18 Maggio 2018
EVENTO GDPR 18/05/2018
18 Maggio 2018
www.confartigianatofirenze.it
GDPR: sicurezza? casi pratici
Marco Turri
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018
• Quali argomenti trattiamo oggi?
Introduzione (1/1)
• Cenni cybersecurity
• Attacchi e Difese
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
• Protocolli di sicurezza
• Data breach
• Disaster recovery
• Conservazione informazioni
EVENTO GDPR 18/05/2018Cybersecurity(1/6)
La sicurezza informatica (information security) è
l'insieme dei mezzi e delle tecnologie tesi alla
protezione dei sistemi informatici in termini di
disponibilità, e integrità dei beni informatici; a
questi tre parametri si tende attualmente ad
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
questi tre parametri si tende attualmente ad
aggiungere l’autenticità delle informazioni. (Wikipedia)
Perché ci occupiamo oggi di sicurezza informatica?
EVENTO GDPR 18/05/2018Cybersecurity(2/6)
• Nel Gennaio del 1986 un signore
soprannominato the Mentor (Loyd Blankenship)
scrisse il manifesto hacker
• Nel 1995 Kevin Mitnick viene arrestato dopo una
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
• Nel 1995 Kevin Mitnick viene arrestato dopo una
serie di scorribande illegali in sistemi informatici
di colossi quali Sun, Motorola, Apple, Nokia,
Esercito americano. Soprannominato il condor,
oggi ha costruito la sua fortuna come
amministratore delegatop della Mitnick Security
consulting.
EVENTO GDPR 18/05/2018Cybersecurity(3/6)
Solo anarchia?
Il Grande Fratello vi guarda (G. Orwell 1984)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
e ai giorni nostri…
PEBKAC è un acronimo che significa "Problem Exists Between Keyboard And Chair “, ossia "Il problema sta fra tastiera e sedia". Questa frase viene utilizzata ironicamente in ambito informatico, specialmente dagli addetti del supporto tecnico, per indicare che un apparente malfunzionamento del software o dell'hardware è in realtà dovuto all'inesperienza dell'utente.
In realtà, non scordiamo mai che:
EVENTO GDPR 18/05/2018Cybersecurity(4/6)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Mr. Robot 2015
EVENTO GDPR 18/05/2018Cybersecurity(5/6)
Quello appena visto è lo scenario in cui viviamo oggi…
Lo spirito del Legislatore è quello di scongiurare con ogni mezzo la possibile fuga di informazioni per preservare
in ogni modo possibile la vita privata delle persone viventi (Accountability - Responsabilizzazione).
perché ???
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Nel contesto attuale tutte le piccole e medie imprese sono sempre più aperte verso
l’esterno; questa apertura è garantita dalla diffusione di Internet (cloud) e della posta
elettronica (PEC). Strumenti indispensabili per il flusso di documenti e di informazioni digitali scambiate sia
all’interno di un’impresa sia con altre realtà esterne (altre imprese, enti, istituti di credito, ecc.).
I vantaggi e le opportunità offerte da questi nuovi strumenti tecnologici sono inestimabili; questi, però possono
anche trasformarsi in fonti di vulnerabilità per le imprese.
Sta finendo il tempo degli schedari e della carta…
EVENTO GDPR 18/05/2018Cybersecurity(6/6)
• Il GDPR interseca quindi la sicurezza informatica in molti punti…
• Ed è un regolamento, quindi è già in vigore anche se l’effetto
inizierà il 25/5/2018.
• Non è una Direttiva che necessita di un regolamento attuativo.
• Coinvolge quindi aspetti:
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
• Coinvolge quindi aspetti:
• - Organizzativi
• - Procedurali
• - Tecnologici
EVENTO GDPR 18/05/2018Attacchi e Difese(1/10)
• Struttura di una rete
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Un Firewall è un dispositivo che disaccoppia la rete aziendale
dalla rete internet cercando di evitare che qualcuno
dall’esterno si introduca all’interno per carpire informazioni.
