La sicurezza nelle tue

mani: PalmSecure

Roberto Cherubini

Fujitsu Technology

Solutions

1

Evoluzione tecnologica…

Proliferazione di dispositivi di accesso: - Cellulari

- Smartphone

- Tablet

- Notebook/Netbook

- Desktop

Sempre maggiore velocità di propagazione della tecnologia “Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?”

Radio

TV

Internet

iPod

Ma anche: - Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno - 1 coppia su 8, sposata negli USA si è conosciuta via Social Web - 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale, - 95% di loro utilizza allo scopo Linkedin

13 anni

4 anni

3 anni

38 anni

2

Accesso diversificato Da una recente ricerca in USA sugli

impiegati:

- 37% usa tecnologia «do it yourself»

- 97% utilizza > 2 dispositivi

Diverse Apps Nel 2015 il mercato

delle Mobile App

sarà di 38 Miliardi $

Diversi Dispositivi

Nel 2010 le vendite di Tablets e

smartphone hanno superato quelle dei PC

Nel 2015 ci saranno 1.1 miliardi di cellulari

e 300 milioni di tablets

Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011

Il ritmo ed il tasso di cambiamento tecnologico sono veloci…

3

…più veloci che mai…

DEVICE

66% usa per lavoro 2 o più dispositivi

Entro il 2016 il 50% di tutti i dispositivi

non-PC saranno BYO

DEVICE

Nel 2014 si spediranno più dispositivi

Android che iOS

Previsioni di vendite e refresh costanti di

PC, anno su anno

APPS

300 Miliardi di downloads di applicazioni

entro il 2016

L’80% delle applicazioni delle LOB sono

SaaS

ACCESSO

52% delle società supporta impiegati

mobile/remote

Più del 30% della forza lavoro mondiale è

mobile

Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011, IDC 2012

4

Impiegati ed utilizzo strumenti IT

5

Risposte tipiche al problema….

IGNORARLO!!

Scarso controllo

Mancanza di sicurezza e conformità

BLOCCARLO!!

Forza lavoro scontenta

IT visto come fonte di complessità

ACQUISIRE UNA SOLUZIONE AD HOC!!

Incremento dei costi, scarsa scalabilità

Gestione difficoltosa

6

Perchè parlare di sicurezza?

Gestire gli accessi alle infrastrutture per:

Lavoratori remoti e “mobile”

Partners e clienti

Collaboratori occasionali

Rischi per la sicurezza:

Dati

Applicazioni

Accessi alla rete

Diffusione di informazioni

Internet

LAN

7

Da dove provengono le possibili minacce ?

Virus

Uso non

autorizzato

Social

network

Furto

manomissione

Danni

Intrusioni

Spam

Software

Password

ripetute

Controllo accessi inadeguato

Spyware

Keyloggers

Il confine tra privato e professionale non è più così definito

Privato

Professionale

8

Alcuni esempi eclatanti…

Server olandese lancia l'attacco più potente della storia Il New York Times l'ha definito uno dei più grandi attacchi alla Rete della storia. Per altri è come una

guerra mondiale virtuale. mentre i più ottimisti lo paragonano a un'autostrada intasata.

Sicurezza informatica 2012: triplicati gli attacchi DDOS Alla luce di questi dati non c’è da star tranquilli quando si è al Pc. Certo gli attacchi sono mirati

prevalentemente alle grandi istituzioni o aziende per via dei dati in esse contenuti ma i fenomeni di

furto d’identità o phishing sono in rapida ascesa come in generale la cyber criminalità. Questo

2013 come è stato confermato da più fronti vedrà inoltre la crescita dei fenomeni di cyber crime

rivolto al mondo mobile.

Privacy: informative di rischio per cloud e smartphone Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso anno e accende i

riflettori su cloud e smartphone. La consapevolezza fondamentale per mitigare i rischi, ma un

ruolo chiave toccherebbe ai provider.

9

Violazione dei dati e furto di dati nelle imprese

Furto di passwords, trasferimento

Dimenticanza della smart card, furto, trasferimento

Furto d’Identità

Trattamenti medici non autorizzati treatments

Accesso non autorizzato a locali/palazzi

Servizi di “social welfare” non autorizzati

Skimming, Frodi

ATM manipolati

e-banking manipolato

Carte d’identità manipolate

Hacking

accessi, furto, manipolazione di dati personali e documenti

di enti governativi, autorità

Cosa interessa i ‘malintenzionati’?

