Date post: | 20-Feb-2019 |
Category: |
Documents |
Upload: | hoangkhanh |
View: | 217 times |
Download: | 0 times |
PwC
PricewaterhouseCoopers
AIEALe frodi informatiche:vi sentite sicuri?*Roma 14 aprile 2010
PwC*connectedthinking
PricewaterhouseCoopers
Regione/Paese Num. Regione/paese Num. Regione/paese Num.
Asia e Area del Pacifico 652 Europa Occidentale 1,243 Europa Centrale & Orientale 589Australia 75 Austria 34 Bulgaria 59
Corea del Sud 1 Belgio 62 Polonia 63
Filippine 1 Cipro 1 Repubblica Ceca 83
Giappone 73 Danimarca 105 Romania 55
Hong Kong (e Cina) 67 Finlandia 52 Russia 86
India 145 Francia 52 Serbia 4
Indonesia 50 Germania 17 Slovacchia 69
Malaysia 65 Greecia 96 Turchia 52
Nuova Zelanda 85 Irlanda 91 Ucraina 65
Paesi Mediorientali 14 Italia 90 Ungheria 53
Singapore 51 Norvegia 75
Thailandia 25 Paesi Bassi 76 Africa 145Portogallo 1 Ghana 27
Sud & Centro America 275 Spagna 55 Kenya 53
Argentina 39 Svezia 78 Namibia 1
Brasile 62 Svizzera 129 Sud Africa 63
Cile 76 UK 229 Sierra Leone 1
Ecuador ** 1
Messico 94 Nord America 123 Nessun paese specificato 10
Perù ** 1 Canada 52
Repubblica Dominicana 1 USA 71 Totale 3.037Venezuela ** 1
La più importante survey mondiale sulla criminalità economica.Più di 3.000 rappresentanti di organizzazioni/aziende di 54 paesi
Global: trend e statistiche
Slide 224 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Dimensione e tipologia delle organizzazioni/aziende partecipantialla survey
Global: trend e statistiche
Tipo delle organizzazionipartecipanti
%
Quotata 43%
Settore privato 42%
Settore pubblico 10%
Altre 5%
Dimensione delle organizzazionipartecipanti
%
Fino a 200 dipendenti 32%
Da 201 a 1000 dipendenti 33%
Più di 1.000 dipendenti 34%
Non sa 1%
Qualifica professionale dei partecipanti %
Top management 60%
Amm. Delegato/Presidente/Direttore Generale 12%
Direttore Amm. Finanza/Resp. Tesoreria/Controller 30%
Altri amministratori 7%
Consigliere d’Amministrazione 3%
Senior Vice President/Vice Presidente o equivalente 8%
Altre qualifiche professionali 40%
Responsabile Business Unit/Divisione 18%
Manager 15%
Altro 7%
Slide 324 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Paesi che hanno segnalato il minor numerodi frodi
ItaliaItalia
Romania
Paesi Bassi
Turchia
Hong Kong
Giappone
Le differenze a livello geografico nella diffusione del fenomenoIl 30% degli intervistati dichiara di aver subito almeno un caso difrode negli scorsi 12 mesi
Paesi che hanno segnalato il maggiornumero di frodi
Russia
Sud Africa
Kenya
Canada
Messico
Regno Unito
71%
62%
57%
56%
51%
15%
15%
13%
10%
16%
43%
19%
Global: trend e statistiche
Slide 424 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
La diffusione del fenomeno: l’Italia nel mondoIl 19% delle aziende/organizzazioni italiane ha subito almeno uncaso di frode negli ultimi 12 mesi
Il caso italiano
Slide 524 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Le aziende che svolgono frequenti fraud risk assessment individuano piùfrequentemente casi di frode
Correlazione tra frodi subite e frequenza dei fraud riskassessment
Il caso italiano
Slide 624 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Il caso italiano
Tipologia delle frodi
Slide 724 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Misure di prevenzione adottate dalle aziende/organizzazioni
Il 65% del campione ha rafforzato le proprie misure di prevenzione dei rischidi frode.
Possibilità di risposte multiple
Il caso italiano
Slide 824 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Nel 58% dei casi l’autore della frode è esterno alla compagine aziendalecontro 41% rappresentato dal personale interno.
