ilbroker

Secondo un nuovo studio di Accenture, solo il 30% delle società ha davvero fiducia nella sicurezza di Internet

A livello mondiale si stima che possano essere 5.200 miliardi di dollari i costi addizionali e i mancati ricavi delle aziende nel corso dei prossimi cinque anni dovuti ai cyber-attacchi, poiché la dipendenza da modelli di business abilitati da Internet è attualmente di gran lunga superiore all’abilità di introdurre misure di sicurezza adeguate in grado di proteggere asset strategici. È quanto emerge da un nuovo studio condotto da Accenture.

Basato su un’indagine che ha coinvolto oltre 1.700 CEO e top manager di aziende in diversi paesi, il report intitolato Securing the Digital Economy: Reinventing the Internet for Trust esplora la complessità delle sfide legate a Internet che le aziende si trovano ad affrontare e delinea le azioni inderogabili per il ruolo in continua evoluzione dei CEO in ambito di tecnologia, business architecture e governance.

Secondo tale studio, il cybercrime con un’ampia gamma di attività fraudolente e dannose, pone sfide significative in quanto può compromettere le attività aziendali, la crescita e l’innovazione del business, nonché l’introduzione di nuovi prodotti e servizi, con un costo per le aziende di migliaia di miliardi di dollari. Il settore high-tech, con oltre 753 miliardi di dollari di costi emergenti, corre i rischi maggiori, seguito da life science e automotive, la cui esposizione ammonta rispettivamente a 642 e 505 miliardi di dollari.

“Il livello di sicurezza di Internet è inferiore rispetto al livello di sofisticazione raggiunto dalla criminalità informatica e questo sta portando ad un’erosione della fiducia nell’economia digitale” ha dichiarato Paolo Dal Cin, Security Lead di Accenture Italia. “Il rafforzamento della sicurezza su Internet richiede una leadership incisiva – e a volte non convenzionale – da parte dei CEO, non solo dei CISO[1]. Un primo passo da compiere per le aziende che vogliono diventare cyber-resilienti è quello di portare le competenze dei CISO nel consiglio di amministrazione, garantendo così che la sicurezza sia integrata sin dalla fase iniziale di qualunque iniziativa e tutti dirigenti aziendali si assumano la responsabilità della sicurezza e della riservatezza dei dati.”

Alcune delle principali considerazioni che emergono dall’indagine: quattro intervistati su cinque (79%) ritengono che il progresso dell’economia digitale sarà seriamente compromesso se non ci sarà un sostanziale miglioramento della sicurezza su Internet, mentre oltre la metà (59%) ritiene che Internet sia sempre più instabile sotto il profilo della cyber-sicurezza e non sa come reagire.

Al contempo, tre quarti degli intervistati (75%) ritengono che sia necessario uno sforzo congiunto per far fronte alle sfide in materia di cyber security, in quanto nessuna organizzazione è in grado di risolvere il problema da sola. Più della metà dei dirigenti (56%) si definisce sempre più preoccupata della sicurezza su Internet e vedrebbe con favore l’entrata in vigore di norme di business più rigorose introdotte da istituzioni o autorità governative.

“La rete Internet non è stata pensata e costruita considerando il livello di complessità e di connettività attuali. Ecco perché può bastare una singola vulnerabilità, all’interno o all’esterno delle mura aziendali, per subire un cyber-attacco dagli effetti devastanti”, ha dichiarato Dal Cin. “Nessuna organizzazione può affrontare da sola le sfide poste dalle minacce cyber; è un obiettivo globale che richiede una risposta globale e per il quale la collaborazione è la chiave. Per dare forma a un futuro che cresca su un’economia digitale forte e che funzioni in un clima di fiducia, il top management deve guardare oltre i confini della propria organizzazione, collaborare con un ecosistema di partner e proteggere la loro catena del valore nella sua interezza, considerando fornitori, clienti e ogni altra terza parte”.

