cyber risk, sicurezza

CYBER RISKS : una simulazione dei loro effetti e disastri nel mondo reale

Con la crescita dell’economia DIGITALE, è necessario conoscere quali sono le minacce (“CYBER RISK”) che l’anno scorso hanno coinvolto 2 italiani su 3, alle prese con con un crimine informatico: il 55% si è trovato un device infettato da virus o altre minacce, al 41% è stato notificato che le proprie informazioni sensibili sono state compromesse a seguito di una violazione di dati, il 40% ha risposto a una email fasulla fornendo informazioni personali o finanziarie (Fonte :Symantec)

Il filmato , tradotto dal video dell’assicuratore specializzato in “Cyber Risk” HISCOX, mette a fuoco come si traducono nella vita reale e quotidiana gli attacchi informatici ai danni dell’Azienda, della sua reputazione e le perdite di affari che ne conseguono.

Ecco una serie di frodi online che si possono prevenire con apposite misure di sicurezza ed assicurare, con polizze speciali, e dare tranquillità alle aziende.

Malware

Gli hacker hanno inviato una e-mail di phishing con un allegato  un documento di testo fasullo a un membro del team di account all’interno di una piccola azienda di commercialisti. All’apertura dello allegato, è stato installato automaticamente un pezzo di software per la registrazione delle chiavi che consentiva agli hacker di raccogliere dati di accesso cruciali e quindi accedere al portale bancario dell’azienda con le credenziali di uno dei loro utenti.L’assicurato è stato contattato dalla banca dopo che gli hacker avevano avviato diversi bonifici bancari e lotti ACH dal conto dell’assicurato a conti situati in Nigeria. Dopo aver verificato con l’utente le cui credenziali erano state utilizzate per istruire le transazioni, l’azienda ha incaricato una società di informatica forense per stabilire cosa era successo e
rimuovere il malware dal sistema. Dopo essere riuscito a richiamare alcuni dei bonifici bancari, l’azienda è rimasta con 164.000 sterline persi in furti di fondi elettronici e costi di 15.000 sterline per il lavoro di informatica forense.

Phishing
Il controllore finanziario di un piccolo studio legale ricevette una telefonata da qualcuno che pretendeva di provenire dalla banca della compagnia, avvisando che alcuni bonifici sospetti erano stati segnalati sul conto commerciale. Il chiamante ha insistito sul fatto che l’azienda potrebbe aver già rubato dei fondi dal suo conto e si è trovata in pericolo immediato che tutti i fondi rimanenti siano stati svuotati a meno che non abbiano bloccato il conto, per il quale la banca avrebbe dovuto dirgli la password e il PIN codice.
Non volendo essere la causa di ulteriori perdite, il controllore finanziario ha confermato il codice pin e la password al chiamante, che ha poi confermato che il blocco era stato applicato con successo e che sarebbero stati nuovamente in contatto una volta risolta la situazione.Dopo aver chiamato la banca il giorno successivo per il check-in, il controllore finanziario è stato informato che la banca non era stata effettivamente in contatto e che 89.991 sterline erano state collegate a tre conti all’estero in nove transazioni separate.Ormai era troppo tardi per ricordare le transazioni e apparentemente erano state autorizzate, nessun rimborso era stato offerto dalla banca.

Hacking telefonico
Una società di broker assicurativo ha recentemente installato un nuovo sistema telefonico VOIP (web hosted) nei propri uffici per ridurre i costi delle chiamate. I truffatori sono riusciti a utilizzare un pezzo di software per decifrare la password della rete telefonica e hanno programmato il sistema telefonico per effettuare ripetutamente chiamate a un numero a tariffa premium di loro proprietà.
Un mese dopo, l’azienda è stata contattata dal proprio fornitore di rete telefonica per confermare di aver accumulato £ 25.000 di chiamate. Nonostante confermino di essere state le vittime dell’hacking, la compagnia telefonica ha insistito sul pagamento del conto in sospeso.


Ransomware
Il titolare di uno studio medico privato ha acceso il suo computer il lunedì mattina per essere accolto con un messaggio che dichiarava che ogni singolo record dei pazienti sulla rete era stato crittografato e che una somma di £ 30.000 doveva essere pagata in bitcoin in cambio della chiave di decodifica.
L’assicurato ha contattato una società di informatica legale che ha confermato che il livello di crittografia significava che sarebbe stato quasi impossibile accedere ai dati senza la chiave di crittografia e che l’unica altra alternativa era cancellare la rete del ransomware e cio’ poteva portare a cancellare tutti i file di dati. Era trascorso una settimana dall’ultimo backup del software, il che significava che i dati critici del paziente sarebbero andati persi – e quindi il riscatto era stato pagato. Forensics è stato poi ingaggiato per rimuovere qualsiasi malware rimanente dalla rete al costo di £ 10.000. Costo del sinistro £ 40.000.


