Tutto quello che avreste voluto. automazione ma non avete mai osato chiedere. Security Summit 2009

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Tutto quello che avreste voluto. automazione ma non avete mai osato chiedere. Security Summit 2009"

Transcript

1 Tutto quello che avreste voluto sapere sulla protezione di reti e sistemi di controllo ed automazione ma non avete mai osato chiedere. Raoul Chiesa, OPST, OPSA, CD e CTS CLUSIT Alessio L.R. Pennasilico, Referente Sikurezza.org, CD e CTS CLUSIT Fabio Guasconi, LA27001, CISA, Referente UNINFO, Socio CLUSIT Enzo Maria Tieghi, Referente ANIPLA, Socio CLUSIT Security Summit Giugno 2009, Roma

2 Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 2

3 Agenda (cont.) PARTE III: La visione di un fornitore Struttura e modelli di reti e sistemi di controllo: architetture, componenti,ecc. ecc Comunicazioni e protocolli più utilizzati, vulnerabilità e contromisure Le necessità dei clienti Le necessità dei vendor PARTE IV: CONCLUSIONI Conclusioni Best Practices tecniche Best Practices procedurali Contatti, Q&A 3

4 Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 4

5 INTRODUZIONE 5

6 I relatori Raoul Chiesa aka Nobody Director of Communications at ISECOM OSSTMM Key Contributor, Project Manager di HPP Open Source Security Testing Methodology Manual Rilasciato nel gennaio 2001 Più di 3 milioni i di downloads d Direttore Tecnico Mediaservice.net Srl Docente di IT Security presso varie Università e Master di IS Speaker ad eventi di sicurezza nazionali ed internazionali Membro dei Comitati Direttivi CLUSIT, ISECOM, Telecom Security Task Force (TSTF.net), OWASP Italian Chapter Consulente per le Nazioni Unite sul cybercrime presso l UNICRI. 6

7 I relatori Alessio L.R. Pennasilico aka mayhem Security Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica, Italian Linux Society, LUGVR, Sikurezza.org, Hacker s Profiling Project 7

8 I relatori Fabio Guasconi Chief of Italian Delegation per il JTC1/SC27 Esperto Nazionale UNINFO Certificati Lead Auditor 27001, CISA, ITIL Speaker a eventi nazionali di sicurezza Membro di: CLUSIT ISMS Iug Italia ISACA Responsabile per la Sicurezza delle Informazioni e Mediaservice.net Srl S.r.l. 8

9 I relatori Enzo Maria Tieghi Amministratore Delegato di Vision Automation e ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) Auditor BS7799/ISO NERC CIP In Adisory Board,,gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 9 9

10 Le problematiche di sicurezza in ambienti sensibili Abbiamo operato in questi ambienti nel corso degli ultimi due anni, in Italia ed all estero. Ci siamo principalmente occupati di: Sicurezza organizzativa (standard, policy, ) Verifiche di Sicurezza (Penetration Test, Security Audit) Hardening (questo sconosciuto) Quanto emerso è a dir poco sconvolgente. E lo dice anche il NIST, lo US Cyber Defense, lo US Homeland Security, la Commissione Europea 10

11 Terminologie (dei sistemi di controllo ed automazione industriali) PCS (PCN):Process Control System (Network) SCADA: Supervisory Control and Data Acquisition iti (system) DCS: Distributed Control System PLC: Programmable Logic Controller RTU: Remote Terminal Unit OPC: OLE for Proces Control DH: Data Historian ESD: Emergency Shut-Down (system) MMI/HMI: Man/Human Machine Interface MES: Manufacturing Execution System ISA: Instrumentation, Systems and Automation Society 11

12 Perché parlare di questi argomenti? / 1 Nel corso del 2008, Alessio e Raoul hanno compiuto azioni di evangelism in Italia ed all estero. I contesti erano i più diversi: dalle conferenze hacker (IT Undeground, HITB, CONfidence, CCC, etc ) alle Università ed agli eventi classici (BBF, IWCE, etc..) In tutti i casi, enorme è stato l interesse dimostrato dal pubblico. ad onor del vero, il nostro talk era un mix di sano terrorismo ed una basic overview di questi mondi Volevamo fare riflettere, ma senza entrare troppo nel dettaglio. Nel mentre, ci siamo formati. Sul campo. 12

