Transcript 19.03.2014_tr frodi
LE FRODI NELLA RETE IL DUPLICE RUOLO DELL’ICT
• • • • • • • • Riccardo Abeti, Studio Legale Abeti Orlando Arena Luca Bechelli, Clusit Paolo Carcano, NTT Data Enrico Ferretti, Protiviti Sergio Fumagalli, Zeropiu Roberto Obialero, ADS - Gruppo Finmatica Alessandro Vallega, Clusit e Oracle • • • • • • • • Elisabetta Calmasini, WeBank Simone Maga, Gruppo Bancario Paola Meroni, Vodafone Italia Mario Monitillo, ICBPI Nicola Murano, Reale Mutua Maurizio Pastore, Datasiel Enrico Toso, DB Consorzio Alessandro Vallega, Clusit e Oracle
1
Oracle Community for Security
Più di trenta aziende, studi legali e associazioni
legate dalla voglia di far crescere insieme la cultura di sicurezza in Italia http://www.oracle.com/it/technologies/security/partner-171975-ita.html
C4S.CLUSIT.IT Return on Security Investments Fascicolo Sanitario Elettronico Privacy nel Cloud Mobile e Privacy Sicurezza nel Social Media I Primi 100 giorni del Responsabile della Sicurezza delle Informazioni
2
Liberamente scaricabile
http://c4s.clusit.it
Licenza CC-BY-SA versione 4.0
3
Autori del deliverable
Riccardo Abeti, Studio Legale Abeti Mohamed Ait Wakrim, NexSoft Mauro Alovisio, Università di Torino Orlando Arena, Safenet Luca Bechelli, Clusit Manfredi Blasucci, Verizon Giancarlo Butti, Banco Popolare Elisabetta Calmasini, WeBank Riccardo Canetta, SafeNet Paolo Carcano, NTT Data Andrea Castello, CSQA Certificazioni Matteo Cavallini, CSA Italy Roberto Chieruzzi, Spike Reply Enrico Ciabattini, Ernst & Young Giulio Colla, NTT Data Erminio Corbo, ACFE Italy Chapter Graziano De' Petris, Associazione Nazionale Privacy and Information Healthcare Manager Davide Del Vecchio, Fastweb Lorenzo Di Giusto, Verizon Gabriele Faggioli, ISL Consulting Alan Ferrario, Horizon Security Enrico Ferretti, Protiviti Gianpaolo Filiani, Praecipua Sergio Fiora, Oracle Sergio Fumagalli, Zeropiù Andrea Gaglietto, Protiviti Matteo Galimberti, BSC Consulting Francesca Gatti, AUSED Davide Giordano, Spike Reply Federico Gozzi, Reale Mutua Lorenzo Grillo, Spike Reply Barbara Indovina Tommaso Ippolito, AISIS (segue)
4
Autori del deliverable
Marco Krecic, Azienda Ospedaliera Universitario Trieste Pierodavide Leardi, Studio Leardi Andrea Longhi, ConsAL Luca Lora Lamia, KPMG Advisory Fabio Maccaferri, Pragmatica Consulting Simone Maga, Gruppo Bancario Michele Magri, ACFE e Michael Slim International Wilmana Malatesta, M&M Asset Andrea Mariotti, Ernst & Young Rodolfo Mecozzi, Ernst & Young Paola Meroni, Vodafone Italia Mario Monitillo, ICBPI Calogero Montante, Vodafone Nicola Murano, Reale Mutua Roberto Obialero, ADS - Gruppo Finmatica Giorgio Orlandi, ABI Lab Daniele Pasini Maurizio Pastore, Datasiel Luigi Pecorario, Praecipua Paolo Pegurri, Certilogo Monica Pellegrino, ABI Lab Alberto Perrone, Mediaservice Michele Petronzi, Praecipua Rosario Piazzese, Siledo Global Fabio Piazzese, Siledo Global Pierluca Pierro, NexSoft Luana Pisciotta, NTT Data Attilio Rampazzo, CSQA Certificazioni Andrea Reghelin, ISL Consulting Lele Rozza, Blonk Davide Salute, Azienda Ospedaliero Universitaria Trieste (segue)
5
Autori del deliverable
Fabio Saulli, BSC Consulting Paolo Sferlazza, Mediaservice Giulio Spreafico, AIEA Stefano Tagliabue, Telecom Italia Claudio Telmon, Clusit Vittorio Torre, NexSoft Enrico Toso, DB Consorzio Guglielmo Troiano, Array Law Alessandro Vallega, Clusit e Oracle Andrea Zapparoli Manzoni, Clusit e IDialoghi (finalmente fine) 8 associazioni ABI Lab ACFE Italy Chapter AIEA AISIS APIHM AUSED CLUSIT CSA Italy 10 legali 15 esperti di aziende utente Banche Telco Assicurazioni Sanità Public Sector 37 esperti di aziende offerta 74 persone in totale
6
Processo di produzione Tema (marzo 2013)
Scelta del tema, definizione del target Nomina del leadership team e dell’editor (10 persone)
Componenti
Stesura della distinta base Assegnazione degli autori (70 persone) Stesura componenti (1-4 pagine per 2-4 persone) Review e rework componenti
1° Master online (novembre 2013)
Integrazione in un unico master condiviso online Comments, rewiew e rework
2° Master word (marzo 2014)
Trasposizione in un unico sorgente Review finale
Pubblicazione (marzo 2014)
7
Agenda
Prima tavola rotonda
: presentazione del documento, la definizione adottata, cenni su risultanze principali, suggerimenti pratici e contromisure
Seconda tavola rotonda
: Esperienze di settori industriali insieme a domande e risposte
8
Indice
9
Indice
10
Indice
11
Indice
Indice
13
Indice
14
Indice
15
Indice
16
Indice
17
LA NOSTRA DEFINIZIONE DI FRODE
18
?