CEO Fraud
Un indirizzo e-mail fraudolento e quasi identico per l’amministratore delegato di un imprenditore edile di medie dimensioni è stato creato da truffatori che lo hanno utilizzato per istruire un individuo nel reparto contabilità a effettuare un bonifico bancario di £ 50.000 a un nuovo fornitore di materiali. L’e-mail dichiarava che il nuovo fornitore veniva utilizzato per reperire materiali aggiuntivi per un lavoro cruciale e che il pagamento doveva essere effettuato con urgenza per garantire la consegna delle merci.
L’e-mail è stata inviata mentre il manager era in vacanza in modo tale che non fosse possibile effettuare alcuna verifica faccia a faccia. Il conto a cui erano stati trasferiti i fondi in realtà apparteneva ai truffatori che erano in grado di recuperare il denaro prima che la transazione potesse essere richiamata.I cinesi sfruttano i commercianti di armi informatiche per diffondere malware.

 

Per conoscere maggiori dettagli sulle “adeguate misure di sicurezza” di cui all’art. 32 del GDPR, sui corsi di formazione per i dipendenti relativi alla protezione privacy come richiesti da Regolamento Europeo sul Trattamento dei Dati EU 679/2016 e quali assicurazioni coprono l’azienda dai cyber-risks , GOLINUCCI srl è a vostra disposizione . email dpo@golinucci.it , telefono 0547 22351.

https://www.golinucci.it/prodotti-e-servizi/per-le-aziende/cyber-risk

https://www.golinucci.it/prodotti-e-servizi/sicurezza-e-privacy/gdpr-privacy-e-sicurezza

sicurezza

Prima sanzione GDPR da € 400.000 emessa contro ospedale per tre violazioni.

 Il Centro Hospitalar Barreiro Montijo, nei pressi di Lisbona (Portogallo) è stato multato per 400.000 euro per aver violato il Regolamento generale sulla protezione dei dati (GDPR Eu 679/16) applicabile in tutti i Paesi dell’Unione Europea.

GDPR -HOSPITAL
L’autorità di controllo del Paese,CNPD Comissão Nacional de Protecção de Dados, ha rilevato che ci sono state tre violazioni del GDPR. La prima era una violazione dell’articolo 5, paragrafo 1, lettera c), relativo alla “ minimizzazione dei dati  (“i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per i quali sono trattati”) , consentendo l’accesso indiscriminato a un numero eccessivo di utenti e una violazione dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di elaborazione dei dati, con una multa di 150.000 euro.
Il secondo, una violazione dell’integrità e della riservatezza dovuta alla mancata applicazione di misure tecniche e organizzative per impedire l’accesso illecito ai dati personali ai sensi dell’articolo 5, paragrafo 1, lettera f), e anche dell’articolo 83, paragrafo 5, lettera a), una violazione dei principi di base di elaborazione. Per queste violazioni  la multa è stata di 150.000 euro.LOGOgolinucci gdpr

Entrambe le violazioni erano punibili con una multa fino a 20 milioni di euro o il 4 per cento del fatturato totale annuo. Infine, il CNPD ha sanzionato l’articolo 32, paragrafo 1, lettera b), l‘incapacità del convenuto di garantire la costante riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento nonché la mancata attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, compreso un processo per testare, valutare e valutare regolarmente le misure tecniche e organizzative per garantire la sicurezza del trattamento. Per questa violazione la multa e’ stata di 100.000 euro, anche se l’ammenda massima era di 10 milioni di euro al 2 percento del fatturato totale annuo. La difesa presentata dall’ospedale riferiva che il CNPD non poteva essere considerato l’autorità di controllo di cui all’articolo 51 perché non era stato ancora nominato formalmente. A tal fine, la CNPD ha risposto che è, a tutti gli effetti, l’autorità nazionale che ha il potere di controllare e supervisionare la conformità in termini di protezione dei dati in conformità con l’attuale legge portoghese sulla protezione dei dati.Inoltre, tra le sue argomentazioni  vi era che l’ospedale usava il sistema informatico fornito agli ospedali pubblici dal Ministero della Salute portoghese e non i suoi sistemi. Questi i fatti provati dal CNPD:

 

• Non c’era alcun documento contenente la corrispondenza tra le competenze funzionali degli utenti e i profili per l’accesso alle informazioni (comprese le informazioni cliniche).

