aiea le frodi informatiche: vi sentite sicuri?* roma 14 ... · tipologia delle frodi slide 7 le...

PwC

PricewaterhouseCoopers

AIEALe frodi informatiche:vi sentite sicuri?*Roma 14 aprile 2010

PwC*connectedthinking


Regione/Paese Num. Regione/paese Num. Regione/paese Num.

Asia e Area del Pacifico 652 Europa Occidentale 1,243 Europa Centrale & Orientale 589Australia 75 Austria 34 Bulgaria 59

Corea del Sud 1 Belgio 62 Polonia 63

Filippine 1 Cipro 1 Repubblica Ceca 83

Giappone 73 Danimarca 105 Romania 55

Hong Kong (e Cina) 67 Finlandia 52 Russia 86

India 145 Francia 52 Serbia 4

Indonesia 50 Germania 17 Slovacchia 69

Malaysia 65 Greecia 96 Turchia 52

Nuova Zelanda 85 Irlanda 91 Ucraina 65

Paesi Mediorientali 14 Italia 90 Ungheria 53

Singapore 51 Norvegia 75

Thailandia 25 Paesi Bassi 76 Africa 145Portogallo 1 Ghana 27

Sud & Centro America 275 Spagna 55 Kenya 53

Argentina 39 Svezia 78 Namibia 1

Brasile 62 Svizzera 129 Sud Africa 63

Cile 76 UK 229 Sierra Leone 1

Ecuador ** 1

Messico 94 Nord America 123 Nessun paese specificato 10

Perù ** 1 Canada 52

Repubblica Dominicana 1 USA 71 Totale 3.037Venezuela ** 1

La più importante survey mondiale sulla criminalità economica.Più di 3.000 rappresentanti di organizzazioni/aziende di 54 paesi

Global: trend e statistiche

Slide 224 marzo 2010Le frodi informatiche


Dimensione e tipologia delle organizzazioni/aziende partecipantialla survey


Tipo delle organizzazionipartecipanti

%

Quotata 43%

Settore privato 42%

Settore pubblico 10%

Altre 5%

Dimensione delle organizzazionipartecipanti

%

Fino a 200 dipendenti 32%

Da 201 a 1000 dipendenti 33%

Più di 1.000 dipendenti 34%

Non sa 1%

Qualifica professionale dei partecipanti %

Top management 60%

Amm. Delegato/Presidente/Direttore Generale 12%

Direttore Amm. Finanza/Resp. Tesoreria/Controller 30%

Altri amministratori 7%

Consigliere d’Amministrazione 3%

Senior Vice President/Vice Presidente o equivalente 8%

Altre qualifiche professionali 40%

Responsabile Business Unit/Divisione 18%

Manager 15%

Altro 7%



Paesi che hanno segnalato il minor numerodi frodi

ItaliaItalia

Romania

Paesi Bassi

Turchia

Hong Kong

Giappone

Le differenze a livello geografico nella diffusione del fenomenoIl 30% degli intervistati dichiara di aver subito almeno un caso difrode negli scorsi 12 mesi

Paesi che hanno segnalato il maggiornumero di frodi

Russia

Sud Africa

Kenya

Canada

Messico

Regno Unito

71%

62%

57%

56%

51%

15%

15%

13%

10%

16%

43%

19%




La diffusione del fenomeno: l’Italia nel mondoIl 19% delle aziende/organizzazioni italiane ha subito almeno uncaso di frode negli ultimi 12 mesi

Il caso italiano



Le aziende che svolgono frequenti fraud risk assessment individuano piùfrequentemente casi di frode

Correlazione tra frodi subite e frequenza dei fraud riskassessment

Il caso italiano



Il caso italiano

Tipologia delle frodi



Misure di prevenzione adottate dalle aziende/organizzazioni

Il 65% del campione ha rafforzato le proprie misure di prevenzione dei rischidi frode.

