Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo...
Transcript of Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo...
![Page 1: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/1.jpg)
Atelier
Oggetti che comunicano. Ma ci dicono la verità?
Alessandro Vallega, Comitato Direttivo, Clusit
Alessio Pennasilico, Comitato Scientifico, Clusit
Venerdì 10 aprile 2020 orario 14.30-15.30 - StreamingEdition
#securitysummit #academy #streamingedition
![Page 2: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/2.jpg)
Slide di sfondo
Testo editabile
Alessio L.R. Pennasilico aka -=mayhem=-
Practice Leader Information & Cyber Security Advisory Team @
Security Evangelist & Ethical Hacker
Membro del Comitato Tecnico Scientifico
Presidente dell’Associazione Informatici Professionisti
Vice Presidente del Comitato di Salvaguardia per l’Imparzialità
Membro del Comitato di schema
Direttore Scientifico della testata
![Page 3: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/3.jpg)
Slide di sfondo
Testo editabile
Alessandro Vallega
3
Partner presso Partners4Innovation
(advisory & coaching, Digital 360)
Consiglio Direttivo Clusit
Fondatore e Chairman di Clusit Community
for Security
Fondatore e coordinatore di Europrivacy.info
![Page 4: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/4.jpg)
Slide di sfondo
Testo editabile
Agenda
4
• Security Summit Academy
• Parliamo di IoT
• Presentiamo il libro IoT Security e Compliance
della Clusit Community for Security
• Come partecipare al prossimo gruppo di lavoro
(Intelligenza Artificiale)
![Page 5: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/5.jpg)
Slide di sfondo
Testo editabile
Security Summit Academy
5
Non esistono problemi
esistono soltanto soluzioni
Il Security Summit è un importante momento di aggregazione, scambio di informazioni e
crescita professionale. Non potendoci incontrare di persona ancora per diversi mesi,
ritenevamo indispensabile avere un canale alternativo per perseguire la nostra mission.
![Page 6: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/6.jpg)
Slide di sfondo
Testo editabile
Oggetti che comunicano ma ci dicono la verità?
6
• Il titolo di questo atelier ci porta verso l’Integrità ma
la gestione di un’infrastruttura IoT deve tener conto
di Riservatezza, Integrità e Disponibilità
![Page 7: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/7.jpg)
Slide di sfondo
Testo editabile
Perchè parlare di IoT
7
• Ieri
• Hardware obsoleto e poco performante
• Da seriale a “connesso”
• Da sistemi proprietari a sistemi standard
• Oggi
• Tutto connesso con tutti
• Interazione tra servizi
![Page 8: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/8.jpg)
Slide di sfondo
Testo editabile
Le priorità
8
• Ieri
• IT = CIA, OT = AIC
• Oggi
• Siamo ancora così certi che Confidenzialità sia l’ultima priorità?
• Dagli assistenti vocali alla lavatrice
![Page 9: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/9.jpg)
Slide di sfondo
Testo editabile
Possibili incidenti
9
![Page 10: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/10.jpg)
Slide di sfondo
Testo editabile
Possibili incidenti
10
![Page 11: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/11.jpg)
Slide di sfondo
Testo editabile
Tanglegence
11
Nello scenario attuale della trasformazione digitale, termine che indica l'inseparabilità della
convergence (convergenza) e del tangle (garbuglio). Il termine è importante per effettuare una
efficace valutazione di rischi connessi all'adozione di soluzioni IoT in quanto implica sia la
considerazione delle catene di tecnologie, servizi e fornitori relative al servizio specifico sia le
interazioni con altre soluzioni IoT (e delle relative catene tecnologiche-commerciali). Source:
Clusit Community for Security (S.Fumagalli, A.Vallega)
Ovvero la convergenza ingarbugliata di tecnologie. Il garbuglio va
considerato nell’analisi dei rischi cyber.