Non esisteva inoltre un documento che definisse le regole per la creazione di utenti del sistema informativo dell’ospedale.

Nove dipendenti tecnici hanno goduto del livello di accesso riservato al gruppo medico, il che ha portato alla possibilità indiscriminata di tali dipendenti di consultare le cartelle cliniche di tutti gli utenti dell’ospedale.

Esistenza di credenziali di accesso che consentivano a qualsiasi medico, indipendentemente dalla sua specialità, di accedere in qualsiasi momento ai dati dei clienti di un ospedale. Questo è stato considerato come una violazione del principio del “bisogno di sapere” e del principio della “minimizzazione dei dati”.

gdpr1

• Ci sono stati 985 utenti associati al profilo “dottore”, ma nelle cartelle ufficiali dello ospedale ci sono solo 296 medici in quell’ospedale.

 

• Manutenzione di profili inutili per medici che non forniscono più servizi all’ospedale.

• C’erano solo 18 account utente che erano inattivi e l’ultimo è stato disattivato a novembre 2016.

• Il convenuto ha agito in modo libero e volontario e  consapevole del fatto che i suoi atti sono proibiti dalla legge.

Nel determinare l’importo dell’ammenda, che era relativamente basso considerando quello che avrebbe potuto essere, il CNPD ha considerato quanto segue, in conformità con l’articolo 83 (1) (a-k):

La natura, la gravità e la durata dell’infrazione tenendo conto dell’ambito naturale o della finalità del trattamento, nonché il numero di interessati. È stato inoltre considerato pertinente il fatto che i dati personali coinvolti fossero categorie speciali di dati, compresi i dati sanitari, che hanno aumentato in modo significativo il rischio di danni agli interessati.

• Possibile frode: il convenuto rappresentava la pratica della cattiva condotta come una possibile conseguenza della condotta e conforme ad essa.

• L’iniziativa del convenuto di mitigare i danni subiti dagli interessati.

• Il grado di responsabilità del convenuto, tenendo conto delle misure tecniche e organizzative attuate.

• Non ci sono state infrazioni precedenti.

• Grado di cooperazione con il CNPD al fine di porre rimedio all’infrazione e mitigarne i possibili effetti negativi.

barreiro-fine-2• Come il CNPD ha appreso dell’infrazione, in quanto non è stato comunicato dall’ospedale, ma è stato conosciuto attraverso i media e successivamente confermato dall’ispezione CNPD.
Nel determinare l’ammontare della sanzione, il CNPD ha anche considerato il fatto che il convenuto ha adottato misure per regolarizzare la situazione.
Il fatto sorprendente di questa multa è che il CNPD ha agito su un articolo di giornale e non su una denuncia. Da ciò riteniamo che fosse particolarmente rilevante per il CNPD in quanto non c’erano procedure documentate per l’accesso ai dati, ma anche che i dati coinvolti erano categorie speciali di dati. 

Source : https://iapp.org The International Association of Privacy Professionals ( di cui Golinucci srl e’ associato)

GOLINUCCI srl offre servizi per la protezione assicurativa dai CYBER ATTACKS e di assistenza e consulenza per la tutela della privacy in conformità con il GDPR anche attraverso la fornitura di strumenti per la gestione sicura della posta elettronica, delle password aziendali  e delle reti. Per info : privacy@golinucci.it

polizze vita

2019 : l’anno della protezione da CYBER ATTACK e DATA BREACH

I gravi attacchi informatici degli ultimi giorni ad azienda italiana del settore della ceramica, a studi legali che gestiscono i sinistri dell’attacco alle Twin Towers dell’ 11 settembre 2001 a NYC e a personalita’ pubbliche e politiche tedesche mettono in luce che anche nel  2019 Tutela Privacy e Cybersecurity saranno lo scudo da rinforzare maggiormente per la protezione delle aziende e dei cittadini di fronte ai crescenti “danni immateriali” ma dall’impatto enorme dal punto di vista economico  ( come danni a terzi e propri per la perdita di dati e della reputazione ) che i “Cyber attacks” producono quotidianamente in tutto il mondo