Spesso è hardware, a volte è software…
ma se non è dedicato sono dolori…
EVENTO GDPR 18/05/2018Attacchi e Difese(2/10)
• Anche perché una rete può essere un po’ più
complessa
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018Attacchi e Difese(3/10)
• Attacco viraleVirus I virus sono programmi auto-replicanti che possono legarsi ad altri file o programmi con la finalità di
riprodursi.
Un virus può nascondersi nelle zone più improbabili della memoria di un computer ed infettare qualunque file
che reputi adatto per l'esecuzione del proprio codice. Può inoltre modificare la sua impronta digitale ogni
volta che si riproduce rendendolo ancora più difficile da individuare.
Trojan Un Trojan (o Trojan Horse, cavallo di Troia) è progettato per eseguire azioni legittime ma anche
azioni sconosciute all'utente e indesiderate.
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
azioni sconosciute all'utente e indesiderate.
In ambito commerciale, i Trojan possono essere integrati nelle versioni di prova dei software e
possono raccogliere informazioni senza che l'utente se ne accorga.
In tutti questi casi il fine comune è in genere l'attacco ad un individuo o istituzione attraverso messaggi di
posta elettronica, browser web, software per chat, software per il controllo remoto e aggiornamenti.
I ransomware sono tecnicamente dei “trojan” che bloccano i documenti contenuti sui sistemi infettati e
chiedono un riscatto, in genere in bitcoin.
Dopo essere stato contagiato dal cryptovirus, il computer continua a funzionare ma foto, filmati, musica e
scritti della vittima vengono protetti tramite algoritmi di cifratura.
Al pagamento del riscatto, i criminali (Forse!!!) sbloccano la protezione dai documenti e rimuovono il
criptovirus.
A essere colpiti dai ransomware non sono soltanto i PC con Sistema Operativo Windows, Mac OS e Linux
ma anche smartphone e persino dispositivi elettronici come Smart TV, che fanno parte della categoria IoT
(Internet Of Things).
EVENTO GDPR 18/05/2018Attacchi e Difese(4/10)
• Attacco virale: come ci si difende?Comperando un antivirus
Aggiornando i sistemi operativi:
Wanna Cry responsabile di un‘epidemia su larga scala avvenuta nel maggio 2017 su computer con
Microsoft Windows ha infettato i sistemi informatici di numerose aziende e organizzazioni in tutto il
mondo, tra cui Portugal Telecom, Deutsche Bahn, FedEx, Telefonica, Renault, il Ministero dell’interno russo,
L’università degli studi Milano-Bicocca. Piccolo particolare: WannaCry sfruttava una vulnerabilità di SMB
tramite un exploit chiamato Eternal Blue, che si ritiene sviluppato dalla Nationa Security Agency
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
tramite un exploit chiamato Eternal Blue, che si ritiene sviluppato dalla Nationa Security Agency
statunitense per attaccare sistemi informatici basati sul sistema operativo Microsfot Windows. EternalBlue
era stato rubato da un gruppo di hacker che si fanno chiamare The Shadow Brokers e pubblicato in rete il 14
aprile 2017.
EternalBlue sfrutta una vulnerabilità di Windows che era già stata corretta da Microsoft il 14 marzo 2017 con
una patch chiamata "Security Update for Microsoft Windows SMB Server (4013389)". Tuttavia molti
computer non sono stati mantenuti aggiornati e non dispongono di quella patch, rimanendo perciò
vulnerabili al worm.
Stando attenti a cosa si fa…. (fake e-mail)
EVENTO GDPR 18/05/2018Attacchi e Difese(5/10)
• Come ci si difende da una mail strana?
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
http://es-motorsport.com/qtpysn_info-docum_/info.php?log_ee-aqy=mlzsnwbckxr
EVENTO GDPR 18/05/2018Attacchi e Difese(6/10)
• Come ci si difende da una mail strana?