10

Interruzione dei processi

Downtime

Perdita dei dati Proprietà intellettuale

Documenti „strategici“

Perdita di tempo

Perdita di denaro

Perdita di business

Immagine danneggiata Reputazione e confidenza dei clienti

Insolvenza

Effetti

Problemi finanziari

Valore delle azioni

Relazioni con fornitori/clienti

IT come opportunità per gestione

dei rischi

Rischi per la sicurezza minacciano

vantaggi offerti da IT

Rischi connessi alla sicurezza

€

La sicurezza (o la sua mancanza) è un problema da affrontare

11

Le preoccupazioni circa la sicurezza

Furto dispositivi

Perdita dei dati

Accesso non autorizzato a dati societari (confidenziali)

Virus, worms

Accesso non autorizzato alle reti aziendali

4,1

4,0

4,0

3,9

3,8

Rating System 1-5

*Network Specialist; 2009

12

Aumento dei costi per la sicurezza

2003 2005 2007 2009

500k

750k

1,000k

1,250k

1,500k

1,750k

> 600k

750k

1,350k

Average total costs per reporting company was $4.8

million per data breach (2006 Annual Study: The cost of data breach, Ponemon Institute, 2007

Unità

rubate

Anni

Incremento dei costi legati a furti o smarrimento dei notebook aziendali

Il valore medio di un laptop “perso” è di $49,246.

Questo valore è basato su 7 componenti di costo: sostituzione,

individuazione, giudiziario, violazione dati, perdita di proprietà

intellettuale, perdita produttività e legale, spese di consulenza e

normative. Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009

13

Quanto valgono i Vs dati personali?

Ai cybercriminali i dati personali fruttano circa 400€

Una patente “taroccata” costa fino a 200 euro Gli estremi di un conto corrente fino a 180 euro.

Nuova identità viene circa 250 euro tramite siti Internet dedicati alla compravendita di documenti falsi. (siti raggiungibili facilmente tramite i normali motori di ricerca….)

Spesso sono gli stessi utenti a “facilitare” il lavoro a chi, per professione (!?), si occupa del furto di identità. Da una ricerca recente emerge che spesso, in modo molto disinvolto, si forniscono i propri dati personali:

- l'82,5% fornisce liberamente il proprio nome e cognome, - il 59% ci aggiunge la data di nascita, - il 48% il proprio indirizzo - il 33% completa il tutto con il numero del cellulare.

Identity management

14

Obiettivi della sicurezza IT

Confidenzialità (privacy)

Nessun accesso all’informazione senza

autorizzazione

Integrità

Nessuna alterazione dell’informazione senza

autorizzazione

Disponibilità

Assicurare accesso all’informazione agli utenti

autorizzati quando la richiedono

Prevent Denial of Service

Dati

e

Servizi

Disponibilità

Triangolo CID

La sicurezza riguarda il triangolo CID

15

Livello di Sicurezza

Audit-proof Protection

Data Protection

Access Protection

System Protection

• Password

• Biometrics

• SmartCard

• BIOS

• SSO

• TPM

• HDD Password

• Software- based Encryption

• Hardware-based Encryption

• Advanced Theft Protection

• EraseDisk

• Kensington

• Intrusion Detection

16

Accesso – Il logon dell’utente è sicuro?

Molti sistemi di sicurezza si basano su password “segrete”

Necessità di ricordare molteplici password

PWD spesso ripetitive o semplici da ricordare

(admin/admin, data di nascita, nome della moglie/marito…)

I Social contengono molto spesso i dati con cui ricostruire le PWD

L’accesso ad applicazioni (soprattutto WEB) richiede come Login una

MAIL = un parametro di sicurezza in meno

Se costretto ad usare password “complicate” l’utente, tende ad

annotarla (e la conserva in cassetti, attaccata a monitor, tastiere…)

Device Mobili conservano al loro interno le PWD di accesso a tutte le

nostre attività – o almeno a quelle accessibili da tali devices

17

Best Practice e Policy per le Password

Cambiare le passwords predefinite

Uso di “Strong passwords”

Sintassi

Lettere, numeri, caratteri speciali

Case-sensitive

Lunghezza minima

Non usare il salvataggio automatico

Cambiare regolarmente

Durata massima

Ciclo (o storia delle password), riutilizzo

Attenzione ad annotare le password!!

Differenti apps –> differenti passwords!!

