Come evolve la Cybersecurity per abilitare la transizione ...€¦ · Presidiare il processo di...

Divisione Corporate Affairs | Tutela Aziendale

31 Maggio 2019

Come evolve la Cybersecurity per abilitare la

transizione energetica: l'esperienza di Terna

Luigi Ballarano – Responsabile Cybersecurity & Data Protection

Divisione Corporate Affairs | Tutela Aziendale 2

• Il Gruppo Terna è Gestore Unico e proprietario della Rete di Trasmissione Nazionale

in Alta Tensione (RTN) italiana. È titolare di una concessione governativa in regime di

monopolio regolato.

• Tra i principali gestori di rete in Europa e al mondo con circa 73 km di linee gestite.

• Gestisce la trasmissione dell’energia elettrica sul territorio italiano e i flussi elettrici

365 giorni l’anno, 24 ore su 24.

• Quotato in Borsa dal 2004, è tra le prime società industriali del FTSE-MIB.

• È una realtà d’eccellenza formata da circa 4,300 professionisti.

• Ruolo guida per una transizione energetica sostenibile.

• Innovazione, Qualità del servizio e minimizzazione dell’impatto ambientale sono i driver fondamentali che guidano le attività nella generazione dei risultati del GruppoTerna.

Terna - Chi siamoUn grande operatore di reti per la trasmissione dell’energia


Terna trasmette Energia

La filiera del sistema elettriconazionale si compone di quattrosegmenti:• Produzione• Trasmissione• Distribuzione/vendita di energia elettrica.


Chi siamo - I nostri asset

220 kV

380 kV

• 73.000 km di linee elettriche in Alta e Altissima Tensione (123/150 kV, 220 kV, 380 kV)

• 881 stazioni di trasformazione e smistamento

• 723 trasformatori

• 25 linee di interconnessione con l’estero

• 1 Centro Nazionale di Controllo

• 5 siti di accumulo

132 kV – 150 kV 220 kV


Terna e la transizione energetica

Rif. Terna - 2019-2023 Strategic Plan


Fattori abilitanti – Innovazione & Digitalizzazione

Rif. Terna - 2019-2023 Strategic Plan


IMP

AT

TO

PROBABILITA’

Cyber-attacks

Critical information breakdown

Data fraud or theft

Adverse consequences of technological

advances

7

I nuovi scenari di rischio

Rischi chiave con possibili impatti sui sistemi informativiPROBABILITA’

2018

IMP

AT

TO

2019WEF – The Global Risk Report

Variazione Probabilità (P)-Impatto (I) tra 2018 e 2019

P I


Terna e il contesto di minaccia Cyber


Evoluzione dei Sistemi di Controllo Industriale e

RischiL’evoluzione dei sistemi nel settore elettrico, implicando una maggiore integrazione fra

mondo OT (Operational Technology) e IT (Information Technology), introduce un nuovo livello

di rischio Cyber per gli operatori

€


Principali differenze fra sistemi IT e OT

Il progresso tecnologico in ambito industriale passa necessariamente attraverso l’evoluzione

dei sistemi legati ai domini OT e IT


Cybersecurity: un contesto normativo in evoluzione

2013 2014 2015 2016 2017 …20192012 2018

Mozione Rampolli

al Senato (Maggio

2012)

Emissione del

Decreto del

Presidente

del Consiglio

dei Ministri

DPCM-Monti

Definizione di un

Codice di Governo

Societario della

Borsa Italiana

Emissione del

Quadro Strategico

Nazionale e Piano

Nazionale

Emissione del

Cyber Security

Framework

Nazionale

Approvazione

GDPR

Approvazione

Direttiva NIS

Emissione del DPCM-

Gentiloni

Pubblicazione del

Piano Nazionale

Connessione alla

Strategia Nazionale

Energia

…

Applicazione GDPR

Decreto recepimento

Direttiva NIS Dlgs

65/2018

Entrata in vigore

Direttiva sui servizi di

pagamento PSD2

Cybersecurity Act

FMI-Cyber Resilience

(Financial Sector)


Il nostro team

12

Cybersecurity & Data Protection

Computer

Emergency

Readiness

Team (CERT)