Autori esterni: clienti o fornitori (30%) oppure intermediari (20%).
Autori interni: sono aumentate le frodi compiute dallo staff (57%) e dal middlemanagement (29%).
Il profilo degli autori di frode
Con la crisi aumentano le pressioni
Aumentano le motivazioni a commettere frodi
Le categorie intermedie sono le più colpite dal fenomeno.
Il caso italiano
Slide 924 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Aumentano i licenziamenti: dal 31% del 2007 al 65% del 2009.
Il 35% delle aziende ricorre ad azioni giudiziarie, civili e/o penali.
La risposta delle aziende alle frodi: le frodi interne
Possibilità di risposte multiple
Il caso italiano
Slide 1024 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
…e le frodi esterne
In caso di frodi esterne aumenta la visibilità delle azioni di risposta adottatedalle aziende.
Il 59% ricorre ad azioni giudiziarie, contro il 35% delle aziende vittime di frodiinterne.
Possibilità di risposte multiple
Il caso italiano
Slide 1124 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Il caso italiano
Slide 1224 marzo 2010Le frodi informatiche
Come sono state scoperte le frodi?
PricewaterhouseCoopers
Secondo il GISS 2010*, nel 17% dei casi, a livello mondiale, gliincidenti di sicurezza hanno provocato frodi informatiche (il 14%in Italia)
Slide 1324 marzo 2010Le frodi informatiche
42%
30%29%
20%
17%
12% 12%
7%
22%
25%
17%
23%
14%13% 12%
5%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Financiallosses
Brand /reputation
compromised
Intellectualproperty theft
Companyhome page
altered /defaced
Fraud Legalexposure /
lawsuit
Loss ofshareholder
value
Extortion
Global
Italia
Fraud
* Il rapporto “2010 Global State of Information Security Survey ” è uno studio mondiale condotto sulla base diuna survey online dai magazine CIO e CSO in collaborazione con PricewaterhouseCoopers
Global: trend e statistiche
PricewaterhouseCoopers
Cosa si intende per frode informatica?
Con frode informatica si identificaciascuna sottrazione o appropriazioneindebita compiuta manomettendo oalterando programmi software, file didati, operazioni, equipaggiamenti ostrumenti multimediali e che generaperdite per l’organizzazione cui isistemi informatici sono statimanipolati.
[Fonte: Enciclopedia delle frodi]
24 marzo 2010Slide 14
Le frodi informatiche
I reati informatici: definizioni ed esempi
PricewaterhouseCoopers
Negli ultimi anni assistiamo ad un numero sempre maggiore difrodi informatiche con impatti notevoli sulle organizzazioni
• La figura dell’attaccante è cambiata negli ultimi anni.
• Ci sono attaccanti interni ed esterni (p.e. Malware writer, Miner, Exploiter,Prober/Sleeper)
• I target degli attacchi sono individuati secondo logiche precise.
• La complessità tecnologica favorisce la nascita di sempre nuove tipologie diattacco.
• Nelle prossime slide vedremo qualche esempio di frode informatica.
Slide 1524 marzo 2010Le frodi informatiche
Qualche esempio di frode informatica
PricewaterhouseCoopers
QUANDO L’UTENZA È PREZIOSA
Il 19 Ottobre 2007 è stata scoperta una truffa checoinvolgeva una nota compagnia di poker online.
Uno degli ex top manager dell’azienda, sfruttandola propria conoscenza dei sistemi informatici esoprattutto un’utenza “privilegiata” maidisabilitata dopo le dimissioni, poteva connettersialle partite online e suggerire ad alcuni giocatori,complici nella truffa, le carte degli avversari.
OTTOBRE 2007
THE
Danno della truffa: Ingente danno d’immagine ed economico.
Slide 1624 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Attenti alle mail sospette: il phishingNell’aprile del 2007 un grande gruppo bancarioolandese ha registrato un attacco di phishing che si èconcretizzato nell’invio di mail fittizie con un fintologo della banca ai clienti per raccogliereinformazioni utili ad introdursi nel sistemainformatico della banca.