Definire la politica di password appropriata

18

Autenticazione – vari livelli

Conosco

Password / PIN

Possiedo

Chip card, token (1-time password)

Certificato

Sono

Biometrico (e.g. fingerprint, palm vein)

Autenticazione Multifattore

Combinazione di alcuni metodi

Qualcosa che conosce e che possiede

Incremento del livello di sicurezza

Verifica dell’identità

19

Policy di accesso ed utilizzo

Bloccare l'accesso ai luoghi di lavoro

Utilizzo dello screen saver quando si lascia il

dispositivo incustodito

Dopo il periodo di inattività

Durata dipende dal livello di rischio per la sicurezza

Sbloccare l’accesso tramite password

Bloccare l’account dopo un dato numero di

tentativi

Sblocco dell’account

Manualmente a carico dell’admin

Automaticamente dopo una durata definita

20

Certificati

Utilizzato in aggiunta a user name e password

Per alcune apps o processi di logon

Generati dal server di authentication authority

nel DC

Memorizzato in forma criptata

Integrto nel browser

In ben definita posizione nell’OS

SmartCard (es. Pagamenti,…)

Rinnovo ciclico (es. annuale)

Se i dispositivi sono più di uno, il certificato

dovrebbe essere installato più volte

Applicabile solo per certificati software

Certificati HW solo per il rispettivo dispositivo HW

21

Controllo d’accesso per PC stand-alone

Password di BIOS

Autenticazione Pre-boot

Nessun boot per utenti non autorizzati da

dispositivi esterni (per copiare HDD)

Logon al Sistema Operativo

User account e password

SmartCard

Biometrics

Any combination (multi-factor)

22

PalmSecure – Biometric Technology

L’utilizzo della soluzione biometrica non è più una questione di “PERCHE’?”

ma diviene sempre più una questione di “QUALE?”,

“DOVE?”

e

“QUANDO?”

E’ tempo per una soluzione Biometrica!

23

Perché? Sicurezza combinata con convenienza

Autenticazione reale

Social security

Accesso veloce e facile

Mantenimento della privacy

Riduzione del costo e del workflow

Quale soluzione biometrica? Quella con i migliori livelli di FAR / FRR / FTA / FTE

La meno sensibile all’influenza di fattori ambientali

Applicabilità prossima al 100%

La più igienica

Che rispetta completamente i criteri dei processi di autenticazione

Utilizzo indipendente dall’età dell’utilizzatore

Perchè e quale soluzione biometrica?

24

False Acceptance Rate (FAR)

& False Rejection Rate Comparison (FRR)

Lo scanner Palmvein di Fujitsu è la tecnologia più accurata e più pratica.

Authentication Method FAR (%) = If FRR (%) =

Face recognition ~ 1.3 ~ 2.6

Voice pattern ~ 0.01 ~ 0.3

Fingerprint ~ 0.001 ~ 0.1

Finger vein ~ 0.0001 ~ 0.01

Iris/Retina ~ 0.0001 ~ 0.01

Fujitsu Palm vein < 0.00008 ~ 0.01 Accuratezza

Pra

ticit

à

Face

recognition

Fingerprint

Palm vein

Alto

Alto Basso

Voice

pattern

Signature

Iris/Retina

Finger vein

Basso

Confronto Autenticazione - Precisione

25

Palm Vein – Vantaggi dell‘autenticazione

Elevata sicurezza & Permanenza

– vantaggi delle vene

Nascoste sotto la pelle

difficile falsificazione

Uniche, anche tra gemelli identici

Nessun cambiamento.

Rimangono le stesse per tutta la

vita

Rilevabili solo quando scorre il

sangue

Elevata accettazione

Soluzione molto igienica -

nessun contatto

Utilizzo facile ed intuitivo

Pattern biometrico nascosto

all’interno del corpo (privacy)

Elevata accuratezza – vantaggi

del palmo rispetto al dito

I pattern Palm Vein sono

complessi. Più di 5 milioni di punti

di riferimento

Nel palmo vi sono vene più

spesse di quelle delle dita –

identificazione facilitata

Le vene del palmo sono insensibili

rispetto l’ambiente (temperature

fredde, graffi, uso di creme)

1 3 2

26

PalmSecure - Prodotti

Value for Buyers 1. PalmSecure è una tecnologia di sensori biometrici, che utilizza

l’unicità del pattern delle vene del palmo per svolgere

l‘autenticazione degli individui con elevato grado di sicurezza

2. I sensori PalmSecure possono essere usati per

Soluzioni di controllo accesso fisico

Soluzioni di controllo accesso logico

Soluzioni di controllo accesso di dispositivi

3. Le soluzioni basate su PalmSecure sono principalmente usate

nei seguenti segmenti di mercato

Sanità

PA

Dettaglio

4. Sono disponibili soluzioni pronte all’uso così come soluzioni

per OEM e System Integrator

Banche

Imprese

Industrie

Sensori OEM

PalmSecure

Soluzioni

PalmSecure per

Log In/SSO

Tastiere

PalmSecure per

Log In/SSO

Notebook/Tablet

PalmSecure

(BTO planned)

Rilevazione presenze

Accesso a dispositivi

Controllo d‘accesso fisico

Nuove soluzioni PS

27

Ampia gamma di applicazione

28

Controllo accesso Fisico

In questo esempio, un data center è dotato di sistemi di controllo degli accessi fisici con diversi

livelli di sicurezza. La biometria viene utilizzata nella zona di più elevata sicurezza.