Cybersecurity

Engineering

Cybersecurity

Assessment

Presidiare il processo di gestione in tempo reale della sicurezza operativa logica ed il processo di

protezione dei dati personali per tutto il Gruppo, attraverso lo sviluppo di strumenti e standard di

cybersecurity, la verifica di vulnerabilità dei sistemi e della compliance alla normativa sulla Privacy

Data

Protection &

Privacy

Information

Security


Il nostro team: CERT

13

• Garantire il monitoraggio centralizzato in tempo reale dello stato di Cyber Security delle piattaforme

ICT del Gruppo in ambito Information Technology (IT) e Operational Technology (OT);

• Gestire processi/procedure di comunicazione (“Cyber Security Situational Awareness”) ed

escalation interne/esterne in occasione di incidenti di sicurezza Cyber e coordinare le azioni di

risposta;

• Assicurare lo sviluppo e la gestione di strumenti di monitoraggio dello stato di Cyber Security, di

risposta agli incidenti, di “Threat Intelligence” e degli strumenti digitali interni/esterni quali Firma

Digitale, Posta Elettronica Certificata (PEC), Cifratura e Autenticazione per il Gruppo.


Computer

Emergency

Readiness

Team (CERT)

Cybersecurity

Engineering

Cybersecurity

Assessment

Data

Protection &

Privacy

Information

Security


Il nostro team: CSE

14

• Assicurare lo sviluppo dei sistemi di sicurezza logica perimetrale (“Perimeter Defense”) delle reti

Terna e dei sistemi di sicurezza a protezione del canale email e della navigazione Internet;

• Assicurare lo sviluppo di strumenti e standard di sicurezza, coerenti con le policy di Information

Security, al fine di supportare il “Security by Design” in ambito Information Technology (IT) e

Operational Technology (OT).


Computer

Emergency

Readiness

Team (CERT)

Cybersecurity

Engineering

Cybersecurity

Assessment

Data

Protection &

Privacy

Information

Security


Il nostro team: CSA

15

• Verificare l’applicazione del modello di gestione dei rischi ad infrastrutture tecnologiche, sistemi, reti

e applicazioni aziendali, nelle varie fasi del loro ciclo di vita;

• Effettuare il “Vulnerability Assessment” e il ”Penetration Testing” sulle reti e sui sistemi del Gruppo

e monitoraggio dei piani di rientro;

• Effettuare analisi, se necessario anche forensi, a seguito di incidenti rilevanti di Information

Security.


Computer

Emergency

Readiness

Team (CERT)

Cybersecurity

Engineering

Cybersecurity

Assessment

Data

Protection &

Privacy

Information

Security


Il nostro team: DPP

16

• Presidiare la compliance del Gruppo Terna alla normativa sulla Privacy in ambito nazionale (D. lgs.

196/03 e successive modificazioni e Provvedimenti del Garante per la protezione dei Dati

Personali) e comunitario (Regolamento UE 2016/679 - General Data Protection Regulation (GDPR)

- in materia di protezione dei Dati Personali);

• Assicurare il supporto al Delegato Privacy nell’implementazione e aggiornamento del Modello di

gestione della Privacy nelle Società del Gruppo, in collaborazione con Affari Legali e Societari e nel

coordinamento degli adempimenti di legge previsti dal Codice sulla Privacy e dal Regolamento UE

2016/679 in capo alle Società del Gruppo


Computer

Emergency

Readiness

Team (CERT)

Cybersecurity

Engineering

Cybersecurity

Assessment

Data

Protection &

Privacy

Information

Security


Il nostro team: IS

17

• Definire indirizzi, policy e procedure per la classificazione e protezione del patrimonio informativo

del Gruppo e per la sicurezza informatica di sistemi e reti (infrastrutture, piattaforme, servizi e

applicazioni ICT);

• Presidiare la compliance a leggi e aspetti regolatori in materia di protezione delle informazioni, di

sicurezza informatica, di contrasto dei reati informatici, di dematerializzazione e conservazione

sostitutiva;

• Supportare la struttura ICT nella definizione dei requisiti di sicurezza nelle fasi del “ciclo di vita”

(progettazione, acquisizione, implementazione ed esercizio) di sistemi, componenti e servizi ICT.