Il 2018 è stato l’anno della privacy. A marzo e’ esploso lo scandalo “Facebook – Cambrdge Analytica” con la violazione dati su decine di milioni di utenti Facebook  A maggio, è entrato in vigore il regolamento generale di protezione dei dati dell’Unione europea (GDPR EU 679/16) , la legge sulla privacy più rigorosa al mondo. Questi eventi sono sintomi di grandi, profondi cambiamenti nel mondo della privacy e della sicurezza dei dati che hanno implicazioni importanti per come le organizzazioni pensano e gestiscono entrambi: la privacy e la sicurezza stanno convergendo, grazie alla crescita di grandi dati e apprendimento automatico.

GOLINUCCI srl offre servizi per la protezione assicurativa dai CYBER ATTACKS e di assistenza e consulenza per la tutela della privacy in conformità con il GDPR anche attraverso la fornitura di strumenti per la gestione sicura della posta elettronica, delle password aziendali  e delle reti. Per info : privacy@golinucci.it

Attacco hacker alla ceramica Iris group.

Nelle scorse settimane il gruppo ha subito un black out informatico di 48 ore a causa di un hackeraggio avvenuto molto probabilmente via mail. Gli autori hanno chiesto all’azienda un riscatto di 950mila euro ed è stata presentata denuncia alla polizia postale.«Forse – spiega il ceo di Iris group, Federica Minozzi – qualcuno dei nostri dipendenti ha aperto inavvertitamente una di queste mail e nel giro di poche ore tutta la rete si è praticamente spenta. Fortunatamente noi abbiamo una squadra di 18 tecnici informatici che hanno lavorato 48 ore giorno e notte per ripristinare il funzionamento del sistema in tutte le fabbriche».Il virus utilizzato potrebbe essere del tipo ‘Zero-day’, un maleware sconosciuto per il quale la protezione antivirus non è ancora disponibile. Iris ceramica non ha pagato alcun riscatto ripristinando autonomamente il sistema.   https://www.ilrestodelcarlino.it/modena/cronaca/attacco-hacker-iris-1.4364752

clicca qui per articolo su Il Resto del Carlino 28/12/2018

ttcg

Assicuratori e Studi Legali Attaccati

L’FBI sta indagando sul furto di 18.000  documenti legali e assicurativi relativi agli attacchi dell’11 settembre  2001 al World Trade Center da parte di un hacker con lunga esperienza in tema di riscatti informatici , secondo due persone che hanno familiarità con la questione. Pubblicando con il nome “The Dark Overlord”, l’hacker ha affermato che a Capodanno ha preso e-mail e documenti segreti relativi agli attacchi dell’11 settembre 2011 che sono stati inviati e ricevuti da gruppi inclusi gli assicuratori Hiscox e Lloyd’s di Londra e lo studio legale Blackwell Sanders Peper Martin, ora chiamato Husch Blackwell. The Dark Overlord ha detto che venderà i documenti in bitcoin, invitando Isis, al-Qaeda e Stati nazione a fare offerte online.

Mercoledì, le immagini di alcuni documenti hanno iniziato a circolare su Internet dopo che il gruppo ha rilasciato le chiavi di decifrazione. Le immagini sembravano mostrare comunicazioni relative al World Trade Center. L’Assicuratore Hiscox ha detto di aver saputo lo scorso aprile che i sistemi utilizzati da uno dei suoi consulenti legali erano stati violati.”I sistemi dello studio legale non sono collegati all’infrastruttura IT di Hiscox e i sistemi di Hiscox non sono stati interessati da questo incidente”, ha detto un portavoce. “Uno dei casi in cui lo studio legale ha gestito Hiscox e altri assicuratori relativi a contenziosi derivanti dagli eventi dell’11 settembre, e crediamo che le informazioni relative a questosiano state rubate durante tale violazione”.

Gli attacchi dell’11 settembre sono costati all’industria assicurativa l’equivalente di $ 45 miliardi nel 2017, secondo l’Insurance Information Institute, e hanno portato ad anni di contenziosi su chi dovrebbe sostenerne i costi. Sia Hiscox che Lloyd’s si sono espansi pesantemente nell’assicurazione CYBER negli ultimi anni, vendendo protezione contro i costi legati alla gestione degli attacchi informatici. Husch Blackwell ha dichiarato di non essere stato hackerato: “Diversi documenti recanti la carta intestata di uno studio legale precedente a Husch Blackwell sono stati resi noti all’inizio di questa settimana da un gruppo di cyber-terroristi”, ha detto la società in una nota.

