Sicurezza

Pmi, come identificare e valutare le minacce in un processo di analisi del rischio

La minaccia deve essere associata a una probabilità di accadimento, abbinando la valutazione di impatto dei dati trattati rispetto alla singola caratteristica RID, in modo da poter rilevare il rischio correlato a quella specifica minaccia. Come fornire dei coerenti giudizi di verosimiglianza

05 Mag 2020

Alberto Stefani

data protection officer, consulente cybersecurity

Nell’articolato processo necessario a strutturare una corretta analisi dei rischi, un ruolo molto importante è rappresentato dalle possibili minacce che possono improvvisamente compromettere la riservatezza, l’integrità o la disponibilità (parametri RID) delle informazioni aziendali.

Cosa si intende con il termine minaccia

Con il termine minaccia si intende un qualsiasi elemento (naturale, tecnico che sia deliberato e non deliberato attuato attraverso l’inganno) che possa comportare un rischio di alterazione dei dati e quindi, in ultima analisi, possa determinare un impatto sui soggetti interessati.

Ciascuna minaccia deve prontamente essere messa in relazione alla caratteristica RID che va a impattare e all’asset interessato (es. hardware, software, supporti cartacei, ecc.). In questo modo è possibile effettuare una prima valutazione, secondo le regole di calcolo del rischio.

La minaccia deve essere associata a una probabilità di accadimento. Abbinando la valutazione di impatto dei dati trattati rispetto alla singola caratteristica RID con la probabilità di accadimento. Facendo questo è possibile valutare il rischio correlato a quella specifica minaccia.

Per aiutare il titolare del trattamento nel non facile compito di analizzare l’ambiente e le possibili minacce che possono occorrere, sono stati nel tempo elaborati diversi elenchi di possibili minacce. Tali elenchi sono il frutto del lavoro di diversi organismi internazionali preposti a dare le indicazioni e le linee guida principali in materia.

Analisi del rischio, documenti e report

Tra le tante classificazioni proposte vogliamo ricordare l’allegato B (o Annex B) della normativa ISO/IEC 29134:2018. Lo standard ISO/IEC 29134: 2018 “Information technology – Security techniques – Guidelines for privacy impact assessment” fornisce utili linee guida per lo svolgimento della valutazione di impatto sulla protezione dei dati (“privacy impact assessment “PIA), riporta linee guida allineate alle indicazioni fornite dal Gruppo di lavoro ex art. 29 in tema di Data Protection Impact Assessment (DPIA).

In particolare lo standard ISO 29134 è un processo che considera l’impatto potenziale degli asset utilizzati per il trattamento dei dati quali altri processi, servizi IT e relativa infrastruttura IT (HW, SW, connettività in un’ottica di “privacy by design”. Il risultato del processo di valutazione di impatto è quindi un report (“PIA Report”).

Altro documento importante è redatto da Enisa, l’Agenzia Europea per la Network and Information Security, che rilascia puntualmente (l’ultimo è di gennaio2019) un approfondito report Enisa Threat Landscape Report 2018 – 15 Top Cyberthreats and Trends (ETL2018), che è possibile scaricare gratuitamente dal sito dell’organizzazione.

Si tratta di un documento sullo stato della cyber security nell’Unione Europea e a livello globale, dal punto di vista degli esperti di Enisa, che stilano ogni anno una fotografia con riferimento alle minacce più avvertite, crimini cyber ed altri accadimenti avvenuti nell’anno precedente con un considerevole impatto sui sistemi.

L’Enisa Threat Landscape (ETL) fornisce una panoramica delle minacce, insieme alle tendenze attuali ed emergenti. Si basa su dati disponibili al pubblico e offre una visione indipendente delle minacce osservate, degli agenti e delle tendenze del “mercato”.

L’ETL è costituito da un elenco con le principali minacce in ordine di priorità in base alla frequenza di comparsa e non in base all’impatto causato.

Le minacce più comuni per le pmi

È superfluo ricordare che le minacce non sono rappresentate solo ed esclusivamente da attacchi fisici a infrastrutture, apparati e risorse hardware e software; esistono diverse minacce non IT altrettanto meritevoli della massima attenzione, quali attacchi di ingegneria sociale e spionaggio industriale volti alla conoscenza di informazioni sensibili sull’azienda o sui suoi membri.