29

Casi reali– ambito finanziario

127% 124%

121% 119%

119%

• Tokyo Mitsubishi Bank

• Ogaki Kyoritsu Bank

• SuragaBank

• Ziraat Bank

• IS Bank

• Garanti Bank

Alcuni costruttori di ATM stanno già offrendo ATM biometrici sulla base della domanda da parte delle banche

Utilizzo di dati biometrici nel bancomat / VTMS è già una realtà

In Sud America, Asia, Medio Oriente il numero di utenti di ATMs/VTMs biometrici sta aumentando notevolmente

•Vakif Bank

• Bradesco Bank

• Sparkasse (pilots)

• Deutsche Bank (pilots)

• Santander Bank (pilots)

30

ATM - Operazione senza card

31

Casi reali – Mercato sanità

Oltre 150.000 sensori

sparsi in 81 città,

migliaia di ospedali

statali, privati, cliniche e

farmacie

Attualmente il maggior progetto al mondo sulla sanità nazionale

Turkish SGK ha deciso di utilizare PalmSecure per identificare i pazienti

Registrazione biometrica di ca. 80 milioni di cittadini Turchi entro il 2017

32

Pubblica amministrazione /

Enterprise / Industria

Vienna Airport

Indian Railways

Lockeed Martin

Turkish National ID card project

Portugese Telecom Datacenter

EasyGym healthclubs

TDS Datacenter

Baseler Insurance

Alcuni ulteriori casi PalmSecure…

33

Rilevazione presenze e controllo accessi

127%

124%

121%

119%

119%

Imprese, autorità, industrie stanno sempre più utilizzando soluzioni di controllo accessi

biometrico per interi palazzi, stanze o per il log in a infrastrutture IT o per l’accesso a

stabilimenti produttivi

Ora, queste applicazioni possono essere combinate anche con soluzioni biometriche di

rilevazione delle presenze

Chi può entrare? Dove? A che ora?

Combinazione di controllo accessi fisico/logico

e rilevazione presenze dal costo contenuto

Controllo accessi log in /SSO pilotato da

un middleware per la rilevazione delle presenze

centralizzato

34

Casi reali – Controllo accessi aeroporto

>50.000 impiegati e staff di servizio

Template biometrici su smartcard Legic

250 access point sicuri

Altri aeroporti in valutazione

35

Ricapitolando…

36

Raccomandazioni - come procedere

Considerare la sicurezza in tutti i progetti

Definire gli obiettivi di sicurezza e le misure appropriate

Effettuare un Assessment

Legislazione, Contratti

Requisiti Cliente, Competition

Valori da proteggere (Esperienze, segreti commerciali, dati personali)

Possibili danni

Redigere un Piano d’Azione

Definire le Responsabilità

Personale permanente, reparto, tutti

Delegati

Documentare e Comunicare

Evitare la complessità per gli utenti

Effettuare check regolari sulla sicurezza

37

Il contributo di Fujitsu

Workplace systems

Caratteristiche di sicurezza integrate

Accessori

Stretta partnership con i principali vendor

di software di sicurezza

One-stop shop:

Server e Storage certificati

Dispositivi di accesso

Servizi End-to-End

Partnerhip

Varie opzioni per scegliere il giusto

livello di sicurezza

Servizi certificati ISO 27001

Lunga e comprovata esperienza

38

In conclusione…

La sicurezza non comporta (per forza)

elevati investimenti!

Il costo di un incidente di sicurezza (violazione dei

requisiti di conformità) può rivelarsi molto maggiore

La centralizzazione del desktop può

incrementare la sicurezza

Fattori di successo:

Buonsenso

Procedure organizzative ben definite

Personale affidabile e ben informato

Eliminare la complessità per gli utenti finali

La sicurezza non è mai una condizione

statica, ma un processo in corso

Fujitsu può essere il VS partner di riferimento Fujitsu - Your Partner of Choice

for IT Security

Dati

e

Servizi

Disponibilità

39

Grazie della Vs attenzione

“the key is your hand”

40