Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
QUADERNO ISACA VENICE
Sicurezza Cibernetica
Nazionale, la consapevolezza
delle Aziende nei Settori
Critici del Nord Est
Scenario e Linee guida per
l’autovalutazione
Luca Moroni
TRENTO 10 ottobre 2014
Sicurezza Cibernetica Nazionale:
consapevolezza e
autovalutazione
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Sicurezza Cibernetica Nazionale:consapevolezza e autovalutazione
Sponsor e sostenitori di ISACA VENICE Chapter
Con il patrocinio di
Organizzatori e sponsor evento
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Luca Moroni CISA, ITIL
Coordinatore del gruppi di Approfondimento per ISACA VENICE ChapterQuaderno n.1: Vulnerability Assessment e Penetration Test. Linee gui da
per l’utente di verifiche di terze parti sulla sicu rezza ICT. Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza delle
Aziende nei Settori Critici del Nord Est
Laureato in Informatica a Milano, Certificato CISA e ITIL V3 e Certificazioni di settore
Membro di ISACA
Da 15 anni appassionato di Sicurezza Informatica a livello professionale tenendo seminari nel Nord Est sull’argomento
Mi occupo di selezionare per i clienti le aziende fornitrici di tecnologie informatiche in base alle loro competenze specifiche. Sono fautore da sempre di aggregazioni di rete
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Giuseppe Esposito CISA, PMP, LA 27001, CSA-STAR, 22301, 9001, ITIL-V3 Foundation, ISO2000 Foundation
Alessandro Guarino LA 27001
Pierlugi Sartori CISSP, CISM, CGEIT, CRISC, MBCI
e
Il presidente del Capitolo Orillo
Narduzzo per la fiducia accordata
Ringrazio il mio Team per aver contribuito attivamente alla
realizzazione di questo QUADERNO
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Evento ISACA VENICE CHAPTER 3 Ottobre 2014 – Venezia
Intervento Dr. Marco Balduzzi
(In)security of smart transportation at sea
The Automated identification System (AIS)
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
L’anno scorso avevamo fatto questa domanda:
Ha mai svolto delle analisi di sicurezza nel perimetro interno?
Dove l’analisi è composta da una serie di processi che simulano le azioni normalmente svolte da un dipendente e consulente nella rete interna.
Il 57% non ha mai svolto una analisi interna o non ne sente l’esigenza
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Ma se fosse una Azienda/Ente che un impatto sulla
vita sociale?
Questa la ricordiamo tutti
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Cosa si intende per Infrastruttura Critica
Una infrastruttura viene considerata critica a livello europeo se la sua compromissione avrebbe un serio
impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica e logica o il
benessere economico dei cittadini, o sull’effettivo funzionamento dello Stato; oppure potrebbe portare
gravi conseguenze sociali o altre drammatiche conseguenze per la comunità
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Quali sono i settori critici per l’Italia
• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale
• Telecomunicazioni e telematica;
• Risorse idriche e gestione delle acque reflue;
• Agricoltura, produzione delle derrate alimentari e loro distribuzione;
• Sanità, ospedali e reti di servizi e interconnessione
• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei
carburanti e dei prodotti di prima necessitali
• Banche e servizi finanziari;
• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);
• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze.
• TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA VITA
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Cyber minaccia per le Infrastrutture Critiche dell’Italia
9/3/2014: La "relazione sulla politica dell’Informazione per la Sicurezza -2013”, presentata in Parlamento dalla Presidenza del Consiglio per la prima volta pone al primo posto la Minaccia Cyber.
Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del piano di protezione nazionale, l’Italia vanta una delle più alte percentuali in Europa di PIL prodotto da aziende medie, piccole e micro-aziende, le quali
detengono un patrimonio in termini di know-how.