Possibilità di risposte multiple

Il caso italiano



Nel 58% dei casi l’autore della frode è esterno alla compagine aziendalecontro 41% rappresentato dal personale interno.

Autori esterni: clienti o fornitori (30%) oppure intermediari (20%).

Autori interni: sono aumentate le frodi compiute dallo staff (57%) e dal middlemanagement (29%).

Il profilo degli autori di frode

Con la crisi aumentano le pressioni

Aumentano le motivazioni a commettere frodi

Le categorie intermedie sono le più colpite dal fenomeno.

Il caso italiano



Aumentano i licenziamenti: dal 31% del 2007 al 65% del 2009.

Il 35% delle aziende ricorre ad azioni giudiziarie, civili e/o penali.

La risposta delle aziende alle frodi: le frodi interne


Il caso italiano



…e le frodi esterne

In caso di frodi esterne aumenta la visibilità delle azioni di risposta adottatedalle aziende.

Il 59% ricorre ad azioni giudiziarie, contro il 35% delle aziende vittime di frodiinterne.


Il caso italiano



Il caso italiano


Come sono state scoperte le frodi?


Secondo il GISS 2010*, nel 17% dei casi, a livello mondiale, gliincidenti di sicurezza hanno provocato frodi informatiche (il 14%in Italia)


42%

30%29%

20%

17%

12% 12%

7%

22%

25%

17%

23%

14%13% 12%

5%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Financiallosses

Brand /reputation

compromised

Intellectualproperty theft

Companyhome page

altered /defaced

Fraud Legalexposure /

lawsuit

Loss ofshareholder

value

Extortion

Global

Italia

Fraud

* Il rapporto “2010 Global State of Information Security Survey ” è uno studio mondiale condotto sulla base diuna survey online dai magazine CIO e CSO in collaborazione con PricewaterhouseCoopers



Cosa si intende per frode informatica?

Con frode informatica si identificaciascuna sottrazione o appropriazioneindebita compiuta manomettendo oalterando programmi software, file didati, operazioni, equipaggiamenti ostrumenti multimediali e che generaperdite per l’organizzazione cui isistemi informatici sono statimanipolati.

[Fonte: Enciclopedia delle frodi]

24 marzo 2010Slide 14

Le frodi informatiche

I reati informatici: definizioni ed esempi


Negli ultimi anni assistiamo ad un numero sempre maggiore difrodi informatiche con impatti notevoli sulle organizzazioni

• La figura dell’attaccante è cambiata negli ultimi anni.

• Ci sono attaccanti interni ed esterni (p.e. Malware writer, Miner, Exploiter,Prober/Sleeper)

• I target degli attacchi sono individuati secondo logiche precise.

• La complessità tecnologica favorisce la nascita di sempre nuove tipologie diattacco.

• Nelle prossime slide vedremo qualche esempio di frode informatica.


Qualche esempio di frode informatica


QUANDO L’UTENZA È PREZIOSA

Il 19 Ottobre 2007 è stata scoperta una truffa checoinvolgeva una nota compagnia di poker online.

Uno degli ex top manager dell’azienda, sfruttandola propria conoscenza dei sistemi informatici esoprattutto un’utenza “privilegiata” maidisabilitata dopo le dimissioni, poteva connettersialle partite online e suggerire ad alcuni giocatori,complici nella truffa, le carte degli avversari.

OTTOBRE 2007

THE

Danno della truffa: Ingente danno d’immagine ed economico.



Attenti alle mail sospette: il phishingNell’aprile del 2007 un grande gruppo bancarioolandese ha registrato un attacco di phishing che si èconcretizzato nell’invio di mail fittizie con un fintologo della banca ai clienti per raccogliereinformazioni utili ad introdursi nel sistemainformatico della banca.