Nel 2017 il National Cyber ​​Security Center del Regno Unito ha avvertito che le organizzazioni con informazioni personali sensibili come istituzioni mediche e studi legali erano a rischio da The Dark Overlord.

Estratto da Financial Times 02/01/2019 9/11 documents hacked from insurers and lawyers . https://www.ft.com/content/b39a8526-0eb2-11e9-a3aa-118c761d2745

Politici tedeschi presi di mira nell’attacco informatico

La maggior parte dei partiti tranne la destra estrema l’ha definita una delle peggiori perdite di dati della Germania. Gli hacker hanno divulgato i dati personali di centinaia di politici, giornalisti e celebrità tedesche, in quella che viene descritta come una delle peggiori violazioni alla sicurezza informatica del paese.

Le informazioni trapelate includevano i numeri e gli indirizzi dei cellulari dei parlamentari, le loro e-mail, le chat internet e i dati della carta di credito. Sono state inoltre pubblicate copie di Carte di identità personali e contratti di noleggio, nonché messaggi di posta vocale di partner e bambini.Tutti i principali partiti politici del paese sono stati colpiti, a parte l’alternativa di estrema destra per la Germania. Sono stati trapelati anche alcuni dati appartenenti alla cancelliera Angela Merkel. Il ministro della giustizia tedesco Katarina Barley ha detto che i responsabili “vogliono danneggiare la fiducia nella nostra democrazia e nelle sue istituzioni” e hanno chiesto che i loro motivi politici siano indagati il ​​più rapidamente possibile. “Ai criminali e ai loro sostenitori non può essere permesso di guidare il dibattito nel nostro paese”, ha aggiunto.

I media tedeschi hanno detto che gli hacker hanno iniziato a pubblicare i dati su Twitter il 1 ° dicembre dello scorso anno, anche se i partiti politici si sono resi conto della fuga di giovedì di questa settimana. È stato progettato per funzionare come un calendario dell’Avvento, con nuove cache di informazioni pubblicate ogni giorno.

Gli obiettivi iniziali erano celebrità come il comico Jan Böhmermann, il produttore di video online LeFloid e il rapper Sido. Dal 20 dicembre in poi, sono state pubblicate informazioni sui parlamentari, compresi i legislatori del Parlamento europeo, del Bundestag e di alcune delle 16 legislature regionali tedesche.

l profilo dell’account Twitter che conteneva i collegamenti ai dati – @ _0rbit – conteneva le parole “Security Researching”, “Artist” e “Satire”. È stato bloccato venerdì mattina. Twitter ha affermato che la pubblicazione non autorizzata di informazioni private ha violato le regole della piattaforma. Le autorità hanno preso l’incidente “molto, molto seriamente”, ha detto la portavoce del governo Martina Fietz, e stavano “lavorando sodo” per indagare sulla sua”portata e background” e offrendo assistenza alle persone colpite.

Thomas Jarzombek, deputato cristiano-democratico e uno dei principali esperti del partito in materia di informatica, ha affermato che i dati sono stati violati dagli account di posta privata dei parlamentari e dai social media come Facebook e Twitter, piuttosto chedai loro account di lavoro presso il Bundestag. Le autorità hanno confermato che la rete informatica del governo, utilizzata per le comunicazioni più sensibili, non è stata influenzata.

Le chat via Internet che erano trapelate erano state prese da Facebook Messenger, ha detto Jarzombek. Almeno due colleghi hanno notato irregolarità con i loro account di posta elettronica nei mesi precedenti l’hack, ha aggiunto. Uno era stato escluso dal suo account e aveva riacquistato l’accesso solo dopo essersi lamentato con il suo fornitore.

La violazione dei dati arriva tre anni dopo un grosso assalto alla rete di computer del Bundestag, che gli agenti disicurezza tedeschi hanno detto di essere stati portati avanti da hacker sostenuti dalla Russia che cercavano di intromettersi nelle elezioni federali del 2017.Gli agenti russi sono stati anche accusati di un attacco al sistema informatico del governo tedesco lo scorso anno.

Estratto da Financial Times 04/01/2019  “German politicians targeted in cyber attack”https://www.ft.com/content/00954878-0ffa-11e9-a3aa-118c761d2745