13 Perché parlare di questi argomenti? / 2 Nel contempo, il socio Tieghi scriveva il Quaderno CLUSIT Q7, Introduzione alla protezione di reti e sistemi i di controllo ed automazione (DCS, SCADA, PLC)...e Fabio Guasconi, insieme ad Enzo ed a Raoul, entrava nel GdL ESCoRTS. Lato CLUSIT, forti sono le collaborazioni con ANIPLA e con AIIC. Nel frattempo, il mercato continua a chiedere aiuto, supporto, consulenze, sicurezza 13

14 Esempi di infrastrutture automatizzate ti t Le prossime slide illustrano varie tipologie di infrastrutture automatizzate. 14

15 Typical Network Topology 15

16 Security dei sistemi IT e dei sistemi di controllo 16

17 Rete di un sistema di controllo 17

18 DCS + Ancillari Centrale Elettrica 18

19 Configurazione rete PCN con FW industriali 19

20 Esempio rete SCADA da NIST 20

21 Esempio SCADA distribuito da NIST 21

22 Esempio rete DCS da NIST 22

23 Esempio rete PCN semplice da NIST (solo layer processo) 23

24 Infrastrutture critiche nazionali Le NCIs hanno forti legami con i mondi SCADA e di Industrial Automation Nelle prossime tre slide, abbiamo cercato di riassumere secondo gli standard e le logiche ad oggi esistenti, primi tra tutti lo US Homeland Security Department le principali infrastrutture critiche nazionali, organizzate per settori. Il brutto è che, per ognuno di questi settori, attacchi ed intrusioni sono già avvenuti, con successo 24

25 Infrastrutture critiche nazionali / 1 SECTOR Energy and Utilities Sample Target sub-sectors Electrical power (generation, transmission, nuclear) Natural Gas Oil production and tranmission systems Communications and dinformation Tl Telecommunications (phone, fax, cable, Technology wireless & WiMax, satellite) Broadcasting systems Software Hardware Networks (Internet) Finance Health Care Banking Securities Investment Hospitals Health-care facilities Blood-supply facilities Pharmaceuticals 25

26 Infrastrutture critiche nazionali / 2 SECTOR Sample Target sub-sectors Food Food safety Agriculture and Food Industry Food distribution Water Drinking Water Wastewater t management Transportation Air Rail Marine Surface Safety Chemical, biological, radiological, and nuclear safety Hazardous materials Search and rescue Emergency services (police, fire, ambulance and others) Dams 26

27 Infrastrutture critiche nazionali / 3 SECTOR Government Manufacturing Sample Target sub-sectors Government facilities Government services (i.e., meteorological services) Government Information Networks Government Assets Key national symbols (cultural institutions, tions national sites, monuments) ments) Chemical Industry Defence industrial base 27

28 Esempi reali Un paio di real examples, per toccare con mano ciò di cui stiamo parlando. Managing pumps (USA, MN) The Gulf (Mexico) 28

29 29

30 30

31 PARTE I Overview e standard 31

32 Situazione in ambito nazionale ed internazionale i (EU) Associazioni: ISA (www.isa.org) s99 Committee e Standard Ora ISA s99 diviene IEC NIST SP & NIST SP NERC CIP-001/009 (per il settore Power) GdL: EURO-SCSIE ESTEC, ESCoRTS, CRUTIAL, IRRIIS, GRID, ecc IRRIIS 32

33 La famiglia ISO Information Security Management System Recenti sondaggi (Stakeholders Survey di ESCoRTS) mostrano come la ISO/IEC sia considerata il riferimento in materia di sicurezza per l automazione industriale, anche se non completamente adeguata. Altre norme sono più verticali e forniscono maggiori indicazioni, MA 33

34 La famiglia ISO Alcuni cenni alla struttura della ISO/IEC 27001: Risk Assessment Policy & Requisiti Contromisure ISO/IEC Plan Do Act Check Miglioramento Efficacia Audit 34

35 La famiglia ISO Requisiti Linee Guida Di Settore 27001: ISMS requirements 27006:2007 Requirements for audit & cert. bodies Vocabulary 27002:2005 Code of practice Implementation guidance Inter-sector communications Telecommunications E-government Financial and insurance 2701X ISO/IEC and ISO/IEC X Critical Infrastructures Measurements 27005:2008 Risk Management Service Security governance ISMS auditing 35

36 La famiglia ISO Attivitàità del JTC1/SC27 in merito: : periodo di studio sulle Infrastrutture Critiche Nazionali Aprile 2008: SC27 not interested (controverso) Ottobre 2008: proposta di inserire linee guida sulle CNI nella Maggio 2009: prossima plenaria a Pechino 36

