Articoli

Il Coronavirus fa l’uomo “ladro”: Intesa San Paolo e Monte Paschi nel mirino banking trojan

Nuova epidemia di Coronavirus: quali tutele per la sicurezza informatica?

 

Come preannuciato in un post del mese scorso, accanto alla pandemia “umana” si è diffusa una nuova forma di epidemia virale, che sfrutta il timore di massa generato dal Coronavirus. I primi paesi colpiti dagli attacchi sono stati Giappone, Cina, Regno Unito e Stati Uniti.

A seguito della pandemia che sta colpendo l’Italia, la Polizia postale ha segnalato l’emersione di nuovi casi di phishing. In particolare, l’attacco consiste in una mail inviata a nome della dottoressa Marchetti, presunta esperta dell’OMS.

La nuova strategia hacker consiste nell’invio di una mail, da una sedicente istituzione pubblica sulla salute, per fornire utili informazioni sul Coronavirus: le email rinviano ad istruzioni testuali o video, contenute in allegato file pdf, mp4 e docx, dove si annida il malware Emotet, uno dei più pericolosi diffusi via posta. Infine, come confermato dal rapporto Ibm, le e-mail terminano anche con un indirizzo postale legittimo, un numero di telefono e fax, per indurre l’utente a confidare nell’affidabilità del contenuto.

Si tratta di un banking trojan, che si esegue e va alla ricerca dei dati di accesso a banking online presenti nel pc.

La Polizia di stato ha inoltre individuato, nel corso degli ultimi giorni, una campagna di phishing ai danni degli utenti di Banca Intesa San Paolo e di Banca Monte Paschi di Siena, condotta grazie all’invio massivo di e-mail contenenti una falsa nota informativa rivolta alla tutela dei clienti dell’istituto di credito. Le e-mail invitano l’utente a prendere visione di una comunicazione urgente, relativa alla nota emergenza sanitaria per il Coronavirus COVID-19, contenuta in un link individuato in calce alla mail.

In tali casi, cliccando sul link, gli utenti vengono reindirizzati ad un sito di phishing ed invitati a digitare le proprie credenziali per l’home banking, che verranno poi utilizzati per depauperare il conto dei malcapitati.

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

 

 

 

/da

Il Corona Virus infetta anche online: nuovi malware per rubare dati personali

Malware “Coronavirus”: come agisce?

 

Nel corso degli ultimi giorni si sta diffondendo una nuova epidemia virale a livello globale, che sfrutta il timore di massa generato dal Coronavirus. I primi rapporti (Ibm, Kaspersky, Mimecast, KnowBe) segnalano una massiccia presenza del fenomeno in Giappone, che però si sta progressivamente manifestando anche nel Regno Unito e negli Stati Uniti.

La nuova strategia hacker si presenta come una campagna di email, inviate da una sedicente istituzione pubblica sulla salute, per fornire utili informazioni sul Coronavirus: le email rinviano ad istruzioni testuali o video, contenute in allegato file pdf, mp4 e docx, dove si annida il malware Emotet, uno dei più pericolosi diffusi via posta. Infine, come confermato dal rapporto Ibm, le e-mail terminano anche con un indirizzo postale legittimo, un numero di telefono e fax, per indurre l’utente a confidare nell’affidabilità del contenuto.

Sfruttando l’apprensione e la necessità di informazione, gli utenti meno accorti credono di scaricare un file all’apparenza innocuo.

Emotet è un banking trojan: se gli allegati sono aperti con un programma dotato di macro attive, il virus viene eseguito e va alla ricerca dei dati di accesso a banking online presenti nel pc.

Il malware, inoltre, trasforma il computer della vittima in uno strumento per diffondersi altrove: questi, infatti invia in automatico altre email simili, all’insaputa dell’utente, anche ai destinatari ricavati dai contatti della vittima.

 

 

 

L’importanza della formazione e della consulenza specialistica come fattore di prevenzione

 

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Pirateria Ransomware, nuove minacce: se paghi, ti costerà meno delle sanzioni GDPR

Nuove frontiere per la pirateria ransomware

 

Come visto nel precedente post, il ransomware è un programma informatico molto dannoso, perché capace di infettare un dispositivo o un server, impedendone di fatto l’operatività. La maggior parte dei pirati informatici, ormai, non si limita a crittografare i dati sui sistemi delle vittime, ma ne effettua una copia precisando che, in caso di mancato pagamento, tutti i dati e le informazioni rubate sarebbero stati venduti o resi pubblici.

