CONFARTIGIANATO presentazione 18 maggio [modalità ... · Strumenti indispensabili per il flusso di...

18 Maggio 2018

EVENTO GDPR 18/05/2018

18 Maggio 2018

www.confartigianatofirenze.it

GDPR: sicurezza? casi pratici

Marco Turri

Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]

EVENTO GDPR 18/05/2018

• Quali argomenti trattiamo oggi?

Introduzione (1/1)

• Cenni cybersecurity

• Attacchi e Difese


• Protocolli di sicurezza

• Data breach

• Disaster recovery

• Conservazione informazioni

EVENTO GDPR 18/05/2018Cybersecurity(1/6)

La sicurezza informatica (information security) è

l'insieme dei mezzi e delle tecnologie tesi alla

protezione dei sistemi informatici in termini di

disponibilità, e integrità dei beni informatici; a

questi tre parametri si tende attualmente ad


questi tre parametri si tende attualmente ad

aggiungere l’autenticità delle informazioni. (Wikipedia)

Perché ci occupiamo oggi di sicurezza informatica?


• Nel Gennaio del 1986 un signore

soprannominato the Mentor (Loyd Blankenship)

scrisse il manifesto hacker

• Nel 1995 Kevin Mitnick viene arrestato dopo una


• Nel 1995 Kevin Mitnick viene arrestato dopo una

serie di scorribande illegali in sistemi informatici

di colossi quali Sun, Motorola, Apple, Nokia,

Esercito americano. Soprannominato il condor,

oggi ha costruito la sua fortuna come

amministratore delegatop della Mitnick Security

consulting.


Solo anarchia?

Il Grande Fratello vi guarda (G. Orwell 1984)


e ai giorni nostri…

PEBKAC è un acronimo che significa "Problem Exists Between Keyboard And Chair “, ossia "Il problema sta fra tastiera e sedia". Questa frase viene utilizzata ironicamente in ambito informatico, specialmente dagli addetti del supporto tecnico, per indicare che un apparente malfunzionamento del software o dell'hardware è in realtà dovuto all'inesperienza dell'utente.

In realtà, non scordiamo mai che:



Mr. Robot 2015


Quello appena visto è lo scenario in cui viviamo oggi…

Lo spirito del Legislatore è quello di scongiurare con ogni mezzo la possibile fuga di informazioni per preservare

in ogni modo possibile la vita privata delle persone viventi (Accountability - Responsabilizzazione).

perché ???


Nel contesto attuale tutte le piccole e medie imprese sono sempre più aperte verso

l’esterno; questa apertura è garantita dalla diffusione di Internet (cloud) e della posta

elettronica (PEC). Strumenti indispensabili per il flusso di documenti e di informazioni digitali scambiate sia

all’interno di un’impresa sia con altre realtà esterne (altre imprese, enti, istituti di credito, ecc.).

I vantaggi e le opportunità offerte da questi nuovi strumenti tecnologici sono inestimabili; questi, però possono

anche trasformarsi in fonti di vulnerabilità per le imprese.

Sta finendo il tempo degli schedari e della carta…


• Il GDPR interseca quindi la sicurezza informatica in molti punti…

• Ed è un regolamento, quindi è già in vigore anche se l’effetto

inizierà il 25/5/2018.

• Non è una Direttiva che necessita di un regolamento attuativo.

• Coinvolge quindi aspetti:


• Coinvolge quindi aspetti:

• - Organizzativi

• - Procedurali

• - Tecnologici

EVENTO GDPR 18/05/2018Attacchi e Difese(1/10)

• Struttura di una rete


Un Firewall è un dispositivo che disaccoppia la rete aziendale

dalla rete internet cercando di evitare che qualcuno

dall’esterno si introduca all’interno per carpire informazioni.

Spesso è hardware, a volte è software…

ma se non è dedicato sono dolori…


• Anche perché una rete può essere un po’ più

complessa



• Attacco viraleVirus I virus sono programmi auto-replicanti che possono legarsi ad altri file o programmi con la finalità di

riprodursi.

Un virus può nascondersi nelle zone più improbabili della memoria di un computer ed infettare qualunque file

che reputi adatto per l'esecuzione del proprio codice. Può inoltre modificare la sua impronta digitale ogni

volta che si riproduce rendendolo ancora più difficile da individuare.

Trojan Un Trojan (o Trojan Horse, cavallo di Troia) è progettato per eseguire azioni legittime ma anche

azioni sconosciute all'utente e indesiderate.


azioni sconosciute all'utente e indesiderate.