37 La famiglia ISO La ISO/IEC nasce per essere impiegata su organizzazioni di ogni tipo e dimensione. L approccio ISO/IEC è direttamente t applicabile ai sistemi di automazione e alle CNI per la parte di processo (con le differenze identificate da IS s99: priorità C-I-A/R-I-D). Le contromisure specifiche e gli elementi di dettaglio possono (ed è previsto dalla norma) essere integrati da altri standard verticali. 37

38 La famiglia ISO Esempio di elementi distintivi da considerare nell applicazione della ISO/IEC 27001: Requisiti specifici inerenti fault-tolerance, disponibilità Differenze infrastrutturali e gestionali rispetto ai sistemi IT, separazione tra la rete corporate e quella di controllo Valorizzazione di rischi che coinvolgono vite umane e di minacce di più alto profilo (sabotaggio, terrorismo ) Contromisure specifiche o compensative diverse da quelle standard d 38

39 La famiglia ISO Altre norme applicabili dalla famiglia ISO/IEC ICT readiness for Business Continuity ISO/IEC Cybersecurity ISO/IEC Network security ISO/IEC Application security ISO/IEC Incident management 39

40 BS7799-IS vs. ISA C-I-A Comparison of Objectives Manufacturing and Control Systems Availability Integrity Traditional IT Systems Confidentiality Integrity Confidentiality Availability Priority 40

41 Modelli e gerarchie nei sistemi di fabbrica e di infrastruttura (ISA s95) 41

42 ANSI/ISA-95 Functional Hierarchy Level 4 Level 3 Business Planning & Logistics Plant Production Scheduling, Operational Management, etc Manufacturing Operations Management Dispatching Production, Detailed Production Scheduling, Reliability Assurance, Establishing the basic plant schedule - production, material use, delivery, and shipping. Determining inventory levels. Time Frame Months, weeks, days 3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process. Time Frame Days, Shifts, hours, minutes, seconds Level 2 Level 1 Batch Control Continuous Control Discrete Control 2 - Monitoring, supervisory control and automated control of the production process 1 - Sensing the production process, manipulating the production process Level The actual production process 42

43 ISA s99 Model: Zones and Conduits Laptop computer Workstation Mainframe Server Server Enterprise Zone Enterprise Conduit Plant A Zone Plant B Zone Plant C Zone Router Router Router Laptop computer Workstation Laptop computer Workstation Laptop computer Workstation File/Print Server App. Server Data Server File/Print Server App. Server Data Server File/Print Server App. Server Data Server Plant A Control Zone Firewall Plant B Control Zone Firewall Plant C Control Zone Firewall App. Server Data Server Maint. Server Firewall App. Server Data Server Maint. Server Firewall App. Server Data Server Maint. Server Firewall Plant Control Conduit Plant Control Conduit Plant Control Conduit Controller Controller Controller Controller Controller Controller I/O I/O I/O I/O I/O I/O 43

44 ISA S99 Structure ISA Part 1: Terminology, Concepts and Models ISA Part 2: Establishing an Industrial Automation and Control System Security Program ISA Part 3: Operating an Industrial Automation and Control Systems Security Program ISA Part 4: Security Requirements for Industrial Automation and Control Systems ANSI/ISA-TR : Security Technologies for Manufacturing and Control Systems 44

45 Structural overview (ISA S99 - IEC 62443) Part Title ISA # IEC # I.1 Terminology, Concepts and Models ISA IEC I2 I.2 Master Glossary ISATR TR IEC/TR I.3 Foundational Requirements ISA TR IEC/TR II.1 Establishing an IACS* security yprogram ISA IEC II.2 II.3 Operating an IACS* security program Patch Management ISA ISA TR IEC IEC/TR III.1 III.2 III.3 Security Technologies Target Security Levels System Security & Compliance Metrics ISA TR ISA ISA IEC/TR IEC IEC III.4 Protection of Data at Rest ISA IEC * IACS = Industrial Automation and Control System 45

46 NIST SP & NERC CIP NIST SP800-82: Guide to Industrial Control System (ICS) Security NIST SP800-53: Reccomended Security control for Federal Information Systems Information Security NERC CIP-001/009 for Power Sector: 46

47 La direttiva EU Direttiva UE COM(2006)787, relativa alla "Identification and designation of European Critical Infrastructure and the assessment of the need to improve their protection ratificata dal Governo Italiano nel Dicembre Fornisce le indicazioni comuni, a livello europeo, relative alle modalità di identificazione delle infrastrutture critiche, identificazione di possibili minacce e vulnerabilità a cui ogni struttura è esposta ed identificazione di protezioni adeguate a contrastare la minacce individuate. Individuare adeguati meccanismi di protezione in grado di garantirne la corretta operatività ed evitare eventuali effetti domino, in caso di interazione fra diverse infrastrutture critiche. 47