 È questo, ad esempio, il caso di Sodinokibi, che in principio sfruttava una vulnerabilità in Oracle WebLogic per installarsi silente nei computer delle vittime, mentre ora il codice malevolo è inviato con email spam, relative a presunte comunicazioni legali con archivi compressi allegati.

 

Per rendere le minacce più serie, così da ottenere più efficacemente congrui riscatti, uno degli elementi utilizzati è quello di agitare il rischio di una multa ai sensi del nuovo GDPR.

La novità, in questo caso, è che la minaccia di diffondere e rendere pubblici i dati non fa leva sul timore di un danno reputazionale che potrebbe subire l’azienda o la PA: in questi casi, infatti, il cyber – criminale paventa l’attivazione del meccanismo sanzionatorio previsto dal GDPR, in caso di mancato pagamento del riscatto richiesto.

Con questa nuova tecnica, la vittima potrebbe preferire il pagamento del riscatto, piuttosto che incorrere in un eventuale procedimento di accertamento dell’Autorità Garante, che lo esporrebbe all’irrogazione di misure correttive, ma soprattutto di sanzioni amministrative pecuniarie.

 

 

L’importanza della formazione come fattore di prevenzione

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si suggeriscono, i seguenti percorsi formativi e di aggiornamento:

 

/da

PMI e Ransomware al bivio: in aumento del 200% i costi causati dagli attacchi

Perché il ransomware è così dannoso per le PMI?

Il ransomware è un programma informatico molto dannoso, perché è capace di infettare un dispositivo o un server, impedendone di fatto l’operatività: il programma, infatti, può bloccare l’accesso a molteplici contenuti (non solo file di testo, ma anche foto o video), imponendo all’utente il pagamento di un riscatto (attraverso Bitcoin o carta di credito) entro pochi giorni, prima che il blocco dei dati diventi definitivo.

Secondo la quarta edizione Global State of the Channel Ransomware Report, il rapporto tra PMI e ransomware sta diventando sempre più problematico: gli attacchi sono sempre più frequenti, e la mancata predisposizione di misure di protezione adeguate mina le risorse aziendali, dilatando i tempi di fermo e inattività.  Secondo i risultati della ricerca, infatti, il costo dell’interruzione di servizio causato da attacchi ransomware è addirittura 23 volte superiore alla stessa somma di riscatto richiesta, che in media è pari a 5.900 dollari.

In sintesi, l’incapacità di fronteggiare questi attacchi – divenuti ormai sempre più frequenti – genera notevoli perdite in termini di:

  • Costi;
  • Produttività;
  • Non da ultimo, di reputazione.

 

Quali sono le cause di questi attacchi? L’assenza di formazione adeguata

 

Il Report evidenzia una forte discrepanza rispetto alla percezione del ransomware come minaccia: in effetti, ben l’89% degli Manage Service Provider (MSP) afferma che il ransomware dovrebbe mettere le PMI in una posizione di allerta; tuttavia, solo il 28% degli MSP dichiara l’esistenza di consapevolezza e preoccupazione da parte delle PMI.

Tali dati, assieme a quelli sui recenti attacchi, confermano che il “fattore umano” costituisce l’anello più debole nella catena della sicurezza informatica di tutte le aziende.

Pertanto, nella predisposizione di una strategia complessiva di sicurezza, la formazione costituisce l’azione più efficace per ridurre il rischio di infezioni da Ransomware. È utile attivare un programma periodico che educhi tutti i soggetti a riconoscere mail e comportamenti sospetti e a diffidare dall’aprire messaggi inattesi, provenienti da mittenti non conosciuti.

 

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

/da

Data Breach, il Garante privacy lancia un nuovo modello di notifica

Che cosa cambia?

La gestione di un Data breach costituisce un tassello importante nella trama operativa della Data Protection, che spesso incontra difficoltà nella identificazione delle corrette modalità procedurali di comunicazione e notificazione all’autorità di controllo. Il GDPR prevede che in caso di Data breach, e dunque di violazione dei dati personali, il titolare del trattamento:

  • È tenuto a notificare l’evento al Garante senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
  • Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve altresì fornire adeguata comunicazione a tutti gli interessati, utilizzando a tal scopo i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

 

La gestione del Data breach, tuttavia, non si esaurisce nel predisporre le opportune comunicazioni e/o notificazioni: il titolare del trattamento, infatti, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro; tale documentazione potrà costituire, successivamente, l’oggetto delle attività ispettive svolte dall’Autorità, nel corso delle eventuali verifiche sul rispetto della normativa.