La rapida ascesa delle nuove tecnologie sta creando nuove sfide, come testimoniato da quattro intervistati su cinque (79%), che ammettono di adottare tecnologie emergenti più rapidamente rispetto alla velocità con cui affrontano i relativi problemi di cyber security. Inoltre, i tre quarti di essi (76%) evidenziano che gli aspetti di sicurezza informatica sono sfuggiti al controllo a causa di nuove tecnologie come l’Internet of Things (IoT) e l’Industrial Internet of Things (IIoT). La maggioranza (80%) ha inoltre dichiarato che è sempre più difficile proteggere la propria organizzazione dalle vulnerabilità delle parti terze, il che non sorprende, data la complessità e la vastità attuale degli ecosistemi su Internet.

Un altro tema di interesse per molti dirigenti è la protezione dei dati dei clienti. Sulla scia dei timori legati alla sicurezza, il 76% degli intervistati ritiene che i consumatori non possano confidare nella sicurezza della propria identità digitale dal momento in cui molti dei loro dati personali sono già disponibili senza nessuna restrizione.

Azioni da intraprendere

Lo studio suggerisce ai CEO e agli altri dirigenti di alto livello tre azioni da intraprendere per migliorare la sicurezza digitale del loro business:

1. Governance: unire le forze con altre aziende partner e attivare una gestione a livello globale – Incrementare gli sforzi per collaborare con dirigenti di altre aziende, responsabili di governo e autorità di regolamentazione per definire come prevenire al meglio nuovi cyber-attacchi.

2. Business Architecture: connettere e proteggere le aziende tramite un modello basato sulla fiducia digitale – Indirizzare al meglio le basi della cyber-security. Proteggere tutte le attività di business lungo l’intero ecosistema di partner e fornitori.

3. Tecnologia: far progredire le attività di business e migliorare la sicurezza – Adottare nuove tecnologie, gestire al meglio la sicurezza dell’IoT e prepararsi per le sfide legate al quantum computing. Assicurarsi che la sicurezza dei software e le funzioni di aggiornamento siano integrate nei dispositivi mobili e IoT sin dalla loro progettazione.

Maggiori informazioni in merito alle azioni concrete e decisive da intraprendere per creare un’economia digitale affidabile sono disponibili all’interno del documento “Securing the Digital Economy: Reinventing the Internet for Trust” scaricabile dal sito internet www.accenture.com/ReinventTheInternet.

Metodologia

Tra ottobre e novembre 2018, Accenture Research ha intervistato 1.711 dirigenti di alto livello appartenenti a società che vantano ricavi annuali non inferiori a 1 miliardo di dollari con sede in 13 paesi: Australia, Brasile, Canada, Cina, Francia, Germania, India, Italia, Giappone, Spagna, Svizzera, Regno Unito e Stati Uniti. Le interviste in profondità hanno coinvolto le seguenti figure aziendali: CEO (61%), COO (20%), CIO (9%) e CSO (9%).

Fonte Il Sole 24 Ore

Marriott, la famosa catena di alberghi, ha ammesso che dei criminali informatici ancora sconosciuti hanno avuto accesso al loro database di prenotazioni Starwood a partire dal 2014 (ben due anni prima della sua acquisizione da parte di Marriott), estrapolando dati relativi a oltre 500 milioni di prenotazioni per un totale di circa 327 milioni di clienti.

Il database in oggetto raccoglie e gestisce le prenotazioni degli alberghi Starwood, W, St Regis, Sheraton Hotels & Resort, Westing Hotels & Resort, Element, Aloft, The Luxory Collection, Tribute Portfolio, Le Meridien Hotels & Resort, Four Points by Sheraton e Design. Gli altri hotel di proprietà Marriott non sono stati coinvolti, mentre chiunque abbia effettuato un soggiorno presso una delle strutture elencate dal 2014 fino al 10 settembre 2018 deve ritenere a rischio i suoi dati.

Ma esattamente cosa è stato rubato?
Secondo le informazioni date dall’azienda, il database violato ospitava per ogni utente il suo nome e cognome, indirizzo di posta elettronica, la password di accesso, il numero d telefono, la data di nascita, il genere, date di arrivo e partenza dalle strutture, le preferenze indicate nelle prenotazioni, il numero di SPG (Starwood Preferred Guest) e quello di passaporto o carta di identità. Non tutti i clienti hanno fornito i dati di tutti i campi, ma quelli obbligatori ci sono di sicuro. Inoltre, alcuni di alcuni clienti sono stati rubati anche i dettagli della carta di credito con numero e data di scadenza. Marriott specifica che i dati di pagamento (e solo quelli a quanto pare) sono protetti con una crittografia EAS-128 e che due componenti sono necessarie per decodificare i dati. Purtroppo, al momento non sanno dire se i pirati hanno avuto accesso a queste componenti o meno.