![Page 12: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/12.jpg)
Slide di sfondo
Testo editabile
Tanglegence e analisi del rischio
12
L’ IOT
raccoglie
miliardi di dati
Il BIG DATA
li conservaL’ IA li usa
Il CLOUD abilita il tutto
![Page 13: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/13.jpg)
Slide di sfondo
Testo editabile
Tanglegence e analisi del rischio
13
L’ IOT
raccoglie
miliardi di dati
Il BIG DATA
li conservaL’ IA li usa
Il CLOUD abilita il tutto
Internet e le reti trasportano
La
Syste
m
Inte
gra
tio
n f
a d
a
co
llante
![Page 14: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/14.jpg)
Slide di sfondo
Testo editabile
Tanglegence e analisi del rischio
14
L’ IOT
raccoglie
miliardi di dati
Il BIG DATA
li conservaL’ IA li usa
Il CLOUD abilita il tutto
Internet e le reti trasportano
La
Syste
m
Inte
gra
tio
n f
a d
a
co
llante
La Security (auth / autz / enforcement / monitoring etc.) protegge
![Page 15: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/15.jpg)
Slide di sfondo
Testo editabile
Tanglecence e analisi del rischio
15
L’ IOT
raccoglie
miliardi di dati
Il BIG DATA
li conservaL’ IA li usa
Il CLOUD abilita il tutto
Internet e le reti trasportano
La
Syste
m
Inte
gra
tio
n f
a d
a
co
llante
La Compliance limita e garantisce
La Security (auth / autz / enforcement / monitoring etc.) protegge
![Page 16: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/16.jpg)
Slide di sfondo
Testo editabile
16
I li
bri
del
la
Clu
sit
Com
munit
y f
or
Sec
uri
ty
htt
ps:
//c4
s.cl
usi
t.it
![Page 17: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/17.jpg)
Slide di sfondo
Testo editabile
L’ultimo arrivato (31/3)
17
Liberamente scaricabile da qui: https://c4s.clusit.it/index.php
Licenza Creative Common BY-SA 4.0
Comunicato stampa e qualche ripresa• https://clusit.it/wp-
content/uploads/area_stampa/2020/Clusit_Community_for_Security-IoT.pdf
• https://www.riskmanagement360.it/risk-technology/internet-of-
things/sicurezza-e-compliance-iot-come-gestire-i-rischi-il-nuovo-libro-clusit/
• https://www.lineaedp.it/news/46126/da-clusit-un-libro-su-rischi-e-opportunita-
delliot/#.XoxXC8gzY2x
• https://www.snewsonline.com/notizie/sicurezza_it/internet_of_things_rischi_e_
opportunita-7468
• https://www.industriaitaliana.it/internet-of-things-e-sicurezza-informatica-un-
libro-della-clusit-community-for-security/
• https://www.innovationpost.it/2020/03/31/iot-security-e-compliance-ecco-
come-gestire-la-complessita-e-i-rischi/
• https://www.bitmat.it/blog/news/94798/oggetti-connessi-opportunita-e-rischi-
delliot
• https://igizmo.it/iot-rischi-e-opportunita-nel-libro-del-clusit/
![Page 18: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/18.jpg)
Slide di sfondo
Testo editabile
Persone coinvolte nel progetto
18
Autori
• Orlando Arena - Consulente
• Marco Bessi - CAST- Solution Design Manager Italy
• Manfredi Blasucci - Auchan - IT Security Manager
• Angelo Bosis - Oracle - Cloud Platform Solution Engineering Director
• Fabio Bucciarelli - Lutech - Senior Security Advisor
• Giancarlo Butti - Europrivacy - Internal Auditor
• Alberto Canadè - Reply - Data Protection Officer Italy
• Dario Carnelli - Codd&Date Suisse - Advisory
• Marco Ceccon - Lutech Group - Advisory Practice Manager
• Alessandro Cosenza - BTicino - Head of IT Planning Quality Security Office
(CISO)
• Giuseppe Cusello - Cyber Partners - GRC Director
• Alessandro De Florentiis - Energent - Business Director
• Ambrogio Ferretti - A2A - Senior IT Auditor
• Enrico Ferretti - Protiviti - Managing Director
• Sergio Fumagalli - Partners4Innovation - Responsabile Practice Data
Protection
• Giovanni Battista Gallus - Studio legale Array - Avvocato, ISO/IEC 27001 Lead Auditor; Fellow Centro Nexa su Internet e Società
• Nicola Gobbo - Protiviti - Manager
• Carlo Guastone - Sernet - Vicepresidente Business Development
• Dominick Jerome Leiweke - Relewant - IT Manager
• Luca Lora Lamia - KPMG Advisory - Associate Partner, Information Risk Management
• Massimiliano Magri - COSTERGROUP - Smart Readiness Indicator
evangelist
• Davide Manconi - BNP Paribas Cardif Vita - Security Manager