Questo know-how è a rischio, come descrive la relazione. Per due motivi:
1) Vi è in grande numero di attori interessati ad appropriarsi di know-how
attraverso l’uso di strumenti Cyber
2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi
aziende, di conseguenza la sottrazione di know-how avviene in modo più
semplice e invisibile.
http://www.agendadigitale.eu/infrastrutture/722_cybercrime-danneggia-il-sistema-italia-per-20-40-mld-annui.htm
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Le aziende appartenenti ai settori Critici nel Nord Est
® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende
Produzione, trasmissione, distribuzione, dispacciamento
dell'energia elettrica e di tutte le forme di energia, quali ad esempio il
gas naturale
Telecomunicazioni e telematicaRisorse idriche e gestione delle
acque reflue
Agricoltura, produzione delle derrate alimentari e loro distribuzione
Sanità, ospedali e reti di servizi e interconnessione
Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei
carburanti e dei prodotti di prima necessità
Banche e servizi f inanziari
Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate,
ordine pubblico);
Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica?
No
Si
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla
sicurezza informatica?
No
Si
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Abbiamo preso i dati dal recente report CLUSIT 2014 e aggregando gli incidenti informatici nei settori critici nel periodo 2011 – 2013. Li abbiamo inseriti in un modello statistico per ipotizzare l’andamento nei prossimi anni. L’ipotesi peggiore potrebbe prevedere quasi un raddoppio degli incidenti alla fine del 2014. Magari sull’onda dalla crescita fatta segnare dai nuovi obiettivi. Oppure confermare una stabilizzazione iniziata da Telecomunicazioni, Sanità ed Enti Governativi e Militari.
Uno scenario
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una
violazione di sicurezza informatica di un elemento della sua infrastruttura
potrebbe avere un effetto anche al di fuori della sua azienda?
No
Si
0,00%
20,00%
40,00%
60,00%
80,00%
100,00%
® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Lo scenario verso la fabbrica
• Norme: di origine UE centrate attorno alla Infrastrutture Critiche e il loro controllo sempre più informatizzato
• L’Italia aggiunge anche la PMI
• Diffusione attacchi cibernetici a infrastrutture e impianti
• Principi applicabili a tutti, non solo alle IC designate:
• Approccio basato sulla gestione del rischio ed ad una sua valutazione per capire il contesto in cui si trova l’azienda
• Se gli impianti usano tecnologie ICT sono soggetti agli stessi rischi degli uffici e della sala server (vedi Stuxnet)
Sorgente: BSI analysis about cyber security 2012
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
I Sistemi di Fabbrica – L’evoluzione della sicurezza
IERIIERI OGGIOGGI
ARCHITETTURACollegamenti fisici
dedicati
Reti aperte su base IP
ADSL, USB, WIFI
TECNOLOGIASistemi proprietari con
protocolli specificiSistemi standard con protocolli standard
INCIDENTI Scarsi In crescita rapida
…..aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how…..
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
I Sistemi di Fabbrica – L’evoluzione della sicurezza
IERIIERI OGGIOGGI
ARCHITETTURACollegamenti fisici
dedicati
Reti aperte su base IP
ADSL, USB, WIFI
TECNOLOGIASistemi proprietari con
protocolli specificiSistemi standard con protocolli standard
INCIDENTI Scarsi In crescita rapida
DATI USA: http://www.scadahacker.com/
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Le 10 minacce più insidiose nei sistemi IT di fabbrica
• Uso non autorizzato degli accessi remoti per la manutenzione (VNC)
• Attacchi Online attraverso la rete degli uffici
• Attacchi a dispositivi IT standard presenti nella rete di fabbrica
• Attacchi DDOS
• Errori umani e sabotaggi
• Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell ecc…)
• Lettura e scrittura di comandi manipolabili perché non criptati (VPN)
• Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni di Default)
• Violazioni agli apparati di rete
• Problemi tecnici e casualità (backup delle configurazioni)
Sorgente: BSI analysis about cyber security 2012
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Ufficio IT e Controllo di Fabbrica – Colloquio difficile
Devo prepararmi ad
aggiornare!