Sebbene il gruppo bancario in oggetto avesse uno dei sistemi di sicurezzaconsiderato tra i più sicuri del settore, l’attaccante è riuscito a sfruttare una dellevulnerabilità (la non consapevolezza degli utenti) per violare il sistema.Danno della truffa: Danno di immagine

APRILE 2007 - Since 1802



QUANDO SI LASCIA LA PORTA APERTA

Il 28 Settembre 2007 negli USA è statascoperta una truffa che ha colpito circa15 aziende nel settore delle TLC.

Gli attaccanti hanno realizzato l’attaccodopo essere entrati in possesso(mediante l’acquisto su internet alprezzo di 600$!) dei dati delle reti delleimprese che avevano scelto comebersaglio.

SETTEMBRE 2007

THE

Le reti sono state violate sfruttando levulnerabilità delle stesse, sono stateregistrate tutte le conversazionitelefoniche e sono state rivendute.

Danno della truffa: Economico (1milione di Dollari) con la conseguentechiusura di alcune delle aziendecolpite.



CLAMOROSO CASO DI ATTACCO INTRUSIVO

Dal 2007 al 2008, il Pentagono haregistrato numerosi intrusioni attraversole quali sono state scaricate e decifrateinformazioni altamente riservate suldesign e sui sistemi elettronici dell‘”F-35Lightning II”, un cacciabombardiere diultima generazione.

THE DAILY NEWSDICEMBRE 2008 - Since 1879

Danno della truffa: danno di immagine e perdita di informazioniriservate sul progetto costato 300 miliardi di Dollari.



C’È ANCHE CHI PRENDE IN OSTAGGIO I DATI

Nel maggio 2009, un ignoto cracker è riuscito apenetrare nel network di un’agenzia sanitariastatunitense rubando record per un totale di 8milioni di dati e 35 milioni di prescrizionimediche, cancellando gli originali e infinechiedendo il pagamento di una somma di denaronon indifferente pena la vendita dei dati sul mercatonero. L’azienda sanitaria non aveva adottatosoluzioni di backup.

THE DAILY NEWSMAGGIO 2009 - Since 1879

Danno potenziale della truffa: Economico (10 milioni di Euro) e diimmagine.



Non solo intercettazioni telefonicheAlcuni cracker, attraverso lal’utilizzo di programmi diintercettazione di trafficotelematico, sono riusciti adentrare in possesso dei datirelativi a più di un centinaio dicarte di debito di un noto circuitobancario internazionale.

NOVEMBRE 2008 - Since 1802

L’8 Novembre 2008, in meno di 30minuti, da oltre 130 sportelli ATM di49 città nel mondo, hanno utilizzatotali informazioni per prelevareingenti somme di denaro.Danno della truffa: Danno diimmagine ed economico (9 milionidi Dollari).



IL FERMO DEL SERVIZIO NON È UNO SCHERZO

Nel 2000 un noto negozio di libri online ha subitoun attacco DoS messo in atto mandando unnumero elevatissimo di false richieste da piùmacchine al medesimo server e consumando lerisorse di sistema e di rete del provider.

THE DAILY NEWSMAGGIO 2009 - Since 1879

Il fornitore del servizio è letteralmente “affogato” sotto le richieste e ilserver non è stato più in grado di inoltrare le richieste inviate via Web,subendo un blocco totale nell’erogazione del servizio.

Danno della truffa: nel giro di qualche ora i titoli della compagnia,quotata sul mercato Nasdaq, hanno subito una flessione del 30%

Quando un virus diventa letaleTra il 2006 e il 2008, alcuni dipendenti della dittadelle pulizie sono riusciti a introdursi, attraversol’uso di un programma creato ad hoc, nel contactcenter di una delle società italiane ditelecomunicazioni più grandi e ad estrarre dai pcle password dei computer.

MAGGIO 2009 - Since 1802

Successivamente, utilizzando tali codici di accesso, sono statepredisposte ricariche per cellulari che venivano nuovamentemonetizzate attraverso chiamate a numeri ad alta tariffazione.

Danno della truffa: Economico (50 milioni di Euro).