• Andrea Mariotti - EY - Associate Partner Cybersecurity & Digital Protection
• Gianluigi Meggiorin - Bracco group - IT Security Manager
• Paola Meroni - Accenture Security - Information Security Manager
• Michele Onorato - Westpole - Security Office Manager
• Pierpaolo Palazzoli - A2A Smart City
• Gian Fabio Palmerini - Salini Impregilo - Information Security /Security Engineering/Cyber Defence
• Paolo Panza - AIT - Founder/Technical Officer
• Maurizio Pastore - Liguria Digitale - Security Officer
• Mauro Pessina - CDI - Referente di area applicativa e della sicurezza delle informazioni
• Pasquale Marco Rizzi - Partners4Innovation - Information & Cybersecurity Advisor
• Maria Livia Rizzo - Studio Legale Stefanelli & Stefanelli - Avvocato
• Alessio Rosas - Alcantara - Cyber Security Specialist
• Fabio Saulli - Cyber Partners - Partner
• Michele Slocovich - CAST - Director, Solution Design
• Claudio Telmon - CLUSIT - Membro del Direttivo Clusit
• Elena Vaciago - THE INNOVATION GROUP - Research Manager
![Page 19: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/19.jpg)
Slide di sfondo
Testo editabile
Persone coinvolte nel progetto
19
Editor e team leader
• Fabrizio Bulgarelli - RSM Società di Revisione e Organizzazione Contabile -Partner, Head of Risk Advisory Service (RAS) and IT Services
• Cesare Gallotti - Consulente di sicurezza delle informazioni, qualità e privacy
• Francesca Gatti - AUSED - Coordinatrice del GdL Osservatorio Sicurezza e Compliance
• Roberto Obialero - Consiglio Direttivo Clusit - Cybersecurity & Data Protection Advisor
• Riccardo Ranza - Consulente IT e Security
• Silvia Stefanelli - Studio Legale Stefanelli & Stefanelli - Avvocato
• Enzo Maria Tieghi - ServiTecno - Chairman; Comitato Scientifico Clusit Resp. Sistemi Automazione e Controlli Industriali ed IIoT
• Alessandro Vallega - Coordinatore della Clusit Community for Security
Contributori
• Paolo Bergamo - Salesforce - Senior Vice President
• Aldo Ceccarelli - Sedamyl - IS/IT manager
• Luca Daniele - Ypsomed Italia - Head Marketing and Sales Vice DirettoreGenerale
• Simone Marchetti - Oracle - Digital Supply Chain Sales Development
Manager Italy
• Carlo Mauceli - Microsoft - Chief Technology Officer
• Salvatore Morana - Area Etica - Amministratore Unico
• Giovanni Sorrentino - Hitachi Rail STS - System Cyber Security Manager
• Luigi Capuano - Westpole - Cloud Development Manager
Progetto grafico
• Logo IoT Security by Adriana Potoroaca
• Copertina & impaginazione libro by Marco Panza
• Coordinamento e progetto grafico by Valentina Falcioni
Circa nove mesi di lavoro suddiviso in 11 fasi: tema, target, indice componenti, assegnazione,
1° stesura, 1° review, 2° stesura, consolidamento gdoc, review, editing word, pubblicazione
![Page 20: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/20.jpg)
Slide di sfondo
Testo editabile
Aziende e associazioni
20
![Page 21: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/21.jpg)
Slide di sfondo
Testo editabile
Indice del lavoro
21
1 Premessa ......................................................................................................................... 6
2 Pubblicazioni della Community ....................................................................................... 10
3 Per chi abbiamo scritto questo libro ................................................................................ 12
4 Obiettivi e sintesi ............................................................................................................ 14
5 Cosa intendiamo per IoT ................................................................................................ 17
6 Le future evoluzioni dell’IoT ............................................................................................ 22
7 Linee guida, standard e normative di riferimento ............................................................ 24
8 Impatti positivi e ambiti di applicazione ........................................................................... 37
9 I componenti di una soluzione IoT .................................................................................. 41