Con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha introdotto un nuovo modello ufficiale, contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

Alla luce delle nuove prescrizioni, tutti i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante.

 

Come aggiornarsi? Hedya propone percorsi di formazione e aggiornamento

 

Il recente provvedimento del Garante per la protezione dati dimostra che la disciplina della protezione dati non si esaurisce nella mera conoscenza della normativa europea e nazionale, ma richiede costanti interventi di aggiornamento sulle più recenti prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità al GDPR.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

Ulteriori informazioni sono disponibili qui.

/da

Il ruolo dell’Amministratore di Sistema dopo il GDPR: Hedya presenta il percorso formativo “Amministratore di Sistema”

Chi è l’Amministratore di Sistema?

L’Amministratore di Sistema è una figura professionale istituita nel 2008 con un Provvedimento Generale dell’Autorità Garante per la tutela dei dati personali, che deve essere obbligatoriamente nominata all’interno di ciascun contesto aziendale pubblico e privato ove si compie trattamento di dati personali con strumenti elettronici.

L’attribuzione delle funzioni, tuttavia, deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato.

L’Amministratore di Sistema, in sintesi, deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Con l’introduzione del Regolamento Europeo sulla protezione dati, l’Amministratore di sistema rappresenta uno strumento ancora più importante, sul quale il titolare del trattamento può fare affidamento per garantire che vengano rispettati i principi fondamentali in materia di protezione dati. È compito dell’amministratore di sistema monitorare costantemente lo stato di sicurezza di tutti i processi di elaborazione dati, anche comunicando al titolare le attività da porre in essere al fine di garantire un adeguato livello di sicurezza: in tal modo, si garantisce l’accountability, il rispetto della privacy by design e by default, ma soprattutto i diritti degli interessati. 

Tuttavia, l’Amministratore di Sistema è una figura tecnica qualificata che non può coincidere con analoghe figure di controllo, come quella del Data Protection Officer.

 

Quali competenze? Il percorso formativo proposto da Hedya

 

L’Amministratore di Sistema è dunque una figura dotato di competenze trasversali.

Per un verso, l’Amministratore di Sistema deve possedere competenze di natura tecnico – informatica per:

  • la gestione e manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali;
  • l’implementazione di misure di sicurezza per il trattamento dei dati;
  • la comprensione dei livelli di sicurezza informatica e di sicurezza di rete, nonché di tutti gli aspetti sociali, etici e legali connessi.

Per altro verso, tale figura deve possedere adeguata conoscenza della disciplina normativa in materia di protezione dati, nonché delle ulteriori questioni giuridiche rilevanti, connesse ai reati informatici.

Per tali motivi, Hedya propone il percorso formativoAmministratore di Sistema”. I contenuti del corso rappresentano la base formativa di per tutti coloro che vogliano intraprendere un percorso professionale di elevata specializzazione per svolgere le funzioni tipiche dell’Amministratore di Sistema. Il percorso formativo, pertanto, è finalizzato all’acquisizione delle conoscenze tecnico – giuridiche necessarie per lo svolgimento della funzione.

Ulteriori informazioni sono disponibili qui.

/da

Illustrati in Confindustria i cinque pilastri della Digitalizzazione

Qual è il ruolo della Digitalizzazione per le aziende e le PA?

 

L’avvento della Digitalizzazione offre nuove sfide ed opportunità per le aziende e la Pubblica Amministrazione. Per tali ragioni Hedya, con la sua pluriennale esperienza nell’organizzazione di percorsi di alta formazione con la collaborazione del DIEE dell’Università di Cagliari, ha organizzato il Convegno su “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”. La scelta di far convergere il settore pubblico e quello privato in un unico momento di confronto è dettata dalla ferma convinzione che il viaggio verso il digitale sia un cammino comune che essi devono compiere nella consapevolezza di avere ruoli complementari. Attraverso la partecipazione e la testimonianza diretta di docenti e professionisti del settore, sono stati enucleati i cinque pilastri della Digitalizzazione. L’evento è stato altresì finalizzato ad un confronto con tutti i partecipanti, che numerosi hanno avuto il piacere di intervenire nella fase di chiusura dei lavori.

 

I cinque pilastri della Digitalizzazione

 

  • Nuovi protagonisti: il Data Protection Officer e il Responsabile per la transizione al Digitale

Se il Data Protection Officer (DPO) rappresenta una figura posta a presidio della promozione della cultura e tutela della protezione dati, il Responsabile per la Transizione al Digitale svolge, invece, un ruolo dirimente nella diffusione della cultura digitale nelle realtà pubbliche. Questa figura era già stata introdotta dal 2016 nel Codice dell’Amministrazione Digitale (CAD): si prevedeva, in particolare, che ciascuna amministrazione nominasse un Responsabile per la Transizione al Digitale (RTD).