Sebbene il gruppo bancario in oggetto avesse uno dei sistemi di sicurezzaconsiderato tra i più sicuri del settore, l’attaccante è riuscito a sfruttare una dellevulnerabilità (la non consapevolezza degli utenti) per violare il sistema.Danno della truffa: Danno di immagine
APRILE 2007 - Since 1802
Slide 1724 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
QUANDO SI LASCIA LA PORTA APERTA
Il 28 Settembre 2007 negli USA è statascoperta una truffa che ha colpito circa15 aziende nel settore delle TLC.
Gli attaccanti hanno realizzato l’attaccodopo essere entrati in possesso(mediante l’acquisto su internet alprezzo di 600$!) dei dati delle reti delleimprese che avevano scelto comebersaglio.
SETTEMBRE 2007
THE
Le reti sono state violate sfruttando levulnerabilità delle stesse, sono stateregistrate tutte le conversazionitelefoniche e sono state rivendute.
Danno della truffa: Economico (1milione di Dollari) con la conseguentechiusura di alcune delle aziendecolpite.
Slide 1824 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
CLAMOROSO CASO DI ATTACCO INTRUSIVO
Dal 2007 al 2008, il Pentagono haregistrato numerosi intrusioni attraversole quali sono state scaricate e decifrateinformazioni altamente riservate suldesign e sui sistemi elettronici dell‘”F-35Lightning II”, un cacciabombardiere diultima generazione.
THE DAILY NEWSDICEMBRE 2008 - Since 1879
Danno della truffa: danno di immagine e perdita di informazioniriservate sul progetto costato 300 miliardi di Dollari.
Slide 1924 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
C’È ANCHE CHI PRENDE IN OSTAGGIO I DATI
Nel maggio 2009, un ignoto cracker è riuscito apenetrare nel network di un’agenzia sanitariastatunitense rubando record per un totale di 8milioni di dati e 35 milioni di prescrizionimediche, cancellando gli originali e infinechiedendo il pagamento di una somma di denaronon indifferente pena la vendita dei dati sul mercatonero. L’azienda sanitaria non aveva adottatosoluzioni di backup.
THE DAILY NEWSMAGGIO 2009 - Since 1879
Danno potenziale della truffa: Economico (10 milioni di Euro) e diimmagine.
Slide 2024 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Non solo intercettazioni telefonicheAlcuni cracker, attraverso lal’utilizzo di programmi diintercettazione di trafficotelematico, sono riusciti adentrare in possesso dei datirelativi a più di un centinaio dicarte di debito di un noto circuitobancario internazionale.
NOVEMBRE 2008 - Since 1802
L’8 Novembre 2008, in meno di 30minuti, da oltre 130 sportelli ATM di49 città nel mondo, hanno utilizzatotali informazioni per prelevareingenti somme di denaro.Danno della truffa: Danno diimmagine ed economico (9 milionidi Dollari).
Slide 2124 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
IL FERMO DEL SERVIZIO NON È UNO SCHERZO
Nel 2000 un noto negozio di libri online ha subitoun attacco DoS messo in atto mandando unnumero elevatissimo di false richieste da piùmacchine al medesimo server e consumando lerisorse di sistema e di rete del provider.
THE DAILY NEWSMAGGIO 2009 - Since 1879
Il fornitore del servizio è letteralmente “affogato” sotto le richieste e ilserver non è stato più in grado di inoltrare le richieste inviate via Web,subendo un blocco totale nell’erogazione del servizio.
Danno della truffa: nel giro di qualche ora i titoli della compagnia,quotata sul mercato Nasdaq, hanno subito una flessione del 30%
Quando un virus diventa letaleTra il 2006 e il 2008, alcuni dipendenti della dittadelle pulizie sono riusciti a introdursi, attraversol’uso di un programma creato ad hoc, nel contactcenter di una delle società italiane ditelecomunicazioni più grandi e ad estrarre dai pcle password dei computer.
MAGGIO 2009 - Since 1802
Successivamente, utilizzando tali codici di accesso, sono statepredisposte ricariche per cellulari che venivano nuovamentemonetizzate attraverso chiamate a numeri ad alta tariffazione.
Danno della truffa: Economico (50 milioni di Euro).