In ambito commerciale, i Trojan possono essere integrati nelle versioni di prova dei software e

possono raccogliere informazioni senza che l'utente se ne accorga.

In tutti questi casi il fine comune è in genere l'attacco ad un individuo o istituzione attraverso messaggi di

posta elettronica, browser web, software per chat, software per il controllo remoto e aggiornamenti.

I ransomware sono tecnicamente dei “trojan” che bloccano i documenti contenuti sui sistemi infettati e

chiedono un riscatto, in genere in bitcoin.

Dopo essere stato contagiato dal cryptovirus, il computer continua a funzionare ma foto, filmati, musica e

scritti della vittima vengono protetti tramite algoritmi di cifratura.

Al pagamento del riscatto, i criminali (Forse!!!) sbloccano la protezione dai documenti e rimuovono il

criptovirus.

A essere colpiti dai ransomware non sono soltanto i PC con Sistema Operativo Windows, Mac OS e Linux

ma anche smartphone e persino dispositivi elettronici come Smart TV, che fanno parte della categoria IoT

(Internet Of Things).


• Attacco virale: come ci si difende?Comperando un antivirus

Aggiornando i sistemi operativi:

Wanna Cry responsabile di un‘epidemia su larga scala avvenuta nel maggio 2017 su computer con

Microsoft Windows ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il

mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefonica, Renault, il Ministero dell’interno russo,

L’università degli studi Milano-Bicocca. Piccolo particolare: WannaCry sfruttava una vulnerabilità di SMB

tramite un exploit chiamato Eternal Blue, che si ritiene sviluppato dalla Nationa Security Agency


tramite un exploit chiamato Eternal Blue, che si ritiene sviluppato dalla Nationa Security Agency

statunitense per attaccare sistemi informatici basati sul sistema operativo Microsfot Windows. EternalBlue

era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14

aprile 2017.

EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con

una patch chiamata "Security Update for Microsoft Windows SMB Server (4013389)". Tuttavia molti

computer non sono stati mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò

vulnerabili al worm.

Stando attenti a cosa si fa…. (fake e-mail)


• Come ci si difende da una mail strana?


http://es-motorsport.com/qtpysn_info-docum_/info.php?log_ee-aqy=mlzsnwbckxr


• Come ci si difende da una mail strana?


http://es-motorsport.com/qtpysn_info-docum_/info.php?log_ee-aqy=mlzsnwbckxr


• Come ci si difende da una mail apparentemente

reale??


https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=44&cad=rja&uact=8&ved=0ahUKEwjnvtyHm-bXAhWHpqQKHevCDWk4KBAWCD0wAw&url=http%3A%2F%2Fwww.atelierdh.com%2Fen%2F7-kniffe-wie-man-herr-oder-herrin-uber-sein-eigenes-image-wird%2F&usg=AOvVaw0abLlMqp_g2IbQTAHjUBpV


Scoperta di una vulnerabilità (si confronti https://searchsecurity.techtarget.com/definition/vulnerability-disclosure)

Segnalazione di una falla in un computer a livello software o hardware. Solitamente, gli sviluppatori aspettano una

patch che risolva il problema prima di poter rendere la vulnerabilità pubblica.

Possibili tipi di scoperta sono:

•Self-disclosure: Quando lo sviluppatore stesso scopre la vulnerabilità e la rende pubblica assieme alla patch.

•Third-party disclosure: Una figura terza all'azienda e agli acquirenti (solitamente un ricercatore in sicurezza)

denuncia la vulnerabilità scoperta, solitamente ad un'organizzazione come il CERT .

•Vendor disclosure: Quando la falla viene riportata dai ricercatori solamente agli sviluppatori.

•Full disclosure: La vulnerabilità viene esposta pubblicamente al momento della scoperta.

•Una vulnerabilità potrebbe anche essere scoperta, ma mai segnalata: questa diventa una vulnerabilità definita 0-day.


•Una vulnerabilità potrebbe anche essere scoperta, ma mai segnalata: questa diventa una vulnerabilità definita 0-day.