LE GANG DI CRIMINALI VIAGGIANO SU INTERNET

Nell’aprile del 2009 è stata incastrata una vera e propriacyber-gang composta da 6 persone, ognuna con ilproprio ruolo all’interno dell’organizzazione criminale,dopo aver scoperto la truffa ai danni di un istitutobancario ucraino.

THE DAILY NEWSAprile 2009 - Since 1879

Danno della truffa: più di 70 domini governativi colpiti e 300.000 Euro sottrattiin soli 22 giorni a vittime ignare.



Attraverso la distribuzione di trojan su siti web istituzionali, hanno bypassato isistemi anti-frode, cancellato le tracce del furto forzando il sistema di onlinebanking e riciclato il denaro impiegando veri e propri corrieri di denaro sporco.Il tutto in maniera veloce ed efficace mantenendosi a debita distanza.


La legislazione principale in tema di crimini informatici

Legge 547/1993: “Violenza Informatica” Nuovi reati di “Accesso Abusivo”, “Danneggiamento di sistemi informatici”,

“Frode Informatica” e “Falso in documenti informatici”

Legge 48/2008: Modifiche al Codice di Procedura Penale Modifiche al D.Lgs 231/2001

D.Lgs 231/2001: La ratio I presupposti applicativi Le sanzioni applicabili Le condizioni per l’esimente I reati presupposto Un cambio di paradigma per la Sicurezza informatica

Il D.Lgs 231/2001: cenni storici



Reato Informatico: condotta illecita, prevista dal Codice Penale,realizzata per mezzo di apparecchiature informatiche otelematiche, ovvero condotta volta a danneggiareapparecchiature informatiche e telematiche

Hacking

Alterazione documenti

Phishing

……….

Denial Of Service

Virus

Spamming

………..


I reati informatici: definizioni ed esempi


I Reati Informatici previsti dal nuovo Art. 24 Bis nel D.Lgs231/2001

Art. 615 ter : Accesso abusivo ad un sistema informatico o telematico

Art. 615 quater: Detenzione e diffusione abusiva di codici di accesso a sistemi informatici otelematici

Art. 615 quinquies: Diffusione di informatico apparecchiature, dispositivi o programmiinformatici diretti a danneggiare o interrompere un sistema informatico o telematico

Art. 617 quater: Intercettazione, impedimento o interruzione illecita di comunicazioni iinformatiche o telematiche

Art. 617 quinquies: Installazione di apparecchiature atte ad intercettare, impedire ointerrompere comunicazioni informatiche o telematiche

Art. 635 bis: Danneggiamento di informazioni, dati e programmi informatici

Art. 635 ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dalloStato o da altro ente pubblico o comunque di pubblica utilità

Art. 635 quater: Danneggiamento di sistemi informatici o telematici

Art. 635 quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità

Art. 640 quinquies: Frode informatica del soggetto che presta servizi di certificazione di firmaelettronica

Art. 491 bis: Falsità in documenti informatici


Il D.Lgs 231/2001: l’elenco dei reati informatici


Un esempio

REATO PRESUPPOSTOArt. 615 ter c.p. “Accesso abusivo ad un sistema informatico o telematico”

DESCRIZIONE DEL REATOChiunque abusivamente si introduce in un sistema informatico o telematico protetto damisure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha ildiritto di escluderlo, è punito con la reclusione fino a tre anni.

SANZIONE PECUNIARIADa cento a cinquecento quote, pari ad un minimo di circa € 26.000 e ad un massimo dicirca € 775.000.

SANZIONI INTERDITTIVEInterdizione dall'esercizio dell'attività, sospensione o revoca delle autorizzazioni,licenze o concessioni funzionali alla commissione dell'illecito, divieto di pubblicizzarebeni o servizi.


