Confindustria udine sicurezza in produzione 2014

Sicurezza Cibernetica, la consapevolezza delle Aziende nei Settori Critici e Produttivi del Nord Est

Dr. Luca Moroni - Via Virtuosa

QUADERNO ISACA VENICE

Sicurezza Cibernetica Nazionale, la

consapevolezza delle Aziende nei Settori

Critici del Nord Est

Scenario e Linee guida per l’autovalutazione

Luca Moroni

20 Novembre 2014



ISACA Venice Chapter è una associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi.

Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance, Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA©: CISA©, CISM©, CGEIT©, CRISC©, COBIT5© Foundation (www.isaca.org/chapters5/venice).

ISACA (Information Systems Audit & Control Association) è una associazione internazionale, indipendente e senza scopo di lucro.

Con oltre 100.000 associati a 200 Capitoli in più di 160 Paesi, ISACA è leader mondiale nello sviluppo delle competenze certificate, nella promozione di community professionali e nella formazione nei settori dell’assurance e sicurezza del governo dell’impresa, della gestione dell’IT, dei rischi e della compliance in ambito IT (www.isaca.org).



Luca Moroni

Coordinatore di gruppi di Approfondimento per ISACA VENICE

Chapter

Quaderno n.1: Vulnerability Assessment e Penetration Test. Linee

guida per l’utente di verifiche di terze parti sulla sicurezza ICT.

Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza

delle Aziende nei Settori Critici del Nord Est

Laureato in Informatica a Milano, Certificato CISA e ITIL V3 e

Certificazioni di settore

Membro di ISACA

Da 15 anni appassionato di Sicurezza Informatica a livello

professionale tenendo seminari nel Nord Est sull’argomento

Mi occupo di selezionare per i clienti le aziende fornitrici di tecnologie

informatiche in base alle loro competenze specifiche. Sono fautore da

sempre di aggregazioni di rete



Giuseppe Esposito CISA, PMP, LA 27001,

CSA-STAR, 22301, 9001, ITIL-V3 Foundation,

ISO2000 Foundation

Alessandro Guarino LA 27001

Pierlugi Sartori CISSP, CISM, CGEIT, CRISC,

MBCI

e

Il presidente del Capitolo Orillo Narduzzo per la

fiducia accordata

Ringrazio il Team per aver contribuito attivamente alla

realizzazione di questo QUADERNO



Evento ISACA VENICE CHAPTER 3 Ottobre 2014 – Venezia

Intervento Dr. Marco Balduzzi (In)security of smart transportation at sea

The Automated identification System (AIS)



L’anno scorso avevamo fatto questa domanda:

Ha mai svolto delle analisi di sicurezza nel perimetro interno?

Dove l’analisi è composta da una serie di processi che simulano le azioni normalmente svolte da un dipendente e consulente nella rete interna.

Il 57% non ha mai

svolto una analisi

interna o non ne

sente l’esigenza



Ma se fosse una Azienda/Ente che un impatto sulla

vita sociale?

Questa la ricordiamo tutti



Cosa si intende per Infrastruttura Critica

Una infrastruttura viene considerata critica a livello europeo se la sua compromissione avrebbe un serio

impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica e logica o il

benessere economico dei cittadini, o sull’effettivo funzionamento dello Stato; oppure potrebbe portare

gravi conseguenze sociali o altre drammatiche conseguenze per la comunità



Quali sono i settori critici per l’Italia

• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale

• Telecomunicazioni e telematica;

• Risorse idriche e gestione delle acque reflue;

• Agricoltura, produzione delle derrate alimentari e loro distribuzione;

• Sanità, ospedali e reti di servizi e interconnessione

• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei

carburanti e dei prodotti di prima necessitali

• Banche e servizi finanziari;

• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);

• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze.

• TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA VITA



Cyber minaccia per le Infrastrutture Critiche dell’Italia

9/3/2014: La "relazione sulla politica dell’Informazione per la Sicurezza -2013”, presentata in Parlamento dalla Presidenza del Consiglio per la prima volta pone al primo posto la Minaccia Cyber.

Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del piano di protezione nazionale, l’Italia vanta una delle più alte percentuali in Europa di PIL prodotto da aziende medie, piccole e micro-aziende, le quali

detengono un patrimonio in termini di know-how.

Questo know-how è a rischio, come descrive la relazione. Per due motivi:

1) Vi è in grande numero di attori interessati ad appropriarsi di know-how

attraverso l’uso di strumenti Cyber

2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi

aziende, di conseguenza la sottrazione di know-how avviene in modo più

semplice e invisibile.

http://www.agendadigitale.eu/infrastrutture/722_cybercrime-danneggia-il-sistema-italia-per-20-40-mld-annui.htm



Le aziende appartenenti ai settori Critici nel Nord Est

® Gruppo di Lavoro 2013 Isaca Venezia

Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est

Indagine svolta su 55 aziende

Produzione, trasmissione,

distribuzione, dispacciamento

dell'energia elettrica e di tutte le

forme di energia, quali ad esempio il

gas naturale

Telecomunicazioni e telematicaRisorse idriche e gestione delle

acque reflue

Agricoltura, produzione delle derrate

alimentari e loro distribuzione

Sanità, ospedali e reti di servizi e

interconnessione

Trasporti aereo, navale, ferroviario,

stradale e la distribuzione dei

carburanti e dei prodotti di prima

necessità

Banche e servizi f inanziari

Sicurezza, protezione e difesa civile

(forze dell'ordine, forze armate,

ordine pubblico);

Le reti a supporto del Governo,

centrale e territoriale e per la

gestione e delle Emergenze



DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica?

No

Si

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%






DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla

sicurezza informatica?

No

Si

0,00%

10,00%

20,00%

30,00%

40,00%

50,00%

60,00%






Abbiamo preso i dati dal recente report CLUSIT 2014 e aggregando gli incidenti informatici nei settori critici nel periodo 2011 – 2013. Li abbiamo inseriti in un modello statistico per ipotizzare l’andamento nei prossimi anni. L’ipotesi peggiore potrebbe prevedere quasi un raddoppio degli incidenti alla fine del 2014. Magari sull’onda dalla crescita fatta segnare dai nuovi obiettivi. Oppure confermare una stabilizzazione iniziata da Telecomunicazioni, Sanità ed Enti Governativi e Militari.

Uno scenario



DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una

violazione di sicurezza informatica di un elemento della sua infrastruttura

potrebbe avere un effetto anche al di fuori della sua azienda?

No

Si

0,00%

20,00%

40,00%

60,00%

80,00%

100,00%






Lo scenario verso la fabbrica

• Norme: di origine UE centrate attorno alla Infrastrutture Critiche e il loro controllo sempre più informatizzato

• L’Italia aggiunge anche la PMI

• Diffusione attacchi cibernetici a infrastrutture e impianti

• Principi applicabili a tutti, non solo alle IC designate:

• Approccio basato sulla gestione del rischio ed ad una sua valutazione per capire il contesto in cui si trova l’azienda

• Se gli impianti usano tecnologie ICT sono soggetti agli stessi rischi degli uffici e della sala server (vedi Stuxnet)

Sorgente: BSI analysis about cyber security 2012



I Sistemi di Fabbrica – L’evoluzione della sicurezza

IERIIERI OGGIOGGI

ARCHITETTURACollegamenti fisici

dedicati

Reti aperte su base IP

ADSL, USB, WIFI

TECNOLOGIASistemi proprietari con

protocolli specificiSistemi standard con protocolli standard

INCIDENTI Scarsi In crescita rapida

…..aziende medie,

piccole e micro-aziende,

le quali detengono un

patrimonio in termini di

know-how…..