Questa tipologia ha creato un vero e proprio mercato. Le 0-day sono infatti facilmente vendibili in anonimato e senza

bisogno di intermediari

Processo di segnalazione

•Scoperta della vulnerabilità e attestazione tramite codice o screenshots;

•Denuncia della scoperta agli sviluppatori tramite una relazione contenente valide prove che attestino la falla;

•Investigazione e costruzione di una patch per risolvere il problema;

•A patch ultimata (oppure al raggiungimento del tempo limite stabilito – normalmente 15 giorni / 1 mese - , a

seconda

della policy dell'azienda), il ricercatore pubblica una full-disclosure.



Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf Rapporto redatto da Verizon Wireless: è una società con sede a Basking Ridge interamente controllata da Verizon Communications, che è il più grande provider di telecomunicazioni wireless degli Stati Uniti



Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdfRapporto redatto da Verizon Wireless: è una società con sede a Basking Ridge interamente controllata da Verizon Communications, che è il più grande provider di telecomunicazioni wireless degli Stati Uniti

EVENTO GDPR 18/05/2018Protocolli di sicurezza(1/4)

• Posta elettronicaI protocolli più comunemente usati sono:

POP3 IMAP SMTP su porta 110, 143 o 25

Nessuno di questi è protetto di per sé: se si usano in modo

“base” chiunque può leggere con poca attrezzatura quello


che si scrive completamente in chiaro.

Quindi è preferibile usare protocolli pop3 o imap e smtp con

autenticazione o usando dei certificati che criptano i dati che

vengono trasmessi.


• Sito webIl protocollo più comunemente usato è HTTP e anche in questo caso le informazioni

passano in chiaro

Da qualche mese a questa parte accade che…


Mettiamo il sito web su un dominio protetto da un certificato (HTTPS)


Google dichiara che i siti che NON installeranno un certificato SSL (ossia che non saranno in Https)

verranno penalizzati nella ricerca.



• Accesso ai dati aziendali (VPN)La VPN (Virtual Private Network) è un buon modo di accedere ai dati aziendali dall’esterno

Permette di creare un tunnel criptato di accesso ai dati aziendali dall’esterno, e trasferisce

in modo sicuro le informazioni (IPSec, L2TP, MPLS)


EVENTO GDPR 18/05/2018Disaster recovery(1/3)

• Disaster recoveryIl Disaster Recovery, in informatica ed in particolare nell'ambito della sicurezza

informatica, si intende l'insieme delle misure tecnologiche e logistico/organizzative atte a

ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business per

imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare

attività.

Misura 1: il gruppo di continuità cerca di proteggere gli apparati informatici dai danni che può


Misura 1: il gruppo di continuità cerca di proteggere gli apparati informatici dai danni che può

fare la mancanza di correnteOff line: economici, offrono protezione da interruzione

di corrente ed entrano in funzione in 10 ms circa

On line: più costosi dei precedenti, offrono protezione

da interruzione di corrente, spike e sbalzi e sono

sempre in funzione

Un gruppo di continuità deve essere dimensionato….

Test delle batterie…


Misura 2: il backup è un’operazione che consiste nel salvaguardare i dati facendone delle copie

di sicurezza

• CD (640MB) /DVD (4,6 GB) /BlueRay (25GB …)

• Pen Drive USB (chiavette)

• Nastro (DAT, LTO)

• Tecnologie magneto-ottiche


Problema della rileggibilità dei supporti nel tempo

Nuove frontiere:

• NAS / SAN

• Cloud (Banda!!)

• NAS & Cloud (Banda!!)


Abbiamo tutti un piano di gestione dei backup?

Facciamo delle prove di rilettura dei supporti di backup?

Conserviamo i backup in un luogo sicuro? Un tempo si parlava di cassaforte ignifuga.

Siamo in grado di ripristinare il funzionamento dei nostri pc o server in meno di 72 ore?


Ex-machina 2015

EVENTO GDPR 18/05/2018Conservazione informazioni(1/3)

I dati personali possono essere raccolti ed elaborati, al ricorrere di una delle condizioni di liceità

previste dall'art. 6 del GDPR, per finalità determinate, esplicite e legittime e il trattamento

potrà essere effettuato soltanto nei limiti di quanto sia necessario per il raggiungimento di tali

finalità prestabilite (art. 5, co. 1, lett. b, GDPR che parla di «limitazione della finalità»)

Principio di minimizzazione: I dati utilizzati devono essere limitati a quelli strettamente

necessari rispetto allo scopo per cui gli stessi sono raccolti (scopo che deve, inoltre, essere

stato precisamente comunicato prima della raccolta agli interessati)


Quindi i dati personali devono sempre essere "adeguati, pertinenti e limitati a quanto necessario

rispetto alle finalità per le quali sono trattati" (art. 5, co. 1, lett. c, GDPR)

Prima di effettuare qualsiasi trattamento ci si deve chiedere:

1) quali sono i dati essenziali per quello specifico trattamento che si vuole effettuare;

2) Se quel trattamento sia effettivamente necessario per il raggiungimento di quello scopo

particolare

3) che quella finalità, a sua volta, non sia raggiungibile con altri mezzi, ragionevolmente

applicabili nel contesto di riferimento.