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
http://es-motorsport.com/qtpysn_info-docum_/info.php?log_ee-aqy=mlzsnwbckxr
EVENTO GDPR 18/05/2018Attacchi e Difese(7/10)
• Come ci si difende da una mail apparentemente
reale??
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=44&cad=rja&uact=8&ved=0ahUKEwjnvtyHm-bXAhWHpqQKHevCDWk4KBAWCD0wAw&url=http%3A%2F%2Fwww.atelierdh.com%2Fen%2F7-kniffe-wie-man-herr-oder-herrin-uber-sein-eigenes-image-wird%2F&usg=AOvVaw0abLlMqp_g2IbQTAHjUBpV
EVENTO GDPR 18/05/2018Attacchi e Difese(8/10)
Scoperta di una vulnerabilità (si confronti https://searchsecurity.techtarget.com/definition/vulnerability-disclosure)
Segnalazione di una falla in un computer a livello software o hardware. Solitamente, gli sviluppatori aspettano una
patch che risolva il problema prima di poter rendere la vulnerabilità pubblica.
Possibili tipi di scoperta sono:
•Self-disclosure: Quando lo sviluppatore stesso scopre la vulnerabilità e la rende pubblica assieme alla patch.
•Third-party disclosure: Una figura terza all'azienda e agli acquirenti (solitamente un ricercatore in sicurezza)
denuncia la vulnerabilità scoperta, solitamente ad un'organizzazione come il CERT .
•Vendor disclosure: Quando la falla viene riportata dai ricercatori solamente agli sviluppatori.
•Full disclosure: La vulnerabilità viene esposta pubblicamente al momento della scoperta.
•Una vulnerabilità potrebbe anche essere scoperta, ma mai segnalata: questa diventa una vulnerabilità definita 0-day.
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
•Una vulnerabilità potrebbe anche essere scoperta, ma mai segnalata: questa diventa una vulnerabilità definita 0-day.
Questa tipologia ha creato un vero e proprio mercato. Le 0-day sono infatti facilmente vendibili in anonimato e senza
bisogno di intermediari
Processo di segnalazione
•Scoperta della vulnerabilità e attestazione tramite codice o screenshots;
•Denuncia della scoperta agli sviluppatori tramite una relazione contenente valide prove che attestino la falla;
•Investigazione e costruzione di una patch per risolvere il problema;
•A patch ultimata (oppure al raggiungimento del tempo limite stabilito – normalmente 15 giorni / 1 mese - , a
seconda
della policy dell'azienda), il ricercatore pubblica una full-disclosure.
EVENTO GDPR 18/05/2018Attacchi e Difese(9/10)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf Rapporto redatto da Verizon Wireless: è una società con sede a Basking Ridge interamente controllata da Verizon Communications, che è il più grande provider di telecomunicazioni wireless degli Stati Uniti
EVENTO GDPR 18/05/2018Attacchi e Difese(10/10)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdfRapporto redatto da Verizon Wireless: è una società con sede a Basking Ridge interamente controllata da Verizon Communications, che è il più grande provider di telecomunicazioni wireless degli Stati Uniti
EVENTO GDPR 18/05/2018Protocolli di sicurezza(1/4)
• Posta elettronicaI protocolli più comunemente usati sono:
POP3 IMAP SMTP su porta 110, 143 o 25
Nessuno di questi è protetto di per sé: se si usano in modo
“base” chiunque può leggere con poca attrezzatura quello
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
che si scrive completamente in chiaro.
Quindi è preferibile usare protocolli pop3 o imap e smtp con
autenticazione o usando dei certificati che criptano i dati che
vengono trasmessi.
EVENTO GDPR 18/05/2018Protocolli di sicurezza(2/4)
• Sito webIl protocollo più comunemente usato è HTTP e anche in questo caso le informazioni
passano in chiaro
Da qualche mese a questa parte accade che…
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Mettiamo il sito web su un dominio protetto da un certificato (HTTPS)
EVENTO GDPR 18/05/2018Protocolli di sicurezza(3/4)
Google dichiara che i siti che NON installeranno un certificato SSL (ossia che non saranno in Https)
verranno penalizzati nella ricerca.