I Sistemi di Fabbrica – L’evoluzione della sicurezza

IERIIERI OGGIOGGI

ARCHITETTURACollegamenti fisici

dedicati

Reti aperte su base IP

ADSL, USB, WIFI

TECNOLOGIASistemi proprietari con

protocolli specificiSistemi standard con protocolli standard

INCIDENTI Scarsi In crescita rapida

DATI USA: http://www.scadahacker.com/



Le 10 minacce più insidiose nei sistemi IT di fabbrica

• Uso non autorizzato degli accessi remoti per la manutenzione (VNC)

• Attacchi Online attraverso la rete degli uffici

• Attacchi a dispositivi IT standard presenti nella rete di fabbrica

• Attacchi DDOS

• Errori umani e sabotaggi

• Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell ecc…)

• Lettura e scrittura di comandi manipolabili perché non criptati (VPN)

• Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni di Default)

• Violazioni agli apparati di rete

• Problemi tecnici e casualità (backup delle configurazioni)

Sorgente: BSI analysis about cyber security 2012



Ufficio IT e Controllo di Fabbrica – Colloquio difficile

Devo

prepararmi ad

aggiornare!

Che problema

c’è? Funziona

e non si tocca

PER ME CONTA DI PIU’

LA PROTEZIONE DELLA

COMUNICAZIONE


LA DISPONIBILITA’

PROBLEMA!

Gianni Stefano



Ufficio IT e Controllo di Fabbrica – Esigenze diverse

Fabbrica Requisiti di Sicurezza Ufficio IT

Disponibilità, Integrità, Confidenziailità Priorità della Sicurezza Confidenziailità, Integrità, Disponibilità

h24x365g

(Riavvio non possibile)

Disponibilità Normalmente orario ufficio 8h

(Riavvio possibile)

Nel peggiore dei casi molto seri,

possibili anche vittime

Danni per l’Azienda Perdita di Denaro

Violazione Privacy

10 - 20 Anni Longevità 3-5 Anni

Risposte in Real Time Tempi di risposta Non importante

Dipende dal Produttore Mediamente

lunghi (una volta ogni 1~4 Anni)

Tempo medio di Update Frequenti e Regolari

Ufficio Produzione e Automazione Gestione a carico di Ufficio CED

Differenti Standard / definiti a livello di

Nazione

Standard di Sicurezza Standard Internazionali

Apparati (Attrezzature, Prodotti)

Servizi (Conitnuità)

Obiettivo della Sicurezza Protezione delle informazioni



DOMANDA: Quali di questi elementi della Sicurezza Informatica, che sono diventati

rilevanti in relazione alle nuove tecnologie, non ha mai preso in considerazione?




Sistemi di

Automazione

Industriale (PLC,

DCS, etc..)

Furto di informazioni

in formato elettronico

dall'esterno

Furto di informazioni

in formato elettronico

dall'interno

Cloud/Outsourcing

0% 10% 20% 30% 40% 50% 60% 70%



ROI per un attaccanteDove creo più

danni e

magari posso

ricattare una

azienda


LA PROTEZIONE DELLA

COMUNICAZIONE


LA DISPONIBILITA’



Ma se stiamo parlando di questo



E’ richiesta maggiore responsabilità

la Comunità Europea invita le industrie a riflettere sui modi per responsabilizzare amministratori delegati e le commissioni sulla sicurezza

informatica. Questa indicazione del livello di sicurezza informatica diventeràun valore per l’azienda come indicatore di affidabilità in particolare per le

aziende considerate critiche.

Concetti come “IT Security by Design” prevedono di incorporare la sicurezza informatica in tutte le fasi e aspetti, dalla progettazione delle strutture, alla

costruzione fino alla messa in produzione.



Il nostro contributo: uno strumento di autovalutazione

Abbiamo creato 5 check list, una per ognuna delle cinque aree diprocessi in cui viene scomposta la gestione della continuitàoperativa per una Infrastruttura Critica.

1. Misure preventive

2. Revisione della gestione della crisi

3. Gestione della crisi vera e propria

4. Follow-up (successivo alla crisi)

5. Esercitazioni




Prima check list: Misure preventive

Le misure preventive riguardano i processi relativi alla prevenzione degli eventi disastrosi.

Esempio

Area “misure preventive”, sez. “Information Technology”:

1.7.3.2 I dati critici sono memorizzati in posti diversi?

(Si verifica la disponibilità di backup dislocati in molteplici luoghi)




Seconda check list: Revisione della gestione della crisi

La revisione della gestione della crisi riguarda la preparazione dell’ambiente aziendale in modo che ci sia una efficace risposta alle situazioni disastrose.

