Stefano Buschi Partner I Deloitte Cyber Risk Services Leader Italia Convegno di Studi -La criminalità informatica e i rischi per le imprese - Scuola di Management ed Economia28 Novembre 2016, Torino

Gli scenari futuri per le imprese e i modelli di gestione dei rischi cyber

2

Alcune evidenze significative

Cyber Security

“…Colossale furto di dati personali online – le

informazioni di 80 milioni di persone, tra clienti e

dipendenti dell'assicurazione sanitaria Anthem. La

pista che porta a Pechino configura un atto di

spionaggio piuttosto che un furto di identità o

sabotaggio.”

6 febbraio 2015

“… E' un nuovo record nella storia della pirateria

informatica. La vittima è illustre: JP Morgan Chase, la

più grande banca americana. Ben 76 milioni di clienti

individuali, più 7 milioni di società, per un totale di 83

milioni. È questo il numero dei conti bancari che sono

stati violati…”

4 ottobre 2015

Fonte: http://www.informationisbeautiful.net (built on data from DataBreaches.net,

IdTheftCentre, press reports) – Feb 2015

2013

2014

2015

Time

2016

Le minacce Cyber diventano sempre più «evidenti» per ogni genere di soggetto/organizzazione: per il professionista che vede i propri dati criptati da un ransomware, per la PMI che scopre (non di rado a distanza di mesi) di essere stata derubata del proprio know-how, per la PA che si ritrova nell’impossibilità di offrire servizi essenziali ai cittadini, per la grande impresa che subisce un danno economico e di immagine rilevante a seguito di un furto di milioni di dati personali dei propri clienti o di R&D/Proprietà Intellettuale

N° of Data Breached

“… Allarme per le PMI italiane , che stanno subendo

una significativa emorragia di proprietà intellettuale,

spesso senza nemmeno accorgersene. Uno dei

problemi più gravi in questo momento è la durata del

tempo che trascorre tra l’attacco e la sua scoperta, che

ad oggi nel nostro paese in media è di 230 giorni…”

18 giugno 2014

“…Hacker derubano Benetton, nuova collezione

contraffatta in Siria Ponzano Veneto, hacker rubano la

nuova collezione di Benetton. L'azienda è stata vittima

di un attacco informatico volto ad impossessati dei

disegni degli abiti, che sono comparsi contraffatti in

Medio Oriente...”

18 Aprile 2014

“… 133,827 informazioni da conti dei clienti dal sistema

di gestione upgrade dei device mobili di 3, non sono

stati sottratti dati bancari, password, numeri di pin,

informazioni di pagamento o di informazioni di credito /

debito, ma lo scopo primario è stato l'attività criminale

di acquisire nuovi cellulari in maniera fraudolenta …”

18 Novembre 2016

“…a più un anno di distanza dal data breach di oltre

157.000 dati personali (inclusi più di 15000 dati

bancari!) Talk Talk registra risultati negativi (perdita

di 30.000 clienti di telefonia, 56000 cable tv, una multa

di oltre 400.000 £, valori delle share stanno

continuando a decrescere (circa 20%) nonostante la

crescita x3 dei profitti nei primi 6 mesi dell’anno …

15 Novembre 2016

Deloitte copyright, 2016

3

Caratteristiche principali

Cyber Crime e Cyber Espionage

Cybercrime

Cyber

Espionage

CYBERCRIME

~Worldwide cost of Cybercrime1

ca. 500 Billion $ Mercato del traffico di sostanze

stupefacenti

ca. 411 Billion $Valore riferito sia ai costi diretti che indiretti. I dati utilizzati tengono

conto del furto di informazioni aziendali riservate, dei costi

aggiuntivi per la protezione delle reti, dei costi di recupero da

attacchi informatici, includendo una stima dei danni reputazionali.

Redditività media

derivante dal

Cybercrime:

Bilancio costi benefici

inerente all’esecuzione di

cyberattackc.a. 20:1

60.000 $

Profitto medio

derivante da

uso di malware

3.000 $

Costo medio di

acquisto di un

malware

Ricorso ad una combinazione di

metodi e tecniche d’attacco, da

parte di criminali informatici, al

fine di provocare un danno

economico alle organizzazioni

obiettivo

Ricorso a strategie e strumenti

tecnologici al fine di perpetrare un

furto di proprietà intellettuale, in

grado di provocare una perdita di

vantaggio competitivo alle

organizzazioni obiettivo (e/o delle

Nazioni)

CARATTERISTICHE IDENTIFICATE DA ANALISI DEI

PRINCIPALI DATA BREACH (2015 data)

66%Incremento del tasso di crescita annuo

composto (CAGR) degli incidenti di sicurezza

rilevati negli ultimi anni (38% YOY)

209Numero medio di giorni di permanenza degli

attaccanti nella rete della vittima prima della

rilevazione (243 nel 2014)