48 Linee guida presenti in altri Paesi USA-DHS/DOE UK-CPNI NL-NICC GAMP5 48

49 US Critical Infrastructure Security Programs National SCADA Test Bed (DOE: Dept. of Energy) Control lsystems Security Program Dept. of Homeland Security 49 49

50 UK: CPNI Centre for the Protection of Nti National Infrastructure t Ex NISSC 7 guide security SCADA & PCN Google for CPNI SCADA 50

51 NL: Dutch National Cyber Crime Infrastructure t (NICC) SCADA Security Good Practice For the Drinking Water Sector 51

52 Le Gamp5 e la Sicurezza dei sistemi Appendice O11: Security Management 52

53 Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 53

54 PARTE II Le problematiche tecniche 54

55 Ergonomia / 1 Donald A. Norman, La caffettiera del masochista James Reason, L errore umano 55

56 Ergonomia / 2 Evitare di Confondersi 56

57 Ergonomia / 3 Eravamo abituati a 57

58 Ergonomia / 4 Ora lavoriamo In modo diverso. 58

59 Blockbuster Il sistema di gestione della centrale elettrica non rispondeva. L operatore stava guardando un DVD sul computer di gestione CSO di una utility di distribuzione energia elettrica 59

60 Differenze tra Security IT e Security PCS ISO/IEC ISA Confidenzialità Disponibilità Integrità Integrità Disponibilità Confidenzialità 60

61 L Open Source e gli ambienti industriali i L open source è sempre più presente negli ambienti i industriali. I costruttori di sistemi embedded si orientano sempre più spesso verso soluzioni open. Ma è dal punto di vista del monitoring, della gestione e dei test che al momento si ottiene un enorme numero di strumenti adatti a lavorare nel mondo SCADA. 61

62 Hydra Password brute forcer per diversi protocolli Nessuna relazione con il mondo SCADA Utile per accesso a macchine di controllo, interfacce di gestione 62

63 aircrack Permette di trovare in pochi secondi password WEP128 ed in poche ore password WPA/PSK Nessuna relazione con l ambiente SCADA Tuttavia sensori, PLC o altri device SCADA utilizzano a/b/g/n per connettersi alla rete 63

64 Wireshark Sniffer per intercettare il traffico IP Può decodificare il traffico, isolare protocolli, sessioni, host Ha di default i dissector per interpretare correttamente diversi protocolli tipici dell automazione industriale (es. CIP) 64

65 Wireshark & CIP 65

66 Nessus Vulnerability Scanner, permette di trovare vulnerabilità conosciute o comuni errori di configurazione su diversi host / apparati Adatto a trovare vulnerabilità o malconfigurazioni di host legacy che ospitano applicazioni SCADA E stato inclusa una libreria specifica per software ed apparati SCADA 66

67 67

68 Le tecniche di attacco Le tecniche di attacco verso queste realtà non differiscono di molto da quelle classiche del mondo IT: Old school hacking (password guessing, ) Port scanning Eavesdropping, ricostruzione dei flussi Exploiting DoS Web applications hacking 68

69 Esempio di intrusione fonte INL (Idaho Nti National Lab DHS US 69

70 Incidenti del passato Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni 80 sino a casi decisamente recenti. 70

71 Whatcom Falls Park About 3:28 p.m., Pacific daylight time, on June 10, 1999,, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that t flowed through h Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18- year-old young man died as a result of the accident. Eight additional i injuries i were documented. d A single-family il residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million. 71

72 72

73 Technical details The Olympic Pipeline SCADA system consisted of Teledyne Brown Engineering20 SCADA Vector software, version , running on two Digital Equipment Corporation (DEC) VAX Model computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package. 73

74 SCADA can save lives 5. If the supervisory control and data acquisition (SCADA) system computers had remained responsive to the commands of the Olympic controllers, the controller operating the accident pipeline probably would have been able to initiate actions that would have prevented the pressure increase that ruptured the pipeline. 74

75 Worms In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. NIST, Guide to SCADA 75

76 nmap While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, it was noticed that one arm became active and swung around 180 degrees. The controller for the arm was in standby mode before the ping sweep was initiated. NIST, Guide to SCADA 76