Esempio

Area “Revisione della gestione della crisi”, sez. “Informazioni richieste ed archivi”

2.1.5.3 Gli archivi necessari sono tutti a portata di mano?

(Si verifica la disponibilità degli archivi necessari per la gestione della crisi)




Terza check list: Gestione della crisi vera e propria

La gestione della crisi vera e propria comprende i processi necessari a contenere le conseguenze di un evento disastroso quando quest’ultimo accade.

Esempio

Area “Gestione della crisi vera e propria”, sez. “Trattamento di dati critici ed archivi”

3.2.9.1 I supporti e gli archivi critici sono sempre tenuti in contenitori a prova di incendio e allagamento?

(si verifica l’efficacia delle misure di protezione di archivi e supporti durante un evento disastroso)




Quarta check list: Follow-up (successivo alla crisi)

Il follow-up permette di ricavare gli elementi di miglioramento del sistema di gestione dalla diretta esperienza nella gestione di un evento disastroso.

Esempio

Area “Follow-up”:

4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature?

(solo quando la crisi sia avvenuta davvero, si opera un controllo sulle attrezzature danneggiate. Il follow up serve per migliorare il sistema dall’esperienza diretta di una crisi.)




Quinta check list: Esercitazioni

Le esercitazioni sono i test di risposta agli eventi disastrosi.

Esempio

Area “Esercitazioni”, sez. ” Generalità”:

5.1.3 I canali di comunicazione interna ed esterna sono testati?

(Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad affrontare la possibile crisi. I canali di comunicazione sono una delle infrastrutture necessarie per una buona gestione degli eventi disastrosi)



Conclusioni

Giustamente l’Europa e l’Italia devono imporre una gestione normata del problema e devono supportare le aziende nei costi di gestione. Standard riconosciuti, come la norma ISO 27001 o

COBIT, vengono scarsamente adottati dalle aziende italiane proprio perché non percepiti come valore. Alcuni settori critici

come quello bancario stanno già adottando normative standard di sicurezza cybernetica.

La nostra Check List può fornire delle indicazioni ad un auditorma non può esulare una azienda critica dall’affrontare una

analisi più specifica del contesto di sicurezza cybernetica in cui si trova.

La fabbrica è l’anello più debole della sicurezza informatica



In 15 Domande

Identifica l’esposizione:•Come risultato del modello di business dell'organizzazione

•Come risultato delle minacce

•Come risultato delle vulnerabilità.

Identifica l’impatto:•Come risultato di requisiti legali e normativi dell'organizzazione

•Come risultato della sua perdita di informazioni riservatezza, integrità e disponibilità

•Come risultato del suo uso dei sistemi informativi a supporto dei processi aziendali

Metodologia di “ENISA 2008 - Determining Your Organization’s Information Risk Assessment and Management”

Work In Progress Via Virtuosa: Analisi del rischio informatico nell’area Nord Est



Da 1 anno stiamo conducendo una ricerca e una analisi sul profilo di rischio sulla sicurezza informatica nelle aziende del Nord Est su un campione che è attualmente

di 60 di aziende.

Lo studio ha come obiettivo quello di definire una Base Line per le aziende del territorio aggregando i dati raccolti su un campione 100 Aziende che si prefigge di

fotografare il territorio del Nord Est e l’esposizione al rischio informatico.

Se siete interessati, compilate il questionario per individuare come siete posizionati

Work In Progress Via Virtuosa: Analisi del rischio informatico nell’area Nord Est



LUCA! Sei sempre catastrofico….. Fantascienza



Ah beh….Non sono problemi per le nostre piccole aziende critiche



Jesolo 17 maggio 2013 (100Km da qui)

http://www.youtube.com/watch?feature=player_detailpage&v=VIqQyk_NNQY

LUCA! Ma si dai…. Non è un fenomeno del nostro territorio



Domande



[email protected]

PER SCARICARE IL QUADERNO

http://www.isaca.org/chapters5/Venice/Benefits/Documents/ISACA_VENICE_QUADERNI_05_INFRA_CRITICHE.pdf

Confindustria udine sicurezza in produzione 2014

Presentations & Public Speaking

Transcript of Confindustria udine sicurezza in produzione 2014