frode
?
‘dishonestly obtaining a benefit by deception or other means’ la frode è “un comportamento illecito con il quale si mira ad eludere precise disposizioni di legge” oppure un “inganno inteso a danneggiare gli altri a proprio vantaggio. ‘qualsiasi reato che comporti un guadagno e che usi l'inganno come suo principale modus operandi’
19
COSTO DELLE FRODI
20
Frodi: ma quanto ci costano? Report to Nations 2012” di ACFE Il costo delle frodi
Casi di frode analizzati Stima di oltre 1000 CFE worldwide Numero totale Costo medio della frode ($) Costo complessivo 1.388
140.000
5% del fatturato dell'azienda tipica 194.320.000
OLAF (Organizzazione lotta anti frode UE)
Incidenza delle frodi sulla spesa UE Totale spesa UE 126.000.000.000
Incidenza delle frodi 0,0025 Costo delle frodi 315.000.000
Soldi ma non solo:
• Danni finanziari • Danni reputazionali • Ricadute occupazionali • Problemi emotivi • Problemi di salute • Cambio comportamentale
Pochi denunciano. Le stime sono tutte approssimate. Per difetto.
21
CASI CRIMINALI DI SUCCESSO
22
Casi criminali di successo
23
Casi criminali di successo
24
Casi criminali di successo
25
Casi criminali di successo
26
LE FRODI ICT TIPICHE DI ALCUNI SETTORI E CANALI
27
Frodi in specifici settori industriali: convergenza tecnologica e contaminazione tra settori Tipologia frode
NON ICT ICT
Banche Telco Assicuraz
Appropriazione indebita Frodi su contratti
Gaming Frodi aziendali Frodi servizi
Furto di informazioni Pratiche commerciali scorrette Social engineering Scorretta gestione appalti Uso improprio di risorse Falsificazione informazioni Alterazione valori Clonazione carte Clonazione SIM card Contraffazione Falsificazione d’identità Falsificazione informazioni Frode informatica Furto d’identità digitale Furto d’identità fisico Frodi su gestione sinistro Social engineering Subscription fraud Technical /Distribution fraud Truffa
Applicabile Applicabile ma senza serie storiche
PA e Sanità
28
CONTRASTO
29
Contrasto delle frodi Fraud Prevention
Analisi e valutazione del rischio frode Strumenti di alert Verifiche interne
Gestione evento fraudolento Rilevazione dati Knowledge sharing Identificazione evento fraudolento
Formazione e awareness Misure organizzative
Definizione ed esecuzione piano di remediation
Misure legali
Attività di analisi
Misure tecniche
30
RACCOMANDAZIONI
31
Vademecum
10 cose da fare:
• • • •
No Discrezionalità … Chi/Come/Perche’? … 10 cose da non fare:
• • • •
Perdere tempo … Cercare un capro espiatorio …
32
LE FRODI NELLA RETE IL DUPLICE RUOLO DELL’ICT (2)
Elisabetta Calmasini, WeBank Paola Meroni, Vodafone Italia Simone Maga, Gruppo Bancario Mario Monitillo, ICBPI Nicola Murano, Reale Mutua Maurizio Pastore, Datasiel Enrico Toso, DB Consorzio Alessandro Vallega, Clusit e Oracle
33
Survey
La vostra azienda ha subito una Frode ICT ?
34
Survey
Quanti di voi ritengono che la propria azienda sia immune alle Frodi?
35
Survey
1.
2.
3.
Quanti di voi in azienda si occupano di: Frodi Sicurezza Gestione del Rischio
36
Survey
Chi tra voi consiglierebbe all’azienda un adeguamento organizzativo per il contrasto della Frode ICT?
37
Survey
Quanti di voi misurano il costo aziendale delle frodi e/o il ritorno dell’investimento delle misure a contrasto?
38
C4S.CLUSIT.IT
39