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018Protocolli di sicurezza(4/4)
• Accesso ai dati aziendali (VPN)La VPN (Virtual Private Network) è un buon modo di accedere ai dati aziendali dall’esterno
Permette di creare un tunnel criptato di accesso ai dati aziendali dall’esterno, e trasferisce
in modo sicuro le informazioni (IPSec, L2TP, MPLS)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018Disaster recovery(1/3)
• Disaster recoveryIl Disaster Recovery, in informatica ed in particolare nell'ambito della sicurezza
informatica, si intende l'insieme delle misure tecnologiche e logistico/organizzative atte a
ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business per
imprese, associazioni o enti, a fronte di gravi emergenze che ne intacchino la regolare
attività.
Misura 1: il gruppo di continuità cerca di proteggere gli apparati informatici dai danni che può
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Misura 1: il gruppo di continuità cerca di proteggere gli apparati informatici dai danni che può
fare la mancanza di correnteOff line: economici, offrono protezione da interruzione
di corrente ed entrano in funzione in 10 ms circa
On line: più costosi dei precedenti, offrono protezione
da interruzione di corrente, spike e sbalzi e sono
sempre in funzione
Un gruppo di continuità deve essere dimensionato….
Test delle batterie…
EVENTO GDPR 18/05/2018Disaster recovery(2/3)
Misura 2: il backup è un’operazione che consiste nel salvaguardare i dati facendone delle copie
di sicurezza
• CD (640MB) /DVD (4,6 GB) /BlueRay (25GB …)
• Pen Drive USB (chiavette)
• Nastro (DAT, LTO)
• Tecnologie magneto-ottiche
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Problema della rileggibilità dei supporti nel tempo
Nuove frontiere:
• NAS / SAN
• Cloud (Banda!!)
• NAS & Cloud (Banda!!)
EVENTO GDPR 18/05/2018Disaster recovery(3/3)
Abbiamo tutti un piano di gestione dei backup?
Facciamo delle prove di rilettura dei supporti di backup?
Conserviamo i backup in un luogo sicuro? Un tempo si parlava di cassaforte ignifuga.
Siamo in grado di ripristinare il funzionamento dei nostri pc o server in meno di 72 ore?
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Ex-machina 2015
EVENTO GDPR 18/05/2018Conservazione informazioni(1/3)
I dati personali possono essere raccolti ed elaborati, al ricorrere di una delle condizioni di liceità
previste dall'art. 6 del GDPR, per finalità determinate, esplicite e legittime e il trattamento
potrà essere effettuato soltanto nei limiti di quanto sia necessario per il raggiungimento di tali
finalità prestabilite (art. 5, co. 1, lett. b, GDPR che parla di «limitazione della finalità»)
Principio di minimizzazione: I dati utilizzati devono essere limitati a quelli strettamente
necessari rispetto allo scopo per cui gli stessi sono raccolti (scopo che deve, inoltre, essere
stato precisamente comunicato prima della raccolta agli interessati)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Quindi i dati personali devono sempre essere "adeguati, pertinenti e limitati a quanto necessario
rispetto alle finalità per le quali sono trattati" (art. 5, co. 1, lett. c, GDPR)
Prima di effettuare qualsiasi trattamento ci si deve chiedere:
1) quali sono i dati essenziali per quello specifico trattamento che si vuole effettuare;
2) Se quel trattamento sia effettivamente necessario per il raggiungimento di quello scopo
particolare
3) che quella finalità, a sua volta, non sia raggiungibile con altri mezzi, ragionevolmente
applicabili nel contesto di riferimento.