Computer

Emergency

Readiness

Team (CERT)

Cybersecurity

Engineering

Cybersecurity

Assessment

Data

Protection &

Privacy

Information

Security


La Cyber Defence realizzata da Terna

Controllo Accessi logici

Information

Technology

Operational

Technology

Vuln. Assessment

e Penetration Test

Sicurezza navigazione

Monitoraggio e Risposta Eventi Sicurezza Logica

Sicurezza logica perimetrale

Sicurezza end point

Sicurezza canale email

Business Asset Critical Business Asset

ProcessiRisorse Tecnologie

Detection

Respond

Prevention

IS PolicyServizi digitali

Politiche e Information Security Framework

Security by Design sistemi IT e OT


Cybersecurity4IoT


Cybersecurity4Cloud


Computer Emergency Readiness Team

(TERNA-CERT)

21


Modello Operativo del CERT

22

CERT Terna

Services Portfolio

Technical & Executive Reporting

Identity Management

IAM

Digital

Real Time

Security Monitoring

Events of Interest

(EoI) Detection

Events of Interest

(EoI) Analysis &

Classification

Security

Intelligence

Data Collection

Processing

Analysis

Planning

Dissemination

Incident

Handling

Classification

Notification

Evidence Gathering

Response

Recovery

Identification

Post-Mortem

Security Content

Engineering & Threat

Hunting

Log Management

Threat Hunting & Use

Case Management


Architettura logica del CERT

23

Sources

Bulletin

Security Governance

Identification Classification Notification Response

Security

AlertsKnowledge

Base

Policy People Processes

Reporting

Top

Management

Stakeholders

ICT

CISOWorkflowSecurity

Events

And

Alarms

Remediation

Task

Service

Desk

Ticket

SIEMSecurity Events

Antivirus

Anti

Spam

Security

Devices

CERT

Users

Intelligence

IT CERT,

Vendors, …

L’architettura logica è composta da sorgenti esterne, dagli strumenti di detection e analisi proprie del

CERT e strumenti a supporto (ad es. ticketing, asset inventory, …)


Cyber Defence Technology Blueprint

24

Tecnologia completamente adottata e

integrata nelle capability del CERTTecnologia parzialmente adottata e

integrata nelle capability del CERT

Tecnologia abilitante presente, non

ancora integrata nelle capability del CERTTecnologia nella Roadmap, deve essere

acquistata e integrata

Nessuna/parziale autorità sulle capacità

della tecnologia

1. GRC 2. Security Analytics

6. Awareness & Training

3. Active Defence & Investigation

9. Identity & Access Management8. Application Protection

5. Threat & Vulnerability Management

4. Event Management

7. Data Security

11. Infrastructure & Network Protection

1.1 Policy Management

1.2 Enterprise Reporting

1.3 Performance Management

1.4 Security Compliance

2.1 Big Data Analytics - UEBA 2.2 SIEM 2.3 Data Visualization

7.1 Data LossPrevention

7.2 Data Discovery, Audit & Protection

7.3 IntegrityMonitoring

6.1 SimulationPlatform

3.1 Automation & Orchestration

3.2 Forensic & Investigation 3.3 Deception & Decoy

9.1 Identity Management

5.4 Asset Discovery**

8.1 Web Application Firewall

11.1 Endpoint security 11.2 Mobile Security 11.3 IDS/IPS 11.4 Firewall 11.5 Content Security 11.6 Email Security

3.4 Endpoint Detection & Response

11.7 Cloud security 11.8 DDOS Protection

5.1 VulnerabilityManagement** 5.2 Patch Management

4.1 Log & Event Management* 4.2 Data Lake 4.3 Network Traffic Analysis

1.6 Incident Management

5.3 Pen Testing & BreachSimulation

10. Threat Intelligence

10.1 Data Feed 10.2 Information Sharing

10.3 Threat Intelligence Platform

10.4 Digital RiskProtection

9.2 Identity Governance

Tecnologia non presente, non ancora

prevista nella Roadmap

1.5 Knowledge Base

9.3 PrivilegedAccount

Management

9.4 Access Management

* Tecnologia abilitata attraverso il SIEM** Tecnologia abilitata attraverso Vulnerarbility Assessement della struttura CA-TA-SOP-CSA

High level view dello stato di adozione delle tecnologie di Cyber Defence che concorrono a rafforzare

proattivamente e reattivamente la postura di sicurezza di Terna e quanto esse sono adottate e integrate

nelle capability del CERT.