LE GANG DI CRIMINALI VIAGGIANO SU INTERNET
Nell’aprile del 2009 è stata incastrata una vera e propriacyber-gang composta da 6 persone, ognuna con ilproprio ruolo all’interno dell’organizzazione criminale,dopo aver scoperto la truffa ai danni di un istitutobancario ucraino.
THE DAILY NEWSAprile 2009 - Since 1879
Danno della truffa: più di 70 domini governativi colpiti e 300.000 Euro sottrattiin soli 22 giorni a vittime ignare.
Slide 2424 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Attraverso la distribuzione di trojan su siti web istituzionali, hanno bypassato isistemi anti-frode, cancellato le tracce del furto forzando il sistema di onlinebanking e riciclato il denaro impiegando veri e propri corrieri di denaro sporco.Il tutto in maniera veloce ed efficace mantenendosi a debita distanza.
PricewaterhouseCoopers
La legislazione principale in tema di crimini informatici
Legge 547/1993: “Violenza Informatica” Nuovi reati di “Accesso Abusivo”, “Danneggiamento di sistemi informatici”,
“Frode Informatica” e “Falso in documenti informatici”
Legge 48/2008: Modifiche al Codice di Procedura Penale Modifiche al D.Lgs 231/2001
D.Lgs 231/2001: La ratio I presupposti applicativi Le sanzioni applicabili Le condizioni per l’esimente I reati presupposto Un cambio di paradigma per la Sicurezza informatica
Il D.Lgs 231/2001: cenni storici
Slide 2524 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Reato Informatico: condotta illecita, prevista dal Codice Penale,realizzata per mezzo di apparecchiature informatiche otelematiche, ovvero condotta volta a danneggiareapparecchiature informatiche e telematiche
Hacking
Alterazione documenti
Phishing
……….
Denial Of Service
Virus
Spamming
………..
Slide 2624 marzo 2010Le frodi informatiche
I reati informatici: definizioni ed esempi
PricewaterhouseCoopers
I Reati Informatici previsti dal nuovo Art. 24 Bis nel D.Lgs231/2001
Art. 615 ter : Accesso abusivo ad un sistema informatico o telematico
Art. 615 quater: Detenzione e diffusione abusiva di codici di accesso a sistemi informatici otelematici
Art. 615 quinquies: Diffusione di informatico apparecchiature, dispositivi o programmiinformatici diretti a danneggiare o interrompere un sistema informatico o telematico
Art. 617 quater: Intercettazione, impedimento o interruzione illecita di comunicazioni iinformatiche o telematiche
Art. 617 quinquies: Installazione di apparecchiature atte ad intercettare, impedire ointerrompere comunicazioni informatiche o telematiche
Art. 635 bis: Danneggiamento di informazioni, dati e programmi informatici
Art. 635 ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dalloStato o da altro ente pubblico o comunque di pubblica utilità
Art. 635 quater: Danneggiamento di sistemi informatici o telematici
Art. 635 quinquies: Danneggiamento di sistemi informatici o telematici di pubblica utilità
Art. 640 quinquies: Frode informatica del soggetto che presta servizi di certificazione di firmaelettronica
Art. 491 bis: Falsità in documenti informatici
Slide 2724 marzo 2010Le frodi informatiche
Il D.Lgs 231/2001: l’elenco dei reati informatici
PricewaterhouseCoopers
Un esempio
REATO PRESUPPOSTOArt. 615 ter c.p. “Accesso abusivo ad un sistema informatico o telematico”
DESCRIZIONE DEL REATOChiunque abusivamente si introduce in un sistema informatico o telematico protetto damisure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha ildiritto di escluderlo, è punito con la reclusione fino a tre anni.
SANZIONE PECUNIARIADa cento a cinquecento quote, pari ad un minimo di circa € 26.000 e ad un massimo dicirca € 775.000.
SANZIONI INTERDITTIVEInterdizione dall'esercizio dell'attività, sospensione o revoca delle autorizzazioni,licenze o concessioni funzionali alla commissione dell'illecito, divieto di pubblicizzarebeni o servizi.