LA PROCURA DI NEW YORK INDAGA
Marriott, attacco hacker agli hotel: a rischio i dati di 500 milioni di clienti
Per cercare di rimediare al problema, Marriott sta dismettendo il database violato, implementando un nuovo sistema informatico di registrazione, probabilmente integrato con l’altro già essere. Alle persone preoccupate per il possibile furto dei propri dati, Marriott dà la possibilità di avvalersi senza costi del servizio WebWatcher, disponibile però solo in pochi paesi. Non andate a cercare questo servizio su un motore di ricerca perché la maggior parte dei risultati punta a finti servizi di tutela che invece mirano a installare malware. Usate, invece, i link presenti sulla pagina dedicata alla violazione, raggiungibile all’indirizzo info.starwoodhotels.com.

Al momento, non sembra che i dati siano ancora stati usati, ma non è sicuro se l’azienda sia al corrente del sistema usato dai criminali per entrare nei loro sistemi. La cosa migliore da fare è quella di cambiare le password di accesso al sito di Starwood, scegliendone una che non sia facile indovinare. In Italia è stato attivato un numero verde (800-728-023) che può fornire maggiori informazioni sull’incidente man mano che vengono scoperte.

Chi ha rubato dati?
La violazione è stata scoperta da relativamente poco e quindi si stanno ancora svolgendo le indagini. Di conseguenza non ci sono indicazioni su chi abbia rubato i dati. Le ipotesi al momento sono tutte valide perché la mole di informazioni che è stata copiata è davvero notevole e potrebbe interessare sia a normali gruppi di criminali informatici, sia a hacker governativi impegnati in attività di spionaggio che si ritroverebbero per le mani la mappa degli spostamenti di personaggi di spicco di molti settori, da quello governativo a quello economico/industriale.

Quali sono i veri rischi per i clienti Starwood?
A causa della grande mole di dati rubata, il rischio di subire un furto di identità è concreto. Avendo in mano dalla carta d’identità o passaporto a date di nascita e indirizzi postali, i criminali possono sostituirsi a chiunque nella creazione di tessere telefoniche, ordinare merci, richiedere prestiti e così via. Bisogna stare molto attenti a eventuali messaggi che ci facciano capire che qualcuno stia operando a nostra insaputa con la nostra identità. Inoltre, è probabile che alcuni gruppi di criminali cercheranno di sfruttare l’opportunità per inviare mail di phishing che fanno riferimento a questa violazione. Non cliccate su nulla di sospetto e usate il call center prima di inviare ulteriori dati online.

7 novembre 2018 di ilbroker

dal Corriere della Sera Link

Nell’ultima azione in memoria del loro protagonista il personaggio a cui gli hacker si ispirano – Guy Fawkes – del 5 novembre, gli hacker mascherati violano decine di istituzioni e organizzazioni, compresi Lega e Partito Democratico.

Il peggiore attacco è forse stato quello di sabato 3 novembre, che ha preso di mira il Comune di Palermo, insieme al Consiglio Regionale della Sardegna e alla Provincia di Arezzo. Ben prima erano stati resi noti i dati conservati dal Sistema Sanitario Sardegna, dalla Federazione Italiana Medici Medicina Generale Pisa, dall’Istituto di Ricovero e Cura a Carattere Scientifico. Come è evidente, si tratta sempre di una divulgazione alla massa di informazioni che riguardano i cittadini, spesso vittime ignare di simili iniziative.