Security Reporting (example)

25

Il grafico mostra il numero di email pervenute e bloccate automaticamente per Spam/Phishing/Malware

dai sistemi di Email Protection e il totale di email provenienti dall’esterno.


Data breach (example)

26

Caselle postali Terna coinvolte (*) in Massive Data Breach di Servizi Internet.

Pervenuta a dicembre: You’ve Been Scraped riportante 287 indirizzi di posta aziendale. In questo caso si tratta di

ulteriore collection di breach, pertanto nessun ulteriore utente è stato coinvolto.

* Fonte principale: sito Have I Been Pwned (HIBP), cfr mail CERT Nazionale [rif.4515] e Segnalazioni del CNAIPIC

Ashley M., Bitly Bolt, CrackingForum, Creative, Disqus, Drako.it, Eroticy, Fling, iMesh, iPmart, Libero, mail.ru.Dump, MDPI , MDPI, Money Brokers, NetEase, OK Medicina, uTorrent


Cyber Threat Intelligence

27

• Il CERT di Terna è responsabile di assicurare lo sviluppo e la gestione degli strumenti di Threat

Intelligence e di gestire processi e procedure di comunicazione (Cyber Security Situational

Awareness) in caso di incidente di sicurezza Cyber.

• In tal senso il CERT provvede a:

– Fornire informazioni in modo tempestivo su potenziali minacce che possono causare danni agli asset di Terna o ai propri dipendenti

– Incrementare il livello di awareness della popolazione aziendale e la cyber security culture

– Cooperare con le organizzazioni paritetiche e le istituzioni, sia livello nazionale che internazionale e sia pubblico che privato, al fine

di favorire la cooperazione e l’information sharing

– Mantenere costantemente aggiornato il top management del Gruppo Terna sullo stato di cyber security (ad es. attraverso la

reportistica giornaliera riportata sul Mattinale)

• Inoltre la gestione della Cyber Threat Intelligence viene effettuata attraverso l’adozione di

specifiche piattaforme (Cyber Threat Intelligence Platform - TIP) e gestione di informazioni di

intelligence del CERT sfruttando un approccio “intelligence driven” e “actionable intelligence”

(commercial vs. tailored intelligence)


Q&A


Backup


Modello Operativo del CERT

30

CERT Terna

Identity ManagementReal Time

Security Monitoring

Security

Intelligence

Incident

Handling

Security Content

Engineering & Threat

Hunting

Consistenze

• 77 Milioni di eventi

ricevuti al giorni

Consistenze

• 190 Schede di

segnalazione

inviate

mediamente su

base mensile

• 31 comunicazioni

inviate al DPO

Consistenze

• 900 segnalazioni

gestite da Enti

Istituzionali nel

corso del 2018

Consistenze

• 50 nuovi ambiti

integrati nei

sistemi di

monitoraggio

Consistenze

• 4300 Anagrafiche

IAM

• 110 Firme Digitali

• 35 SSL Web

• 80 PEC

Key facts del 2018


Modello Funzionale del CERT

31

Reaction & Response

Digital ForensicPolicy & Compliance

ManagementIncident Investigation

Event Collection & Management

Aggregation &

NormalizationArchivingCollection & Filtering

Detection & Analysis

Workflow & Ticketing Incident PrioritizationReal-time Analysis

Reporting

Info Sharing & Awareness

Reporting

Capability Management

Governance

Engineering

Come evolve la Cybersecurity per abilitare la transizione ...€¦ · Presidiare il processo di...

Documents

Transcript of Come evolve la Cybersecurity per abilitare la transizione ...€¦ · Presidiare il processo di...