Di seguito, andremo ad indicare, un elenco rappresentativo delle minacce più comuni che possono interessare una pmi e che sono da considerare e da giudicare da qualsiasi titolare del trattamento che si appresti a creare il proprio documento di valutazione dei rischi.

  • Danni fisici: rientrano in questa categoria azioni offensive finalizzate a distruggere, esporre, alterare, disabilitare, sottrarre o ottenere l’accesso non autorizzato a risorse fisiche come l’infrastruttura, l’hardware o l’interconnessione. Possono rientrare in questa categoria atti di vandalismo, furto, sabotaggio, perdita di informazioni e attacchi massivi. Questo tipo di minaccia può ovviamente riguardare qualsiasi tipo di infrastruttura e dunque anche quella Internet. Ad esempio incendio, furto di dispositivi.
  • Eventi naturali: eventi che possono distruggere, danneggiare o rendere irrecuperabili risorse fisiche come l’infrastruttura, l’hardware o l’interconnessione. Ad esempio fenomeni climatici.
  • Perdita di servizi essenziali: sono rappresentati da interruzioni, perdite o malfunzionamenti dei servizi accessori fondamentali per il corretto funzionamento dell’infrastruttura hardware o di interconnessione alle reti informatiche e dati. Ad esempio interruzioni nei collegamenti di rete.
  • Disturbi: sono rappresentati dai disturbi elettromagnetici o di contorno che possono causare interruzioni o malfunzionamenti dell’infrastruttura hardware o di interconnessione. Ad esempio disturbi di rete di tipo intermittente o continuo.
  • Compromissione di informazioni: le ‘intercettazioni’ si riferiscono ad azioni mirate ad ascoltare, interrompere o prendere il controllo di una comunicazione di terzi senza il consenso; le minacce ‘legali’ comprendono la violazione di norme e leggi, nonché il mancato rispetto dei requisiti contrattuali da parte di prestatori di servizi verso gli utilizzatori dell’infrastruttura di rete. Ad esempio furto di documenti o di supporti di memorizzazione.
  • Problemi tecnici: lo status di ‘insufficiente o mancato funzionamento’ dell’infrastruttura è definita come guasto o malfunzionamento. Ne sono esempi guasti o interruzioni di dispositivi di rete o sistemi, bug di software o errori di configurazione; le ‘interruzioni’ sono disordini inattesi del servizio o riduzione della qualità che scendono al di sotto di un livello richiesto. Ad esempio problemi ai software, uso dei servizi da parte di persone non autorizzate.
  • Azioni non autorizzate: sono azioni che mirano ai sistemi, alle infrastrutture e/o alle reti mediante azioni dannose; le minacce comuni sono generalmente definite come attacchi informatici e azioni correlate (ad es. spam, malware, spyware, botnet, manipolazione di hardware e software, alterazioni delle configurazioni, DDoS, sfruttamento di bug software, violazione di dati, furto di identità).
  • Compromissione di funzioni e attacchi di ingegneria sociale: il ‘danno involontario’ o accidentale si riferisce a distruzione, danni fisici e perdite di informazioni per lo più dovuti ad alterazioni del sistema o all’utilizzo inadeguato dei sistemi; sono danni veicolati attraverso una serie di tecniche basate su processi cognitivi di influenzamento, inganno e manipolazione che, sfruttando l’ingenua disponibilità e buona fede dell’attaccato, ma talvolta anche la sua ignoranza e poca attenzione, sono finalizzate all’ottenimento di informazioni riservate o sensibili. Ad esempio attacchi phishing, divulgazione involontaria delle informazioni.

I valori da assegnare alla verosimiglianza

Una volta stilato un esaustivo elenco di tutte le possibili minacce suddivise per categoria o area di influenza è necessario procedere con un giudizio il quanto più possibile coerente e severo del contesto in cui si opera.

Di seguito riportiamo i valori da assegnare alla verosimiglianza cioè alla probabilità che tale minaccia si realizzi.

Valore numerico assegnato: 1

Tipologia di minaccia: BASSA

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Linee guida per la verosimiglianza: è applicabile ad almeno uno dei seguenti:

– la minaccia si può verificare con frequenza inferiore rispetto a quanto riportato dalle ricerche più note;

– in caso di attacco deliberato, i dati sono poco appetibili e l’immagine aziendale non è compromessa e pertanto i tentativi di attacco o non sono iniziati o sono condotti da malintenzionati scarsamente preparati da un punto di vista tecnico e con scarse risorse a disposizione.

