Come evolve la Cybersecurity per abilitare la transizione ...€¦ · Presidiare il processo di...
Transcript of Come evolve la Cybersecurity per abilitare la transizione ...€¦ · Presidiare il processo di...
Divisione Corporate Affairs | Tutela Aziendale
31 Maggio 2019
Come evolve la Cybersecurity per abilitare la
transizione energetica: l'esperienza di Terna
Luigi Ballarano – Responsabile Cybersecurity & Data Protection
Divisione Corporate Affairs | Tutela Aziendale 2
• Il Gruppo Terna è Gestore Unico e proprietario della Rete di Trasmissione Nazionale
in Alta Tensione (RTN) italiana. È titolare di una concessione governativa in regime di
monopolio regolato.
• Tra i principali gestori di rete in Europa e al mondo con circa 73 km di linee gestite.
• Gestisce la trasmissione dell’energia elettrica sul territorio italiano e i flussi elettrici
365 giorni l’anno, 24 ore su 24.
• Quotato in Borsa dal 2004, è tra le prime società industriali del FTSE-MIB.
• È una realtà d’eccellenza formata da circa 4,300 professionisti.
• Ruolo guida per una transizione energetica sostenibile.
• Innovazione, Qualità del servizio e minimizzazione dell’impatto ambientale sono i driver fondamentali che guidano le attività nella generazione dei risultati del GruppoTerna.
Terna - Chi siamoUn grande operatore di reti per la trasmissione dell’energia
Divisione Corporate Affairs | Tutela Aziendale 3
Terna trasmette Energia
La filiera del sistema elettriconazionale si compone di quattrosegmenti:• Produzione• Trasmissione• Distribuzione/vendita di energia elettrica.
Divisione Corporate Affairs | Tutela Aziendale
Chi siamo - I nostri asset
220 kV
380 kV
• 73.000 km di linee elettriche in Alta e Altissima Tensione (123/150 kV, 220 kV, 380 kV)
• 881 stazioni di trasformazione e smistamento
• 723 trasformatori
• 25 linee di interconnessione con l’estero
• 1 Centro Nazionale di Controllo
• 5 siti di accumulo
132 kV – 150 kV 220 kV
Divisione Corporate Affairs | Tutela Aziendale 5
Terna e la transizione energetica
Rif. Terna - 2019-2023 Strategic Plan
Divisione Corporate Affairs | Tutela Aziendale 6
Fattori abilitanti – Innovazione & Digitalizzazione
Rif. Terna - 2019-2023 Strategic Plan
Divisione Corporate Affairs | Tutela Aziendale
IMP
AT
TO
PROBABILITA’
Cyber-attacks
Critical information breakdown
Data fraud or theft
Adverse consequences of technological
advances
7
I nuovi scenari di rischio
Rischi chiave con possibili impatti sui sistemi informativiPROBABILITA’
2018
IMP
AT
TO
2019WEF – The Global Risk Report
Variazione Probabilità (P)-Impatto (I) tra 2018 e 2019
P I
Divisione Corporate Affairs | Tutela Aziendale 8
Terna e il contesto di minaccia Cyber
Divisione Corporate Affairs | Tutela Aziendale 9
Evoluzione dei Sistemi di Controllo Industriale e
RischiL’evoluzione dei sistemi nel settore elettrico, implicando una maggiore integrazione fra
mondo OT (Operational Technology) e IT (Information Technology), introduce un nuovo livello
di rischio Cyber per gli operatori
€
Divisione Corporate Affairs | Tutela Aziendale 10
Principali differenze fra sistemi IT e OT
Il progresso tecnologico in ambito industriale passa necessariamente attraverso l’evoluzione
dei sistemi legati ai domini OT e IT
Divisione Corporate Affairs | Tutela Aziendale 11
Cybersecurity: un contesto normativo in evoluzione
2013 2014 2015 2016 2017 …20192012 2018
Mozione Rampolli
al Senato (Maggio
2012)
Emissione del
Decreto del
Presidente
del Consiglio
dei Ministri
DPCM-Monti
Definizione di un
Codice di Governo
Societario della
Borsa Italiana
Emissione del
Quadro Strategico
Nazionale e Piano
Nazionale
Emissione del
Cyber Security
Framework
Nazionale
Approvazione
GDPR
Approvazione
Direttiva NIS
Emissione del DPCM-
Gentiloni
Pubblicazione del
Piano Nazionale
Connessione alla
Strategia Nazionale
Energia
…
Applicazione GDPR
Decreto recepimento
Direttiva NIS Dlgs
65/2018
Entrata in vigore
Direttiva sui servizi di
pagamento PSD2
Cybersecurity Act
FMI-Cyber Resilience
(Financial Sector)
Divisione Corporate Affairs | Tutela Aziendale
Il nostro team
12
Cybersecurity & Data Protection
Computer
Emergency
Readiness
Team (CERT)
Cybersecurity
Engineering
Cybersecurity
Assessment
