Blog

GDPR per tutti, un video per spiegare a tutti cosa vuol dire e cosa significa questa nuova sigla 

Lunedì 16 Ordine Avvocati Firenze parleremo di GDPR, Cyber Risk e Data Breach legati alla professione dell'avvocato: problematiche e soluzioni

 

Locandina GDPR ordine Avvocati Firenze Cyber Risk data breach

databreachInformative, consenso, interesse legittimo, diritti interessato, Risk Assessment, Data breach, queste sono le principali keyword del GDPR. Di tutte queste il Data Breach è il tema meno cavalcato dal marketing, vuoi perché evoca scenari drammatici per l'azienda, vuoi perché in generale c'è un grave livello di impreparazione di aziende e professionisti alla gestione di un data breach.


Le aziende, quelle obbligate dalla compliance, sono più preparate a gestire una situazione connessa a ll'innesco delle procedure di Disaster Recovery piuttosto che a gestire un Data Breach. Quello che si deve sapere di un data breach non sono volumi di nozioni stile enciclopedico, ma sono pochi ma significativi concetti che devono essere correttamente e compiutamente declinati nelle raltà aziendali e che si possono riassumere sommariamente in

  1. Monitoraggio preventivo e reattivo mediante indicatori di tipo IoA e IoC
  2. Forensics Readiness per la raccolta costante e continue delle evidenze informatiche ai fini forensi
  3. Policy, Planning e Procedure operative per la gestione del Data Breach
  4. Data Breach Testing

E' innanzitutto importante attivare un monitoraggio pro-attivo della sicurezza perlomeno dei sistemi che sono vitali per il business e che effettuano trattamenti col fine di percepire, comprendere se i nostri sistemi sono particolarmente attenzionati da parte di qualcuno, IoA, o se addirittura risultano con grande probabilità già compromessi, IoC.


Implementato il monitoraggio pro-attivo è necessario affiancare una politica di Forensics Readiness, ovvero predisporre una raccolta completa, sistematica a termini di usabilità forense, tamper proof, delle evidenze IT dai sistemi o software che potrebbero essere fonte di prove di un breach. In caso di breach, il soggetto che si inserisce più o meno abusivamente sui nostri sistemi, per prima cosa cerca di cancellare le tracce del suo ingresso, per potersi mantenere sui sistemi per diversi mesi senza che nessuno se ne accorga. Nel momento in cui si prende coscienza del brech se non si è operata la raccolta delle evidenze informatiche costante nel tempo, sistematica e tamper proof, non saremo in grado di comprendere come e da quanto l'intruso si trova nei nostri sistemi. Problema che dovremo spiegare prima ai nostri stakeholder, alle assicurazioni che hanno assicurato il nostro rischio cyber residuo prima ancora che al Garante.

Gestire un data breach significa aver predisposto una serie di policy, e un planning di risorse economiche, IT e di comunicazione, nonchè regole operative per la gestione corretta e completa di un evento raro ma catastrofico. L'incident Response deve ripristinare il servizio ma in maniera non distruttiva, utilizzando i sistemi di DR piuttosto che scalando su macchine virtuali, per dare mondo ai team coinvolti di condurre le indagini sistemistiche, applicative e forensi che si rendono necessarie. Tutto per comprendere le ragioni del breach e predisporre una soluzione di remediation che impedisca un nuovo breach con le stesse modalità.

Tutto questo è corretto e giusto, ma viene assolutamente ignorato che questi concetti, queste policy e procedure, dato che rappresentano un evento straordinario, non sono radicate nelle persone, spesso si conoscono le policy e le procedure ma quando è il momento di metterle in pista qualcosa sfugge al controllo, i sistemi non hanno una capacity adeguata e un disastro si somma all'altro.
Policy e Procedure connesse al Data Breach devono essere Testate con regolarità per diversi motivi. il primo è che è necessario comprendere se nella realtà si presentano situazioni diverse da quelle ipotizzate, e quindi si rende necessario adottare dei correttivi. Il secondo motivo è che i reparti di "pronto intervento Data Breach" devono allenarsi per poter gestire l'eccezionalità di un data breach con la stessa professionalità, fermezza e tempestività con cui in azienda si gestisce un evento ordinario.
Chiaramente per una PMI, ma anche per una grande azienda, gestire un tale livello di complessità può essere un problema sopratutto quando l'IT è uno strumento di business e non è il business di quell'azienda. In questi esternalizzare questi servizi è la soluzione migliore in termini di affidabilità e di rispetto della compliance.

La vicenda risale al 2014e  rientra nella fattispecie del dipendente infedele o meglio del danneggiameto o sabotaggio.

E' lultimo giorno di lavoro prima di passare a una ditta concorrente, e i file del computer aziendale venongo distrutti. Si tratta di un modus operandi purtroppo diffuso a cui deve seguire una  una querela di parte supportata da una Perizia informatica sul computer.  infatti lo sviluppo di una indagine informatica sugli strumenti a disposizione dle soggetto permette di comprendere, tempi, modalità e entità dell'azione criminosa per poterla correttamente rappresentare al giudice mediante una perizia informatica forense.  Nel caso di specie erano stati distrutti  circa 2mila documenti, tra cui alcuni contratti di fornitura.

Con l'accusa di accesso abusivo sistema informatico e danneggiamento il dipendente infedele è stato condannato nei giorni scorsi, dal giudice Ines Rigoli del Tribunale di Bologna a una pena detentiva e al risarcimento.