Il D.Lgs 231/2001: esempi

Slide 2824 marzo 2010


Un esempio

Modalità di esecuzione del reato:

Attraverso tecniche di hacking o intercettazione ditelecomunicazioni un soggetto accede agli archivi delcompetitor dove hanno sede i documenti di progetto e licopia su proprie apparecchiature

Personale della società accede ai dati registrati neisistemi gestionali e/o contabili utilizzando una modalitàdi accesso non controllata e ne manipola il contenuto.La modalità di accesso non controllata potrebbe essererealizzata ad esempio tramite:

o userID scaduta non cancellata

o userID generiche

o userID e pwd scoperte in vario modo

o accesso fisico a PC altrui incustodito

o uso di apparecchiature dimesse ma non distrutte

o accesso alla consolle di amministrazione del sistema


Il D.Lgs 231/2001: esempi

Possibile vantaggio o interesse dell’ente:

Enti che lavorano sulla base di brevetti/disegni/attività diricerca e sviluppo spinte hanno interesse a violare isistemi su cui i competitor conservano ladocumentazione dei propri prodotti/progetti allo scopo dicopiare i progetti stessi (Spionaggio Industriale)

Enti che hanno bisogno di informazioni personali alloscopo di elaborare e implementare strategie dimarketing o altro (es. recruiting, oppure avvantaggiarsidella conoscenza dei costi di produzione del cliente, ecc) ad hoc possono avere vantaggio nell’accedere asistemi target (di competitor o di enti presso i quali sisuppone siano registrate informazioni utili) allo scopo dicopiare le informazioni

Un ente, se si trova nella condizione di anomalia legataalla gestione di assegni o altra movimentazione dicapitali, ed è quindi iscritto nella lista della CAI (centraleAllarmi interbancari) può avere interesse a entrare neisistemi CAI allo scopo di modificare la propria posizionee tornare a essere in grado di emettere assegni

Un ente potrebbe trarre vantaggio dalla manipolazionedi dati che sono presenti nei propri sistemi comerisultato dei processi di business allo scopo di produrreun bilancio falso


La metodologia operativa

Identificazionepunti di controllo

raccomandatidalle Linee

Guida

METODOLOGIA

Miglioramento

ContinuoCONTROLLI

ALLINEAMENTO

Identificazionedelle principaliaree a rischio

reato

RiskAssessment

Altrecomponentidel modello

Monitoraggiodel modello

Organismodi vigilanza

A B C D E

RISCHI

OBIETTIVI

F


Il D.Lgs 231/2001: implementazione del modello

Processo


Per difendersi dalle frodi occorre definire una strategia disicurezza

I meccanismi di difesa possono essere attivati in due modalità:

• modalità reattiva: la difesa è interpretabile come risposta all’attacco dopoche questo attacco si è verificato;

• modalità proattiva: la difesa è interpretabile come intervento attivo diprevenzione e protezione prima che l’evento (doloso o accidentale) si possaverificare.

Al fine di porre in essere queste modalità di difesa, l’azienda devenecessariamente avere chiaro:

• quali elementi deve difendere;

• quali di questi elementi comportano maggiori rischi (analisi dei rischi);

• cosa deve proteggere maggiormente in virtù del rischio che corre;

• quanto è disposta a spendere per proteggere ciò che possiede di piùimportante.

Cosa fare per difendersi



Standard e best practice costituiscono delle valide linee guida…Ma quale usare?

24 marzo 2010Slide 32



La definizione di una strategia di sicurezza delle informazioni,l’implementazione delle misure di sicurezza e di protezione dallefrodi e le periodiche attività di valutazione dei rischi diaccadimento delle frodi sono strettamente correlate edinterconnesse

Cosa fare per difendersi



Carlo CaraceniSenior Manager,PricewaterhouseCoopersSystem & Process AssuranceMobile: +39 [email protected]


Contatti

Questions & Answers

PwC


© 2010 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the networkof member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independentlegal entity.

aiea le frodi informatiche: vi sentite sicuri?* roma 14 ... · tipologia delle frodi slide 7 le...

Documents