Presidiare il processo di gestione in tempo reale della sicurezza operativa logica ed il processo di
protezione dei dati personali per tutto il Gruppo, attraverso lo sviluppo di strumenti e standard di
cybersecurity, la verifica di vulnerabilità dei sistemi e della compliance alla normativa sulla Privacy
Data
Protection &
Privacy
Information
Security
Divisione Corporate Affairs | Tutela Aziendale
Il nostro team: CERT
13
• Garantire il monitoraggio centralizzato in tempo reale dello stato di Cyber Security delle piattaforme
ICT del Gruppo in ambito Information Technology (IT) e Operational Technology (OT);
• Gestire processi/procedure di comunicazione (“Cyber Security Situational Awareness”) ed
escalation interne/esterne in occasione di incidenti di sicurezza Cyber e coordinare le azioni di
risposta;
• Assicurare lo sviluppo e la gestione di strumenti di monitoraggio dello stato di Cyber Security, di
risposta agli incidenti, di “Threat Intelligence” e degli strumenti digitali interni/esterni quali Firma
Digitale, Posta Elettronica Certificata (PEC), Cifratura e Autenticazione per il Gruppo.
Cybersecurity & Data Protection
Computer
Emergency
Readiness
Team (CERT)
Cybersecurity
Engineering
Cybersecurity
Assessment
Data
Protection &
Privacy
Information
Security
Divisione Corporate Affairs | Tutela Aziendale
Il nostro team: CSE
14
• Assicurare lo sviluppo dei sistemi di sicurezza logica perimetrale (“Perimeter Defense”) delle reti
Terna e dei sistemi di sicurezza a protezione del canale email e della navigazione Internet;
• Assicurare lo sviluppo di strumenti e standard di sicurezza, coerenti con le policy di Information
Security, al fine di supportare il “Security by Design” in ambito Information Technology (IT) e
Operational Technology (OT).
Cybersecurity & Data Protection
Computer
Emergency
Readiness
Team (CERT)
Cybersecurity
Engineering
Cybersecurity
Assessment
Data
Protection &
Privacy
Information
Security
Divisione Corporate Affairs | Tutela Aziendale
Il nostro team: CSA
15
• Verificare l’applicazione del modello di gestione dei rischi ad infrastrutture tecnologiche, sistemi, reti
e applicazioni aziendali, nelle varie fasi del loro ciclo di vita;
• Effettuare il “Vulnerability Assessment” e il ”Penetration Testing” sulle reti e sui sistemi del Gruppo
e monitoraggio dei piani di rientro;
• Effettuare analisi, se necessario anche forensi, a seguito di incidenti rilevanti di Information
Security.
Cybersecurity & Data Protection
Computer
Emergency
Readiness
Team (CERT)
Cybersecurity
Engineering
Cybersecurity
Assessment
Data
Protection &
Privacy
Information
Security
Divisione Corporate Affairs | Tutela Aziendale
Il nostro team: DPP
16
• Presidiare la compliance del Gruppo Terna alla normativa sulla Privacy in ambito nazionale (D. lgs.
196/03 e successive modificazioni e Provvedimenti del Garante per la protezione dei Dati
Personali) e comunitario (Regolamento UE 2016/679 - General Data Protection Regulation (GDPR)
- in materia di protezione dei Dati Personali);
• Assicurare il supporto al Delegato Privacy nell’implementazione e aggiornamento del Modello di
gestione della Privacy nelle Società del Gruppo, in collaborazione con Affari Legali e Societari e nel
coordinamento degli adempimenti di legge previsti dal Codice sulla Privacy e dal Regolamento UE
2016/679 in capo alle Società del Gruppo
Cybersecurity & Data Protection
Computer
Emergency
Readiness
Team (CERT)
Cybersecurity
Engineering
Cybersecurity
Assessment
Data
Protection &
Privacy
Information
Security
Divisione Corporate Affairs | Tutela Aziendale
Il nostro team: IS
17
• Definire indirizzi, policy e procedure per la classificazione e protezione del patrimonio informativo
del Gruppo e per la sicurezza informatica di sistemi e reti (infrastrutture, piattaforme, servizi e
applicazioni ICT);
• Presidiare la compliance a leggi e aspetti regolatori in materia di protezione delle informazioni, di
sicurezza informatica, di contrasto dei reati informatici, di dematerializzazione e conservazione
sostitutiva;
• Supportare la struttura ICT nella definizione dei requisiti di sicurezza nelle fasi del “ciclo di vita”
(progettazione, acquisizione, implementazione ed esercizio) di sistemi, componenti e servizi ICT.