Per i dettagli della notizia http://www.bolognatoday.it/cronaca/dipendente-cancella-file-azienda-condannato.html

 

La '''Forensics Readiness''' è la capacità delle aziende di massimizzare il potenziale in termine di capacità di raccolta di prove digitali, minimizzando i costi e agevolando la successiva indagine forense.

In caso di data breach:

  •  Le aziende impiegano non meno di 6 mesi per scoprire un brearch (Fonte ZDNet http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/)
  •  L’intruso tende a cancellare le tracce del proprio ingresso e operato
  •  L’intruso tende a rimanere silente nei sistemi
  • Sviluppare una indagine informatica forense a distanza di mesi dal breach rischia di essere estremamente complesso e potrebbe non permettere di identificare elementi significativi.

La Forensics Readiness prevede di raccogliere preventivamente le "prove" e salvaguardarne Integritò disponibilità e Autenticità

L'adozione della Forensics Readiness passa per la definzioni di: Policy, Plan e Procedure.

'Forensic Readiness Policy: Obiettivi, Ruoli e responsabilità, Implementazione, Ambito applicazione, Legislazione e Training

Forensic Readiness Plan: Ruoli e Responsabilità, Team Specialisti (int/ext), Risorse (Economiche, Apparati e software, Storage, etc…), Task Flow, Testing, Training & awareness

Forensics Readiness Procedure: Raccolta evidenze (Live, Post mortem, Network, etc…), Procedure di analisi, Reporting, Procedure


Per poter implementare una approccio in termini di Forensics Readiness è necessaria una valutazione dei seguenti elementi che andranno declinati in procedure operative.

  • Identificare le possibili fonti e i diversi tipi di evidenze digitali utili al business
  • Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali
  • Individuare e definire le risorse necessarie per la raccolta sicura di evidenze digitali in modo tale da renderle legally-compliant
  • Riesamina delle risorse allocate per conservazione protezione delle mail.
  • Stabilire una Policy per la gestione e la conservazione sicura delle potenziali sorgenti di informazione
  • Implementare e assicurarsi che il sistema di monitoraggio sia in grado di rilevare i principali incidenti
  • Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa
  • Formare e sensibilizzare lo staff alle problematiche degli incidenti per comprendere il loro ruolo nella gestione delle prove in un contesto di ammissibilità legale
  • Documentare i casi reali descrivendo l’incidente e il suo impatto
  • Assicurare una review legale delle procedure per agevolare le azioni di risposta all’incidente
  • Definire gli scenari del business aziendale che possono richiedere evidenze digitali
  • Assicurarsi che i contratti gli SLA con in fornitori soddisfino i requisiti e gli obiettivi dei per la forensics readiness.

A livello di Operational la Forensics Readiness richiede che l'infrastruttura sia dotata di:

  • NTP Server e allineamento di tutti i sistemi con il Time Server
  • DNS Censimento di tutti i sistemi in formato fqdn
  • DHCP
  • Directory Server o IAM per la gestione delle credenziali di sicurezza logica
  • Sistema AAA per Server e dispositivi di rete

Assumendo di disporre di questa infrastruttura la raccolta "preventiva" delle evidence avviene attraverso la remotizzazione sicura dei log di sistema su un sistema SIEM
A titolo di esempio non esaustivo possono essere raccolta, in ragione degli obiettivi di "readiness" che ci siamo dati i seguenti

Infrastruttura IT

* Router
* Firewalls
* Terminatore VPN
* Switch
* Server: log di sistema operativo
* Antivirus
* Server di posta

Servizi IT

* Reverse Proxy
* Application server
* Applicativo in esecuzione sull’AS
* Database audit log (tuned!)
* Log servizi :SAP, CRM, SharePoint, print server, controllo accessi etc..

L'infrastuttura SIEM si occuperà delle fasi di

  • Raccolta
  • Parsing
  • Correlazione
  • Analisi Allarme
  • Storicizzazione Tamper Proof

degli eventi di sistema e degli eventi di sicurezza in modo che possano essere recuperati ed elaborati a prescindere dal fatto che un agente di minaccia li abbia cancellati dai server.

Se al SIEM si aggiungono elementi com cyber Intellingece threath da fonti aperte e risultati di vulnerability assessment possono essere sviluppate regole di correlazione e allarmi che possano identificare preventivamente azioni diattacco o situazioni di breach. A titolo esemplificativo

IoA: Indicator of Attack
* Track connessioni «legittime» incoming da Bad IP sui log source
* Drop/Reject connessioni incoming da bad IP su FW
* Network scan
* Off Hours internal activity

IoC: Indicator of Compromission
* Connessioni outgoing «legittimo» verso Bad IP
* Drop/reject connessioni verso Bad IP
* Multiple failed login from single host
* Multiple login with single username from differente region
* Traffico DNS in uscita
* Errori nei log
* Errori log applicativi

L'Adozione di una Modalità "Forensics Readiness" permette di identificare preventivamente azioni dannose, identificare tempestivamente breach, ma sopratutto di raccogliere e salvaguardare le evidence informatiche di un breach indipendentemente dalle azioni distruttive che l'agente di minaccia abbia messo in atto. con un approccio Forensic Readiness è possibile svolgere in ogni momento una indagine e perizia informatica forense disponende delle prove informatiche