13 agosto 2018 di ilbroker

Da ANSA.IT

Lo smart working, ovvero la possibilità di lavorare in mobilità fuori dalla sede aziendale, è un’agevolazione di cui già godono molti dipendenti e sarà sempre più diffuso anche in Italia, tanto che tra due anni sarà una realtà consolidata nella maggior parte delle aziende. Secondo un’indagine realizzata da InfoJobs, il 70% delle aziende indica lo smart working come un’abitudine che, da qui al 2020, diventerà di uso comune. Per il 21% infatti verrà adottata dalla maggior parte delle aziende e per ben il 49% sarà la norma per le imprese di servizi/beni immateriali mentre più difficilmente si potrà estendere al resto del tessuto produttivo. La situazione ad oggi: diminuiscono le aziende contrarie, ma sono ancora la metà (quasi) Ad oggi, il 39% delle aziende ha già implementato politiche di smart working. Di queste, il 27% lo ha attivato solo per alcune aree funzionali, mentre per il 12% coinvolge tutti i dipendenti. C’è poi un 12% di imprese che ne prevede l’introduzione entro due anni. Quasi la metà delle aziende è però ancora reticente (49%), una percentuale in diminuzione dell’11,5% rispetto al 2016. Di questi, il 41% non ha intenzione di implementare lo smart working per motivi interni mentre l’8% non lo fa per mancanza di supporti tecnologici. I vantaggi Lo smart working è sicuramente visto come una leva strategica per attrarre nuovi talenti, che lo vedono come un elemento differenziante nel 37% dei casi o comunque come un incentivo su cui far leva insieme anche ad altri elementi quali il grado di responsabilità e le condizioni economiche nel 42%. Il 78% lo ritiene infatti un valore che potrebbe migliorare la qualità della vita dei dipendenti, la loro motivazione e inciderebbe positivamente sulla produttività e per il 59% porterebbe comunque un cambiamento positivo, anche se soltanto in alcune aree e non in tutti settori o per tutte le posizioni. Come monitorare il lavoro fuori sede Una delle maggiori preoccupazioni e quindi reticenze nell’adottare lo smart working riguarda la troppa libertà del dipendente e il controllo della produttività. Per monitorare l’attività svolta durante lo smart working e valutare così la produttività del dipendente, il modo migliore è quello della verifica con il proprio responsabile degli obiettivi prefissati. Solo una piccola parte delle aziende indica metodi più radicali come un report a fine giornata (16%) o addirittura un controllo informale per accertarsi l’effettiva reperibilità del lavoratore (12%).

I cybercriminali vanno dove si fanno soldi e nel 2017 sembrano aver scoperto delle miniere d’oro in ospedali, cliniche e laboratori medici in genere.

Secondo l’ultimo report dei McAfee Labs sulle minacce informatiche, nel 2017 c’è stata una vera e propria esplosione di incidenti informatici nel settore sanitario americano, con il numero totale delle infrazioni dichiarate che è più che triplicato rispetto al 2016. Del resto, sembra sia molto facile monetizzare tutto quello che riguarda la salute dei cittadini: gli ospedali sono molto propensi a pagare in caso di attacco ransomware per evitare il blocco dell’operatività delle corsie; l’esfiltrazione dei dati dei pazienti frutta sul mercato nero circa 50 dollari per cartella sanitaria; i sistemi usati dagli ospedali risultano essere in assoluto i meno protetti e i più vetusti, aprendo infinite possibilità di monetizzazione ai cybercriminali.

Buona parte di queste vulnerabilità è raccolta nei “PACS”, i sistemi usati dai laboratori per archiviare i risultati degli esami e renderli disponibili tramite Internet a tutte le loro sedi o ad altri istituti. Christiaan Beek, il ricercatore che ha approfondito il tema, ha avuto libero accesso a risonanze magnetiche, lastre di raggi X e referti di ogni tipo semplicemente usando motore di ricerca Shodan su Internet. Addirittura, scaricando il file completo di una risonanza magnetica liberamente accessibile, è stato in grado di stampare in 3D una copia del bacino della paziente esaminata.

Inoltre, le scarse misure di sicurezza hanno permesso al ricercatore di modificare tutti i dati di un esame radiografico, ricaricandolo sul sistema originale con un nome di fantasia. Dà molto da pensare il fatto che niente gli avrebbe impedito di sostituire il file originale, mettendo a rischio la vita del paziente a causa delle informazioni false fornite ai medici curanti.

Per fortuna, causare la morte di uno sconosciuto non è una fonte di guadagno, perché altrimenti siamo sicuri che i criminali non ci penserebbero due volte prima di iniziare ad approfittarne e le difese degli ospedali non sarebbero molto d’aiuto.

FONTE: Il Sole 24 Ore