 

 

  • Big Data

Le attuali politiche di governo e le più recenti riforme normative in materia di protezione dati dimostrano che il digitale costituisce un asset strategico per il corretto esercizio delle funzioni pubbliche e per lo sviluppo della competitività aziendale.

 

  • Sicurezza informatica

Con i recenti e numerosi attacchi informatici a danno di svariate multinazionali e imprese italiane, si conferma l’aumento di rischi informatici rispetto al 2018 e l’inidoneità delle misure tecniche ed organizzative prescelte.

 

L’innovazione e la digitalizzazione confermano l’irreversibilità della transizione verso la digitalizzazione, che si presenta come un percorso condiviso, in cui gli operatori pubblici e i privati svolgono un ruolo complementare;

 

  • La corretta gestione documentale

La gestione documentale non si propone esclusivamente come elemento centrale per la digitalizzazione delle pratiche amministrative e dei relativi procedimenti, ma costituisce un indubbio vantaggio competitivo per le aziende.

 

 

Quali competenze necessarie?

Una corretta formazione si propone, dunque, come condizione imprescindibile.

Per acquisire le conoscenze pratiche di base per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, ma anche dei soggetti che lo supportano nello svolgimento delle attività, si suggeriscono i percorsi formativi tracciati da Hedya.

/da

Estate 2019, in “ferie” anche la sicurezza informatica: violazione di dati per almeno 2 milioni di utenti e sanzioni oltre 600 milioni

Quali sono le attuali minacce informatiche?

L’ultimo rapporto Rapporto SonicWall, relativo alle minacce informatiche rilevate in 200 Paesi di tutto il mondo nel primo semestre 2019, ha evidenziato un elevato aumento di diversi strumenti cyber crime. Tra i molti, i più rilevanti sono:

  • il nuovo ransomware as a service;
  • il malware open source;
  • il tradizionale cryptojacking.

 

Anche il numero di attacchi informatici è in aumento: nei primi sei mesi del 2019, gli attacchi malware rilevati sono stati 4,8 miliardi; ammontano a più di 8,3 milioni gli attacchi phishing, e decine di migliaia di nuovi virus, finora mai conosciuti, sono stati riscontrati.

 

Aumentano gli attacchi, ma aumentano anche le sanzioni …

L’invasione degli attuali attacchi informatici ha svelato, nella maggior parte dei casi, tutta l’inadeguatezza nella scelta, ovvero nella predisposizione, delle misure tecniche ed organizzative più opportune in base al tipo di attività svolta e al contesto di riferimento.

Le conseguenze sanzionatorie sono apparse immediate e severe: sulla scorta dei poteri previsti dall’articolo 83 del GDPR, le autorità di controllo dei singoli Stati membri, hanno comminato ingenti sanzioni amministrative pecuniarie:

  • Il Garante per la privacy polacco (UODO) ha inflitto una multa per un importo corrispondente a circa 660mila euro alla società Morele.net, a causa della mancata adozione delle misure organizzative e tecniche adeguate al rischio connesso al trattamento dei dati personali di oltre due milioni di utenti;
  • Il Garante italiano, con provvedimento n. 83 del 4 aprile 2019, ha comminato all’Associazione Rousseau il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli  3283, paragrafo 4, lettera a) del Regolamento UE 2016/679 oltre ad ingiungere alla stessa associazione i necessari adeguamenti indicati nel Provvedimento.

 

Quali prevenzioni adottare? L’amministratore di sistema…

Per essere efficienti, le imprese devono prima di tutto essere formate ed aggiornate sulle misure più efficaci, in modo da poter prevenire le strategie di attacco che mutano costantemente nel tempo. Per tali ragioni, risulta utile formare l’amministratore di sistema attraverso il corso Amministratore di sistema, appositamente dedicato a tale figura.

L’amministratore di sistema ricopre infatti un ruolo importante: egli è il responsabile dei dati aziendali e riveste un ruolo importante sul piano operativo dentro l’azienda. Fra i suoi compiti:

  • si occupa di ogni tipo di rete informatica
  • implementa i sistemi di sicurezza del networking
  • definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti
  • cura interventi di conservazione dei dati attraverso l’impiego sistematico di “backup” e progettando le attività di supporto al “disaster recovery”.

 

 

 

/da