Cybersecurity & Data Protection
Computer
Emergency
Readiness
Team (CERT)
Cybersecurity
Engineering
Cybersecurity
Assessment
Data
Protection &
Privacy
Information
Security
Divisione Corporate Affairs | Tutela Aziendale 18
La Cyber Defence realizzata da Terna
Controllo Accessi logici
Information
Technology
Operational
Technology
Vuln. Assessment
e Penetration Test
Sicurezza navigazione
Monitoraggio e Risposta Eventi Sicurezza Logica
Sicurezza logica perimetrale
Sicurezza end point
Sicurezza canale email
Business Asset Critical Business Asset
ProcessiRisorse Tecnologie
Detection
Respond
Prevention
IS PolicyServizi digitali
Politiche e Information Security Framework
Security by Design sistemi IT e OT
Divisione Corporate Affairs | Tutela Aziendale 19
Cybersecurity4IoT
Divisione Corporate Affairs | Tutela Aziendale 20
Cybersecurity4Cloud
Divisione Corporate Affairs | Tutela Aziendale
Computer Emergency Readiness Team
(TERNA-CERT)
21
Divisione Corporate Affairs | Tutela Aziendale
Modello Operativo del CERT
22
CERT Terna
Services Portfolio
Technical & Executive Reporting
Identity Management
IAM
Digital
Real Time
Security Monitoring
Events of Interest
(EoI) Detection
Events of Interest
(EoI) Analysis &
Classification
Security
Intelligence
Data Collection
Processing
Analysis
Planning
Dissemination
Incident
Handling
Classification
Notification
Evidence Gathering
Response
Recovery
Identification
Post-Mortem
Security Content
Engineering & Threat
Hunting
Log Management
Threat Hunting & Use
Case Management
Divisione Corporate Affairs | Tutela Aziendale
Architettura logica del CERT
23
Sources
Bulletin
Security Governance
Identification Classification Notification Response
Security
AlertsKnowledge
Base
Policy People Processes
Reporting
Top
Management
Stakeholders
ICT
CISOWorkflowSecurity
Events
And
Alarms
Remediation
Task
Service
Desk
Ticket
SIEMSecurity Events
Antivirus
Anti
Spam
Security
Devices
CERT
Users
Intelligence
IT CERT,
Vendors, …
L’architettura logica è composta da sorgenti esterne, dagli strumenti di detection e analisi proprie del
CERT e strumenti a supporto (ad es. ticketing, asset inventory, …)
Divisione Corporate Affairs | Tutela Aziendale
Cyber Defence Technology Blueprint
24
Tecnologia completamente adottata e
integrata nelle capability del CERTTecnologia parzialmente adottata e
integrata nelle capability del CERT
Tecnologia abilitante presente, non
ancora integrata nelle capability del CERTTecnologia nella Roadmap, deve essere
acquistata e integrata
Nessuna/parziale autorità sulle capacità
della tecnologia
1. GRC 2. Security Analytics
6. Awareness & Training
3. Active Defence & Investigation
9. Identity & Access Management8. Application Protection
5. Threat & Vulnerability Management
4. Event Management
7. Data Security
11. Infrastructure & Network Protection
1.1 Policy Management
1.2 Enterprise Reporting
1.3 Performance Management
1.4 Security Compliance
2.1 Big Data Analytics - UEBA 2.2 SIEM 2.3 Data Visualization
7.1 Data LossPrevention
7.2 Data Discovery, Audit & Protection
7.3 IntegrityMonitoring
6.1 SimulationPlatform
3.1 Automation & Orchestration
3.2 Forensic & Investigation 3.3 Deception & Decoy
9.1 Identity Management
5.4 Asset Discovery**
8.1 Web Application Firewall
11.1 Endpoint security 11.2 Mobile Security 11.3 IDS/IPS 11.4 Firewall 11.5 Content Security 11.6 Email Security
3.4 Endpoint Detection & Response
11.7 Cloud security 11.8 DDOS Protection
5.1 VulnerabilityManagement** 5.2 Patch Management
4.1 Log & Event Management* 4.2 Data Lake 4.3 Network Traffic Analysis
1.6 Incident Management
5.3 Pen Testing & BreachSimulation
10. Threat Intelligence
10.1 Data Feed 10.2 Information Sharing
10.3 Threat Intelligence Platform
10.4 Digital RiskProtection
9.2 Identity Governance
Tecnologia non presente, non ancora
prevista nella Roadmap
1.5 Knowledge Base
9.3 PrivilegedAccount
Management
9.4 Access Management
* Tecnologia abilitata attraverso il SIEM** Tecnologia abilitata attraverso Vulnerarbility Assessement della struttura CA-TA-SOP-CSA
High level view dello stato di adozione delle tecnologie di Cyber Defence che concorrono a rafforzare
proattivamente e reattivamente la postura di sicurezza di Terna e quanto esse sono adottate e integrate
nelle capability del CERT.