77 Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. 77

78 Sabotaggio Thomas C. Reed, Ronald Regan s Secretary, described in his book At the abyss how the U.S. arranged for the Soviets to receive intentionally flawed SCADA software to manage their natural gas pipelines. "The pipeline software that was to run the pumps, turbines, and values was programmed to go haywire, after a decent interval, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to pp pipeline joints and welds." A 3 kiloton explosion was the result, in 1982 in Siberia. 78

79 Gazprom Russian authorities revealed this week that Gazprom, a state-run gas utility, came under the control of malicious hackers last year. [ ]The report said hackers used a Trojan horse program, which stashes lines of harmful computer code in a benign-looking program. 79

80 Incidenti recenti (2008/2009) Texas: warning, zombies ahead Transportation officials in Texas are scrambling to prevent hackers from changing messages on digital road signs after one sign in Austin was altered to read, "Zombies Ahead." Chris Lippincott, director of media relations for the Texas Department of Transportation, confirmed that a portable traffic sign at Lamar Boulevard and West 15th Street, near the University of Texas at Austin, was hacked into during the early hours of Jan. 19. "It was clever, kind of cute, but not what it was intended for," said Lippincott, who saw the sign during his morning commute. "Those signs are deployed for a reason to improve traffic conditions, let folks know there's a road closure." 80

81 Incidenti recenti (2008/2009) Final Super Bowl Moments Interrupted By Porn Yesterday s television broadcast of the Super Bowl in Tucson, Arizona, was interrupted for some viewers by about 10 seconds of pornographic material. According to a statement from KVOA TV in Tucson, the only viewers who saw the material were those who receive the channel through Comcast cable. Officials at Comcast said they had no idea at the time it happened how the porn may have gotten into its feed. Apparently, the SD signal was hacked and a tensecond porn clip was inserted into the feed. The station received hoards of complaints from families who were watching the game and saw the clip, which showed a woman unzipping a man's pants, followed by a graphic act between the two. UPDATED (2 febbraio 2009): Comcast offers $10 credit to Tucson customers who saw Super Bowl porn 81

82 Previews / 1 Critical Infrastructure Prime Target For Cyber Criminals In The report, "2009 Cyber Threats and Trends" seeks to aid education efforts about cyber security threats facing networks, enterprises and end-users by highlighting important trends that emerged in 2008, and attempts to predict security trends and disruptors that may develop in 2009 with lasting consequences for businesses in the coming decade. com/articles/70136/ 82

83 Previews / 2 NG911 Meaning we have to look at the NG911 (next generation) that NENA is about to roll out. NENA uses XML to manage all review and dispatch of emergency notifications. These payloads may be downloaded directly to the [handheld] of the incident commander on the way to the site. NG911 wraps every message it gets in its own XML envelope for routing and archival. Inside that envelope, though, is standard emergency management distribution elements (EDXL) with specialized elements for each purpose. The most tfamous, and dthe least normalized of fthe elements is CAP( (common alerting protocol). There may be many elements in a single message. Some distribution elements may be encrypted such that not everyone who receives a emergency message can read all elements. When folks are speaking imprecisely, they may refer to the entire pile as "a CAP Alert". The NG911 folks are also talking about receiving messages directly into their system, from external agencies. If local l policy allows, these messages can be dispatched directly through the system without operator intervention, saving minutes on a response. ([SCADASEC] Fw: HAZUS Forum and HAZUS Wiki Announcement). 83

84 Previews / 3 Know the risks of running industrial control systems on IP networks, by Shamus McGillicuddy, News Editor - 07 Jan 2009 SearchNetworking.com In the never-ending quest to save money and boost performance, many organizations are migrating their industrial control systems onto IP networks. As network engineers get to know these new systems, they must tread carefully -- one mistake can lead to disaster. Often referred to as SCADA (Supervisory Control And Data Acquisition) iti systems, these industrial networks are used in a variety of industries. Utility companies use them to manage electrical grids, natural gas distribution, and sewer and water systems. Manufacturers use them to manage factory floor equipment. Construction and engineering firms often manage heavy equipment, such as cranes, with them. Nuclear power plants manage fission and power generation with these systems. (http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci ,00.html)

85 Previews / 4 ASCE American Society of Civil Engineers e la loro Report Card: 2009 Report Card for America's Infrastructure Category Changed? Better or worse? Aviation D D+ Yes; worse Bridges C C Dams D D Drinking Water D- D- Energy D+ D Yes; better Hazardous Waste D D Inland Waterways D- D- Levees D- NA Yes; worse Public Parks & Recreation C- C- Rail C- C- Roads D- D Yes; worse School D D Security NA I Removed Solid Waste C+ C+ Transit D D+ Yes; worse Wastewater D- D- Overall GPA grade D D Cost $2.2T 2 $1.6T A = Exceptional B = Good C = Mediocre D = Poor F = Failing 85