– in caso di attacco non deliberato, l’ambito è poco complesso e quindi è difficile commettere errori;

– in caso di eventi naturali, gli studi dimostrano che la minaccia può verificarsi molto raramente.

Valore numerico assegnato: 2

Tipologia di minaccia: MEDIA

Linee guida per la verosimiglianza: è applicabile ad almeno uno dei seguenti:

– la minaccia si può verificare secondo quanto riportato dalle ricerche più note;

– in caso di attacco deliberato, i dati sono poco appetibili e l’immagine aziendale non è compromessa e quindi può essere condotto da malintenzionati non particolarmente motivati, mediamente preparati da un punto di vista tecnico e con scarse risorse a disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque rari;

– in caso di attacco non deliberato, l’ambito è mediamente complesso e quindi possono essere commessi errori;

– in caso di eventi naturali, gli studi dimostrano che la minaccia può verificarsi nella media dei casi studiati.

Valore numerico assegnato: 3

Tipologia di minaccia: ALTA

Linee guida per la verosimiglianza: è applicabile ad almeno uno dei seguenti:

– la minaccia si può verificare più frequentemente rispetto a quanto riportato dalle ricerche più note;

– in caso di attacco deliberato, i dati sono appetibili o l’immagine aziendale è compromessa, e quindi può essere condotto da malintenzionati molto motivati, tecnicamente preparati e con ingenti risorse a disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque portati molto di frequente;

– in caso di attacco non deliberato, l’ambito è di elevata complessità (per esempio per molteplicità di sedi, tipologie di sistemi informatici, utenti interni e/o esterni) e quindi è facile siano commessi errori;

– in caso di eventi naturali, gli studi dimostrano che la minaccia si verifica quasi certamente.

Un esempio pratico

Volendo fare un esempio del processo da attuare consideriamo:

Categoria: compromissione di informazioni

Minaccia: uso dei servizi da parte di persone non autorizzate

Parametri RID coinvolti: RI

Verosimiglianza: 2

I parametri appena considerati consentono di effettuare un calcolo del rischio base o “rischio inerente” associato al trattamento ed alla singola minaccia. Tale valore viene calcolato nel seguente modo:

Rischio Base (per singola minaccia) = Impatto RID x Probabilità minaccia= max (3,1) x 2= 6.

È opportuno ricordare che nel considerare gli impatti la valutazione è fondata su logiche e principi di natura “prudenziale”. In considerazione del fatto che la probabilità del verificarsi di eventi di natura corruttiva non può essere stimata in maniera affidabile (anche per via dell’assenza di informazioni sufficientemente strutturate), è opportuno riferirsi a metodiche fondate sul cd. worst case scenario, al fine di individuare e porre in essere adeguate misure preventive.

Con il termine “rischio base” o “rischio inerente” si indica il valore del rischio di impatto sul parametro RID dei dati personali oggetto di trattamento, senza prendere in considerazione l’applicazione delle contromisure di sicurezza che concorrono nel processo di riduzione del rischio.

In base alle misure di sicurezza applicate e ai controlli eseguiti nel trattamento, andremo a ridurre la probabilità/frequenza di accadimento e/o l’impatto per le varie tipologie di rischio analizzate. Si potrà così calcolare il rischio effettivo netto (cioè ridotto dalle contromisure di sicurezza applicate).

La riduzione del livello di rischio, dal rischio base al rischio netto, rappresenta l’efficacia delle misure di sicurezza applicate e dovrebbe evidenziare gli interventi/investimenti fatti per garantire la “sicurezza” all’interno dell’azienda.

L’analisi delle contromisure adottate sarà un altro passaggio da compiere per il titolare del trattamento che potrà riorganizzare eventualmente la propria realtà basandosi sulle linee guida fornite da norme specifiche (es. UNI CEI EN ISO/IEC 27001:2017) adattandole e plasmandole sulla propria realtà aziendale in base al contesto e al budget disponibile.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

@RIPRODUZIONE RISERVATA
S
Alberto Stefani
data protection officer, consulente cybersecurity

Articolo 1 di 5