Che problema c’è? Funziona e non si tocca
PER ME CONTA DI PIU’
LA PROTEZIONE DELLA
COMUNICAZIONE
PER ME CONTA DI PIU’
LA DISPONIBILITA’
PROBLEMA!
Gianni Stefano
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Ufficio IT e Controllo di Fabbrica – Esigenze diverse
Fabbrica Requisiti di Sicurezza Ufficio IT
Disponibilità, Integrità, Confidenziailità Priorità della Sicurezza Confidenziailità, Integrità, Disponibilità
h24x365g (Riavvio non possibile)
Disponibilità Normalmente orario ufficio 8h(Riavvio possibile)
Nel peggiore dei casi molto seri, possibili anche vittime
Danni per l’Azienda Perdita di Denaro Violazione Privacy
10 - 20 Anni Longevità 3-5 Anni
Risposte in Real Time Tempi di risposta Non importante
Dipende dal Produttore Mediamente lunghi (una volta ogni 1~4 Anni)
Tempo medio di Update Frequenti e Regolari
Ufficio Produzione e Automazione Gestione a carico di Ufficio CED
Differenti Standard / definiti a livello di Nazione
Standard di Sicurezza Standard Internazionali
Apparati (Attrezzature, Prodotti) Servizi (Conitnuità)
Obiettivo della Sicurezza Protezione delle informazi oni
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
DOMANDA: Quali di questi elementi della Sicurezza Informatica, che sono diventati
rilevanti in relazione alle nuove tecnologie, non ha mai preso in considerazione?
® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende
Sistemi di Automazione
Industriale (PLC, DCS, etc..)
Furto di informazioni in formato elettronico
dall'esterno
Furto di informazioni in formato elettronico
dall'interno
Cloud/Outsourcing
0% 10% 20% 30% 40% 50% 60% 70%
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
ROI per un attaccanteDove creo più
danni e magari posso ricattare una
azienda
PER ME CONTA DI PIU’
LA PROTEZIONE DELLA
COMUNICAZIONE
PER ME CONTA DI PIU’
LA DISPONIBILITA’
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Ma se stiamo parlando di questo
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
E’ richiesta maggiore responsabilità
la Comunità Europea invita le industrie a riflettere sui modi per responsabilizzare amministratori delegati e le commissioni sulla sicurezza
informatica. Questa indicazione del livello di sicurezza informatica diventeràun valore per l’azienda come indicatore di affidabilità in particolare per le
aziende considerate critiche.
Concetti come “IT Security by Design” prevedono di incorporare la sicurezza informatica in tutte le fasi e aspetti, dalla progettazione delle strutture, alla
costruzione fino alla messa in produzione.
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Il nostro contributo: uno strumento di autovalutazione
Abbiamo creato 5 check list, una per ognuna delle cinque aree di processi in cui viene scomposta la gestione della continuitàoperativa per una Infrastruttura Critica.
1. Misure preventive
2. Revisione della gestione della crisi
3. Gestione della crisi vera e propria
4. Follow-up (successivo alla crisi)
5. Esercitazioni
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Il nostro contributo: uno strumento di autovalutazione
Prima check list: Misure preventive
Le misure preventive riguardano i processi relativi alla prevenzione degli eventi disastrosi.
Esempio
Area “misure preventive”, sez. “Information Technology”:
1.7.3.2 I dati critici sono memorizzati in posti diversi?
(Si verifica la disponibilità di backup dislocati in molteplici luoghi)
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Il nostro contributo: uno strumento di autovalutazione
Seconda check list: Revisione della gestione della crisi
La revisione della gestione della crisi riguarda la preparazione dell’ambiente aziendale in modo che ci sia una efficace risposta alle situazioni disastrose.