Si deve stabilire (e rispettare) un periodo di conservazione dei dati quanto più possibile breve,

predeterminato e, comunque non eccedente il tempo strettamente necessario per il

perseguimento della finalità del trattamento effettuato. Anche questo principio è espresso

chiaramente dall'art. 5, co. 1, lett. e) del GDPR (sulla «limitazione della conservazione»), in

forza del quale anche l'arco di tempo in cui le informazioni possono essere conservate va

sempre rapportato alle finalità specifiche del singolo trattamento. Dunque, una volta raggiunto lo

scopo per cui i dati sono stati raccolti, il titolare non potrà più conservare tali informazioni.

Pseudonimizzazione dei dati: conservazione di informazioni di profilazione in una forma che

impedisca l’identificazione dell’utente; questa tecnica diventa particolarmente rilevante quando


impedisca l’identificazione dell’utente; questa tecnica diventa particolarmente rilevante quando

non vi è necessità di utilizzare i reali e completi dati personali degli interessati.

Crittografia dei dati: i dati contenuti in un determinato supporto (disco esterno, chiave usb,

portatile, smartphone,…) vengono crittografati in modo tale che in caso di furto questi non

possano essere riletti da un eventuale malintenzionato


Uno studio condotto da ESET ha svelato infatti che oltre 22.000 chiavette USB sono state dimenticate

nelle tasche dei vestiti lasciati nelle tintorie britanniche nel 2015.

Secondo un sondaggio del Ponemon Institute (https://www.ibm.com/security/data-breach), oltre

600.000 portatili vengono smarriti ogni anno negli aeroporti degli Stati Uniti.

Quando si smarrisce un portatile, bisogna tenere a mente che una sola password non è in grado di

proteggere i vostri dati. Anche se una password in fase di avvio e nelle finestre di autenticazione può

impedire l’accesso al computer, trasferendo il vostro hard disk o SSD sui loro computer, i criminali

potranno accedere ai vostri dati e usarli per i loro scopi. In questi casi, la crittografia completa dei dischi

è fondamentale per impedire ad altri di accedere e rubare i vostri dati.


è fondamentale per impedire ad altri di accedere e rubare i vostri dati.

EVENTO GDPR 18/05/2018Data breach (1/4)

Violazioni di dati personali (data breach)

La vera questione è:” Se non conosco il mio sistema informatico e non so quali sono gli strumenti

che utilizzo per trattare i dati e magari non conosco se il contenitore dei miei dati è sul mio server

o in cloud, come faccio a garantire che i dati personali dei miei clienti, fornitori, dipendenti siano al

sicuro?” (Accountability – Responsabilizzazione)

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono

essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di


essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di

attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si

tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui

si riferiscono i dati.

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e

comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano

compromettere le libertà e i diritti dei soggetti interessati.


Violazioni di dati personali (data breach)

il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per

i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati

biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso

puntuali provvedimenti del Garante privacy.




Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf



Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf

EVENTO GDPR 18/05/2018Conclusioni(1/1)


Non esistono prodotti compliant GDPR o che possano certificare che un’azienda è a norma: esistono

comportamenti responsabili di persone informate

Il 25 Maggio è vicino…

Sono comunque necessari check-up periodici nel futuro

Spot HP 2017

EVENTO GDPR 18/05/2018Altre amenità 1/1000

Geolocalizzazione

Cronologia di Google maps


Qualcuno di voi vede caselle per il consenso esplicito?

EVENTO GDPR 18/05/2018Altre amenità 2/1000(http://rebecca-ricks.com/paypal-data/)



(exploit)



Chi inventerà la prossima?

E soprattutto, chi la scoprirà (speriamo non a sue spese)?


Date post:	18-Feb-2019
Category:	Documents
Upload:	ngokhanh
View:	217 times
Download:	0 times

CONFARTIGIANATO presentazione 18 maggio [modalità ... · Strumenti indispensabili per il flusso di...

Documents