100%Percentuale delle vittime che avevano un

software anti-virus frequentemente aggiornato

63% Percentuale delle violazioni segnalate da terzi

56% Crescita dei furti di Proprietà intellettuale

Il 90% del professionisti IT

ha espresso il timore di

dover fronteggiare una

violazione dei dati nel 2015

Solo il 15% si ritiene

preparato a

rispondere ad un

attacco

Dati tratti da:- 2014 Information Security Breaches Survey (UK Deparment for Business Innovation &

Skills)- 'Data Breach' Top Concern Of IT Security Pros For 2015 (EIQ Networks)- Boardroom Cyber Watch 2014: Report (IT Governance UK)- Mandiant:Threat Landscape 2014- 2015 Dell Security Annual Threat Report- *= Juniper Research 2015

Est. $2.1 trillion

globally by 2019*

Deloitte copyright, 2016

4

WEF Risk Report li evidenzia come fonti di rischio “steady state” nei prossimi 10 anni

La rilevanza dei Cyber Risk cresce tra i rischi “Globali”

WEF Global Risk Landscape 2016 “Increased System and Device

Connectivity (digitalized

operations): Companies IT

infrastructure continues to extend

beyond the walls of their data center.

With Bring Your Own Device,

business partnerships, mobile and

cloud proliferation, data is

increasingly exposed to higher risks.

Estimates shows globally a 27%

CAGR (from 10.3M – 43,5M) in the

2014-2020 of connected devices on

industrial automation processes

(+25% CAGR of “connected”

things, from 1.7 – 6.6 Billion

devices)”

«Cyber attacks for WEF will remain one of the

most significant Technological risk in their 10

years outlook evaluations» (ed. 2015)

Fonte: The Global Risks Report 2016 11th EditionDeloitte copyright, 2016

5

C’è la necessità urgente di aumentare le capability Detection & Response per contrastare un fenomeno “asimmetrico”

I Cyber Risk richiedono nuove capacità gestionali

La frequenza degli attacchi informatici è in costante aumento. Gli aggressori hanno un numero illimitato di tentativi di compromettere le difese,

ma ci vuole un solo punto debole (vulnerabilità tecnica) per «entrare».

Le organizzazioni devono accettare che non è possibile prevenire tutti gli attacchi informatici. Tuttavia, è sempre possibile limitare

significativamente i danni attraverso una rapida individuazione della compromissione, e la disponibilità delle competenze per poterla «trattare».

Seconds Minutes Hours Days Weeks Months Years

Initial attack

to initial

compromise

Initial

compromise to

data exfiltration

Initial

compromise to

discovery

Discovery to

containment

43% 29%

38% 25%

27%

32% 38%

24% 39%

4% 11% 7% 7%

8% 8%8%

9%

9%

4%1%

14%

17%

0%

0%0%0%

0%

0%

Source: Verizon 2014 and 2016 Data Breach investigations Report

Time to

compromise

Time to

Discovery

100%

75%

50%

25%

2015

Pe

rcent o

f breach

es w

here tim

e to

com

pro

mise (grey)/tim

e to

disco

very (blu

e) was d

ays or less

Deloitte copyright, 2016

6

Esemplificazione.

Cyber Security Evolved.

Deloitte copyright, 2016

7

L’adeguato mix di prevenzione, monitoraggio e capacità di risposta è il paradigma per una efficace gestione dei Cyber Risk

La gestione dei Cyber Risk richiede, quindi, un nuovo set di capacità

Un’efficace gestione dei Cyber Risk richiede un approccio più “attivo”, un maggiore

coinvogimento e commitment dalla leadership, una maggiore integrazione tra i modelli e gli

sforzi delle varie unità aziendali, una cooperazione pubblico-privato pragamtica e efficiente e

“preparazione” per la gestione di situazioni di crisi.

ProtectRafforzare i controlli

assegnandovi una

priorità basata sul

rischio, per proteggersi

contro le minacce e per

rispettare i regolamenti di

settore.

DetectRilevare le anomalie e le violazioni attraverso

una migliore consapevolezza della

stato di tutto il proprio ambiente tecnologico

ed informativo

RespondStabilire una capacità di

ripresa rapida verso condizioni operative a

pieno regime e riparare i danni provocati al proprio

business

Deloitte copyright, 2016

Il nome Deloitte si riferisce a una o più delle seguenti entità: Deloitte Touche Tohmatsu Limited, una società inglese a responsabilità limitata (“DTTL”), le member firm aderenti al suo network e le entità a esse correlate. DTTL e ciascuna delle sue member firm sono entità giuridicamente separate e indipendenti tra loro. DTTL (denominata anche “Deloitte Global”) non fornisce servizi ai clienti. Si invita a leggere l’informativa completa relativa alla descrizione della struttura legale di Deloitte Touche Tohmatsu Limited e delle sue member firm all’indirizzo www.deloitte.com/about.

© 2016 Deloitte Risk Advisory.

Deloitte copyright, 2016