social network e il gioco on-line; le cui conseguenze possono essere la perdita di tempo e i rallentamenti della rete e dei sistemi.
    • Condivisione di contenuti video o multimediali non autorizzati, contenenti potenzialmente malware.
16. Uso non autorizzato di sistemi e servizi informatici offerti dall’organizzazione
    • Uso promiscuo professionale - personale di mezzi aziendali quali le e-mail
    • Wi-Fi per ospiti non separato dal sistema ad uso aziendale
17. Recupero di informazioni
    • Cancellazione sicura dei dati: la normale cancellazione non li rende irrecuperabili,
    • Memorie: possono essere oggetto di attacco tutte le memorie, inclusi hard disk, chiavi USB, fotocopiatrici e fax.
    • Thrashing: recupero dati riservati anche tra i rifiuti.
18. Esaurimento o riduzione delle risorse:
    • Denial of service: invio di un numero spropositato di richieste al server per sovraccaricarlo.
    • Vendor lock-in: l‘impossibilità di sostituire un fornitore. I software gestionali vengono definiti lock-in poichè i costi di migrazione ad alternative sono più costosi dei benefici prodotti.
    • Uso eccessivo e involontario delle risorse da parte degli utenti
    • Sciopero e/o malattia
19. Intercettazione delle comunicazioni.
    • Man in the middle: Se i sistemi interconnessi non utilizzano meccanismi affidabili per riconoscersi reciprocamente, un malintenzionato può intromettersi.
    • Session hijacking: se la disconnessione di un utente e/o sistema non avviene come previsto, un malintenzionato potrebbe utilizzarla a proprio piacimento.
    • File sharing: Alcuni fornitori di questi servizi potrebbero accedere ai dati dei clienti per le più disparate finalità, inclusa l’intercettazione.
20. Invio di dati a persone non autorizzate.
    • Errori d’invio e/o inoltro di documenti via e-mail
    • Erroneo invio di metadati
21. Invio e ricezione di dati non oscurati
22. Ripudio di invio di messaggi e documenti da parte del mittente

La ISO 27001 parla di agenti di minaccia:

1. persone malintenzionate
   • Persone interne
   • Persone esterne, inclusi:
     • gli utenti di servizi offerti al pubblico possono accedere ai locali o a parte dei sistemi informatici (es: ai siti web o ai social network);
     • clienti e fornitori, che possono accedere ai locali e ai servizi informatici condivisi (Wi-Fi);
     • i fornitori di servizi informatici, che possono avere accesso privilegiato ai sistemi informatici anche da remoto;

2. persone non malintenzionate
   • Persone non malintenzionate: persone interne o esterne che commettendo errori di vario genere creano danni o falle nel sistema.
3. gli strumenti tecnici
   • Gli strumenti tecnici possono avere dei comportamenti difettosi dovuti a errori di progettazione o obsolescenza.
4. la natura
   • La natura può essere una minaccia con molte facce: terremoti, maltempo, allagamenti, temperature estreme, smottamenti.