10 Rischi IoT ..................................................................................................................... 44
11 Modelli per la valutazione del rischio IoT ...................................................................... 52
12 Misure di sicurezza IoT ................................................................................................ 56
13 Come gestire la sicurezza dell’IoT ................................................................................ 62
14 Audit dei sistemi IOT .................................................................................................... 68
15 I test in ambito IoT ........................................................................................................ 73
16 Applicazioni specifiche dell’IoT ..................................................................................... 76
17 Interviste a software provider internazionali ................................................................ 125
18 Glossario .................................................................................................................... 131
19 Autori, contributori e ringraziamenti ............................................................................ 145
![Page 22: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/22.jpg)
Slide di sfondo
Testo editabile
Verticali di industry
22
Elenco dei verticali
• Sistemi di monitoraggio e contatori
• Automobili connesse
• Sistema territoriale per il monitoraggio
delle strutture civili
• Sistemi di building automation e
domotica
• Industrial IoT (IIoT)
• Sistemi di controllo ferroviario e
autostradale
• Sanità
• Fitness
Struttura standard
• Contesto
• Casi d’uso
• Esempi di incidenti di sicurezza
• Rischi
• Contromisure
• Interviste • Area Etica
• Hitachi Rail STS
• Microsoft
• Oracle
• Salesforce
• Sedamyl
• Westpole
• Ypsomed Italia
![Page 23: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/23.jpg)
Slide di sfondo
Testo editabile
Sanità
23
• Una curiosità: in questi giorni, guarda caso, c’è un
picco di interesse per le soluzioni di telemedicina…
![Page 24: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/24.jpg)
Slide di sfondo
Testo editabile
Sanità
24
Dispositivi medici
• Monitoraggio parametri vitali
• In grado di agire (pacemaker, pompe di
farmaci)
• Controllo ambientale / della persona
Regole e linee guida
• Guidance on Cybersecurity for Medical
Devices (Medical Device Coordination
Group)
• Content of Premarket Submissions for
Management of Cybersecurity in Medical
Devices (Food and Drug Administration)
Controlli del software
• Progettare un dispositivo sicuro
• Resiliente (evoluzione attacchi,
malfunzionamenti)
• Ricerca di vulnerabilità tramite
analizzatori statici del software e CWE
Le vulnerabilità della Abbott’s (pacemaker
agosto 2017)
• Errore firmware
• Accesso remoto
• 485.000 persone impattate
![Page 25: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/25.jpg)
Slide di sfondo
Testo editabile
Il prossimo libro è su Intelligenza Artificiale
25
• La Clusit Community for Security costituisce in
questi giorni un gruppo di lavoro sull’Intelligenza
Artificiale (con taglio etico-giuridico, security e
compliance; IA per l’attacco e IA per la difesa)
• Per partecipare manda un email a [email protected]
indicando se sei iscritto a Clusit e che competenze
specifiche sul tema hai
![Page 26: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/26.jpg)
Slide di sfondo
Testo editabile
Conclusioni
26
• Partecipate attivamente alla Clusit Community for
Security!
• Proteggere gli ambienti OT, SCADA ed IoT è
sempre più rilevante
• L’approccio deve essere coerente con l’attuale
scenario tecnologico e le sue minacce
![Page 27: Oggetti che comunicano. Ma ci dicono la verità? Alessandro ...€¦ · Slide di sfondo Testo editabile Tanglegence 11 Nello scenario attuale della trasformazione digitale, termine](https://reader034.fdocumenti.com/reader034/viewer/2022051809/6013ee395c17686afe1e78a1/html5/thumbnails/27.jpg)
Slide di sfondo
Testo editabile
27
Domande?