Divisione Corporate Affairs | Tutela Aziendale
Security Reporting (example)
25
Il grafico mostra il numero di email pervenute e bloccate automaticamente per Spam/Phishing/Malware
dai sistemi di Email Protection e il totale di email provenienti dall’esterno.
Divisione Corporate Affairs | Tutela Aziendale
Data breach (example)
26
Caselle postali Terna coinvolte (*) in Massive Data Breach di Servizi Internet.
Pervenuta a dicembre: You’ve Been Scraped riportante 287 indirizzi di posta aziendale. In questo caso si tratta di
ulteriore collection di breach, pertanto nessun ulteriore utente è stato coinvolto.
* Fonte principale: sito Have I Been Pwned (HIBP), cfr mail CERT Nazionale [rif.4515] e Segnalazioni del CNAIPIC
Ashley M., Bitly Bolt, CrackingForum, Creative, Disqus, Drako.it, Eroticy, Fling, iMesh, iPmart, Libero, mail.ru.Dump, MDPI , MDPI, Money Brokers, NetEase, OK Medicina, uTorrent
Divisione Corporate Affairs | Tutela Aziendale
Cyber Threat Intelligence
27
• Il CERT di Terna è responsabile di assicurare lo sviluppo e la gestione degli strumenti di Threat
Intelligence e di gestire processi e procedure di comunicazione (Cyber Security Situational
Awareness) in caso di incidente di sicurezza Cyber.
• In tal senso il CERT provvede a:
– Fornire informazioni in modo tempestivo su potenziali minacce che possono causare danni agli asset di Terna o ai propri dipendenti
– Incrementare il livello di awareness della popolazione aziendale e la cyber security culture
– Cooperare con le organizzazioni paritetiche e le istituzioni, sia livello nazionale che internazionale e sia pubblico che privato, al fine
di favorire la cooperazione e l’information sharing
– Mantenere costantemente aggiornato il top management del Gruppo Terna sullo stato di cyber security (ad es. attraverso la
reportistica giornaliera riportata sul Mattinale)
• Inoltre la gestione della Cyber Threat Intelligence viene effettuata attraverso l’adozione di
specifiche piattaforme (Cyber Threat Intelligence Platform - TIP) e gestione di informazioni di
intelligence del CERT sfruttando un approccio “intelligence driven” e “actionable intelligence”
(commercial vs. tailored intelligence)
Divisione Corporate Affairs | Tutela Aziendale 28
Q&A
Divisione Corporate Affairs | Tutela Aziendale 29
Backup
Divisione Corporate Affairs | Tutela Aziendale
Modello Operativo del CERT
30
CERT Terna
Identity ManagementReal Time
Security Monitoring
Security
Intelligence
Incident
Handling
Security Content
Engineering & Threat
Hunting
Consistenze
• 77 Milioni di eventi
ricevuti al giorni
Consistenze
• 190 Schede di
segnalazione
inviate
mediamente su
base mensile
• 31 comunicazioni
inviate al DPO
Consistenze
• 900 segnalazioni
gestite da Enti
Istituzionali nel
corso del 2018
Consistenze
• 50 nuovi ambiti
integrati nei
sistemi di
monitoraggio
Consistenze
• 4300 Anagrafiche
IAM
• 110 Firme Digitali
• 35 SSL Web
• 80 PEC
Key facts del 2018
Divisione Corporate Affairs | Tutela Aziendale
Modello Funzionale del CERT
31
Reaction & Response
Digital ForensicPolicy & Compliance
ManagementIncident Investigation
Event Collection & Management
Aggregation &
NormalizationArchivingCollection & Filtering
Detection & Analysis
Workflow & Ticketing Incident PrioritizationReal-time Analysis
Reporting
Info Sharing & Awareness
Reporting
Capability Management
Governance
Engineering