EVENTO GDPR 18/05/2018Conservazione informazioni(2/3)
Si deve stabilire (e rispettare) un periodo di conservazione dei dati quanto più possibile breve,
predeterminato e, comunque non eccedente il tempo strettamente necessario per il
perseguimento della finalità del trattamento effettuato. Anche questo principio è espresso
chiaramente dall'art. 5, co. 1, lett. e) del GDPR (sulla «limitazione della conservazione»), in
forza del quale anche l'arco di tempo in cui le informazioni possono essere conservate va
sempre rapportato alle finalità specifiche del singolo trattamento. Dunque, una volta raggiunto lo
scopo per cui i dati sono stati raccolti, il titolare non potrà più conservare tali informazioni.
Pseudonimizzazione dei dati: conservazione di informazioni di profilazione in una forma che
impedisca l’identificazione dell’utente; questa tecnica diventa particolarmente rilevante quando
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
impedisca l’identificazione dell’utente; questa tecnica diventa particolarmente rilevante quando
non vi è necessità di utilizzare i reali e completi dati personali degli interessati.
Crittografia dei dati: i dati contenuti in un determinato supporto (disco esterno, chiave usb,
portatile, smartphone,…) vengono crittografati in modo tale che in caso di furto questi non
possano essere riletti da un eventuale malintenzionato
EVENTO GDPR 18/05/2018Conservazione informazioni(3/3)
Uno studio condotto da ESET ha svelato infatti che oltre 22.000 chiavette USB sono state dimenticate
nelle tasche dei vestiti lasciati nelle tintorie britanniche nel 2015.
Secondo un sondaggio del Ponemon Institute (https://www.ibm.com/security/data-breach), oltre
600.000 portatili vengono smarriti ogni anno negli aeroporti degli Stati Uniti.
Quando si smarrisce un portatile, bisogna tenere a mente che una sola password non è in grado di
proteggere i vostri dati. Anche se una password in fase di avvio e nelle finestre di autenticazione può
impedire l’accesso al computer, trasferendo il vostro hard disk o SSD sui loro computer, i criminali
potranno accedere ai vostri dati e usarli per i loro scopi. In questi casi, la crittografia completa dei dischi
è fondamentale per impedire ad altri di accedere e rubare i vostri dati.
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
è fondamentale per impedire ad altri di accedere e rubare i vostri dati.
EVENTO GDPR 18/05/2018Data breach (1/4)
Violazioni di dati personali (data breach)
La vera questione è:” Se non conosco il mio sistema informatico e non so quali sono gli strumenti
che utilizzo per trattare i dati e magari non conosco se il contenitore dei miei dati è sul mio server
o in cloud, come faccio a garantire che i dati personali dei miei clienti, fornitori, dipendenti siano al
sicuro?” (Accountability – Responsabilizzazione)
I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono
essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di
attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si
tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui
si riferiscono i dati.
Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e
comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano
compromettere le libertà e i diritti dei soggetti interessati.
EVENTO GDPR 18/05/2018Data breach (2/4)
Violazioni di dati personali (data breach)
il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per
i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati
biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso
puntuali provvedimenti del Garante privacy.
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018Data breach (3/4)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf
EVENTO GDPR 18/05/2018Data breach (4/4)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Fonte: https://www.ictsecuritymagazine.com/wp-content/uploads/2017-Data-Breach-Investigations-Report.pdf
EVENTO GDPR 18/05/2018Conclusioni(1/1)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Non esistono prodotti compliant GDPR o che possano certificare che un’azienda è a norma: esistono
comportamenti responsabili di persone informate
Il 25 Maggio è vicino…
Sono comunque necessari check-up periodici nel futuro
Spot HP 2017
EVENTO GDPR 18/05/2018Altre amenità 1/1000
Geolocalizzazione
Cronologia di Google maps
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
Qualcuno di voi vede caselle per il consenso esplicito?
EVENTO GDPR 18/05/2018Altre amenità 2/1000(http://rebecca-ricks.com/paypal-data/)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018Altre amenità 3/1000
(exploit)
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]
EVENTO GDPR 18/05/2018Altre amenità 4/1000
Chi inventerà la prossima?
E soprattutto, chi la scoprirà (speriamo non a sue spese)?
Marco Turri 3909 Albo Ingegneri Provincia Firenze [email protected]