Le frodi informatiche
Il D.Lgs 231/2001: esempi
Slide 2824 marzo 2010
PricewaterhouseCoopers
Un esempio
Modalità di esecuzione del reato:
Attraverso tecniche di hacking o intercettazione ditelecomunicazioni un soggetto accede agli archivi delcompetitor dove hanno sede i documenti di progetto e licopia su proprie apparecchiature
Personale della società accede ai dati registrati neisistemi gestionali e/o contabili utilizzando una modalitàdi accesso non controllata e ne manipola il contenuto.La modalità di accesso non controllata potrebbe essererealizzata ad esempio tramite:
o userID scaduta non cancellata
o userID generiche
o userID e pwd scoperte in vario modo
o accesso fisico a PC altrui incustodito
o uso di apparecchiature dimesse ma non distrutte
o accesso alla consolle di amministrazione del sistema
Slide 2924 marzo 2010Le frodi informatiche
Il D.Lgs 231/2001: esempi
Possibile vantaggio o interesse dell’ente:
Enti che lavorano sulla base di brevetti/disegni/attività diricerca e sviluppo spinte hanno interesse a violare isistemi su cui i competitor conservano ladocumentazione dei propri prodotti/progetti allo scopo dicopiare i progetti stessi (Spionaggio Industriale)
Enti che hanno bisogno di informazioni personali alloscopo di elaborare e implementare strategie dimarketing o altro (es. recruiting, oppure avvantaggiarsidella conoscenza dei costi di produzione del cliente, ecc) ad hoc possono avere vantaggio nell’accedere asistemi target (di competitor o di enti presso i quali sisuppone siano registrate informazioni utili) allo scopo dicopiare le informazioni
Un ente, se si trova nella condizione di anomalia legataalla gestione di assegni o altra movimentazione dicapitali, ed è quindi iscritto nella lista della CAI (centraleAllarmi interbancari) può avere interesse a entrare neisistemi CAI allo scopo di modificare la propria posizionee tornare a essere in grado di emettere assegni
Un ente potrebbe trarre vantaggio dalla manipolazionedi dati che sono presenti nei propri sistemi comerisultato dei processi di business allo scopo di produrreun bilancio falso
PricewaterhouseCoopers
La metodologia operativa
Identificazionepunti di controllo
raccomandatidalle Linee
Guida
METODOLOGIA
Miglioramento
ContinuoCONTROLLI
ALLINEAMENTO
Identificazionedelle principaliaree a rischio
reato
RiskAssessment
Altrecomponentidel modello
Monitoraggiodel modello
Organismodi vigilanza
A B C D E
RISCHI
OBIETTIVI
F
Slide 3024 marzo 2010Le frodi informatiche
Il D.Lgs 231/2001: implementazione del modello
Processo
PricewaterhouseCoopers
Per difendersi dalle frodi occorre definire una strategia disicurezza
I meccanismi di difesa possono essere attivati in due modalità:
• modalità reattiva: la difesa è interpretabile come risposta all’attacco dopoche questo attacco si è verificato;
• modalità proattiva: la difesa è interpretabile come intervento attivo diprevenzione e protezione prima che l’evento (doloso o accidentale) si possaverificare.
Al fine di porre in essere queste modalità di difesa, l’azienda devenecessariamente avere chiaro:
• quali elementi deve difendere;
• quali di questi elementi comportano maggiori rischi (analisi dei rischi);
• cosa deve proteggere maggiormente in virtù del rischio che corre;
• quanto è disposta a spendere per proteggere ciò che possiede di piùimportante.
Cosa fare per difendersi
Slide 3124 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Standard e best practice costituiscono delle valide linee guida…Ma quale usare?
24 marzo 2010Slide 32
Le frodi informatiche
PricewaterhouseCoopers
La definizione di una strategia di sicurezza delle informazioni,l’implementazione delle misure di sicurezza e di protezione dallefrodi e le periodiche attività di valutazione dei rischi diaccadimento delle frodi sono strettamente correlate edinterconnesse
Cosa fare per difendersi
Slide 3324 marzo 2010Le frodi informatiche
PricewaterhouseCoopers
Carlo CaraceniSenior Manager,PricewaterhouseCoopersSystem & Process AssuranceMobile: +39 [email protected]
Slide 3424 marzo 2010Le frodi informatiche
Contatti
Questions & Answers
PwC
Le frodi informatiche
© 2010 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the networkof member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independentlegal entity.