Esempio
Area “Revisione della gestione della crisi”, sez. “Informazioni richieste ed archivi”
2.1.5.3 Gli archivi necessari sono tutti a portata di mano?
(Si verifica la disponibilità degli archivi necessari per la gestione della crisi)
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Il nostro contributo: uno strumento di autovalutazione
Terza check list: Gestione della crisi vera e propria
La gestione della crisi vera e propria comprende i processi necessari a contenere le conseguenze di un evento disastroso quando quest’ultimo accade.
Esempio
Area “Gestione della crisi vera e propria”, sez. “Trattamento di dati critici ed archivi”
3.2.9.1 I supporti e gli archivi critici sono sempre tenuti in contenitori a prova di incendio e allagamento?
(si verifica l’efficacia delle misure di protezione di archivi e supporti durante un evento disastroso)
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Il nostro contributo: uno strumento di autovalutazione
Quarta check list: Follow-up (successivo alla crisi)
Il follow-up permette di ricavare gli elementi di miglioramento del sistema di gestione dalla diretta esperienza nella gestione di un evento disastroso.
Esempio
Area “Follow-up”:
4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature?
(solo quando la crisi sia avvenuta davvero, si opera un controllo sulle attrezzature danneggiate. Il follow up serve per migliorare il sistema dall’esperienza diretta di una crisi.)
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Il nostro contributo: uno strumento di autovalutazione
Quinta check list: Esercitazioni
Le esercitazioni sono i test di risposta agli eventi disastrosi.
Esempio
Area “Esercitazioni”, sez. ” Generalità”:
5.1.3 I canali di comunicazione interna ed esterna sono testati?
(Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad affrontare la possibile crisi. I canali di comunicazione sono una delle infrastrutture necessarie per una buona gestione degli eventi disastrosi)
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Conclusioni
Giustamente l’Europa e l’Italia devono imporre una gestione normata del problema e devono supportare le aziende nei costi di gestione. Standard riconosciuti, come la norma ISO 27001 o
COBIT, vengono scarsamente adottati dalle aziende italiane proprio perché non percepiti come valore. Alcuni settori critici
come quello bancario stanno già adottando normative standard di sicurezza cybernetica.
La nostra Check List può fornire delle indicazioni ad un auditor ma non può esulare una azienda critica dall’affrontare una
analisi più specifica del contesto di sicurezza cybernetica in cui si trova.
La fabbrica è l’anello più debole della sicurezza informatica
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
LUCA! Sei sempre catastrofico….. Fantascienza
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Ah beh….Non sono problemi per le nostre piccole aziende critiche
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Jesolo 17 maggio 2013 (170Km da qui)
http://www.youtube.com/watch?feature=player_detailpage&v=VIqQyk_NNQY
LUCA! Ma si dai…. Non è un fenomeno del nostro territorio
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Da 1 anno sto conducendo una ricerca e una analisi sul profilo di rischio sulla sicurezza informatica nelle aziende del Nord Est su un campione che è attualmente di 60 di aziende.
L’indagine viene fatta sulla base di un questionario oggettivo che permette di posizionare l’azienda secondo la metodologia dell’Agenzia europea per la sicurezza delle reti e
dell'informazioni“Determining Your Organization’s Information Risk Assessment and Management”.
Lo studio ha come obiettivo quello di definire una Base Line per le aziende del territorioaggregando i dati raccolti su un campione 100 Aziende che si prefigge di fotografare il
territorio del Nord Est e l’esposizione al rischio informatico.
Se siete interessati, fatemi richiesta del questionario per individuare come siete posizionati
Work In Progress Via Virtuosa:
Analisi del rischio informatico nell’area Nord Est
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
Domande
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziendenei Settori Critici del Nord Est – Dr. Luca Moroni – Trento 10-10-2014
PER SCARICARE IL QUADERNO
http://www.isaca.org/chapters5/Venice/Benefits/Docu ments/ISACA_VENICE_QUADERNI_05_INFRA_CRITICHE.pdf