86 Previews / 5 World's power grids infested with (more) SCADA bugs Areva Inc. - a Paris-based company that serves nuclear, wind, and fossil- fuel power companies - is warning customers to upgrade a key piece of energy management software following the discovery of security bugs that leaves it vulnerable to hijacking. The vulnerabilities affect multiple versions of Areva's e-terrahabitat package, which allows operators in power plants to monitor gas and electric levels, adjust transmission and distribution devices, and automate other core functions. Areva markets itself as one of the top three global players in the transmission and distribution of energy. 86

87 Defective by design? Nessuna autenticazione Nessuna cifratura locale dei dati Nessuna cifratura del traffico di rete Nessuna gestione dei LOG Spesso sono / sono state esigenze e non limiti 87

88 Errori comuni Nessun isolamento delle macchine di produzione dai normali PC Configurazioni di default Scarso o nessun controllo sugli accessi da remoto (Dial-up / VPN) Documentazione obsoleta ed incoerente Nessun piano di Disater Recovery, piani mai testati, o mai testati in seguito a modifiche anche importanti 88

89 Problemi tecnici Utilizzo di un Antivirus i / IDS Non esiste o rallenta le performance Applicazione delle security patch Cicli di approvazione e test troppo lunghi Non garanzia da parte dei Vendor in seguito a patch ed installazione SP (cfr SP3 su Windows) o comunque updates non certificate. Esecuzione di un pen-test Risultati (e reazioni) imprevedibili 89

90 Problemi economici Gestione di un test-bed Soprattutto in ambienti complessi è molto costoso da realizzare e da mantenere Approvazione dei costi di hardening Il management li percepisce troppo spesso come costi inutili, rifiutandoli in fase di progettazione e non approvandoli in fase di tuning / hardening 90

91 Nuovi problemi Utilizzo di tecnologie legacy OS, Ethernet, WiFi Vulnerabilità introdotte dai nuovi sistemi di gestione ed accesso Interfacce WEB, VNC Effetti domino provocati dall interazione tra macchine worm 91

92 Esperienze sul campo Sovema Mirato (Malizia Profumo d Intesa, etc..) MilMil SAF/FRO Gruppo AirLiquide SantLuis Tecres Gruppo Rossetto Altri Altri soggetti ad NDA 92

93 Il costo dell hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato al3 3M vs 3K : progetto bocciato 93

94 Sovema: esigenze Macchine per costruire batterie delle automobili Rischio di ferire/uccidere l operatore, inquinare l ambiente, esplodere con tutto lo stabilimento, etc etc Da cablaggio proprietario a ethernet Da protocolli proprietari acip Macchine poco potenti per contenere i costi Fornire al cliente una soluzione sicura 94

Come proteggere reti e sistemi di Automazione, Controllo e Telecontrollo da rischi informatici nell'industria e nelle utility

Come proteggere reti e sistemi di Automazione, Controllo e Telecontrollo da rischi informatici nell'industria e nelle utility Come proteggere reti e sistemi di Automazione, Controllo e Telecontrollo da rischi informatici nell'industria e nelle utility Alessio L.R. Pennasilico, Referente Sikurezza.org, CD e CTS CLUSIT Enzo Maria

Dettagli

Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.)

Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.) Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.) Enzo M. Tieghi www.visionautomation.it etieghi@visionautomation.it 1 Security dei sistemi IT e dei sistemi

Dettagli

(Cyber) Security Sicurezza di Reti, Sistemi e Dati in ambito industriale

(Cyber) Security Sicurezza di Reti, Sistemi e Dati in ambito industriale (Cyber) Security Sicurezza di Reti, Sistemi e Dati in ambito industriale Sergio Petronzi Inprotec S.p.A. Distributore Vision area centro-sud Roma, 27 Gennaio 2006 Uno strano caso a Maroochy Shire (AUS)

Dettagli

Serializzazione La chiave di successo è l integrazione tra business e shop floor. Mauro Chiaraluce Sales Manager

Serializzazione La chiave di successo è l integrazione tra business e shop floor. Mauro Chiaraluce Sales Manager Serializzazione La chiave di successo è l integrazione tra business e shop floor Mauro Chiaraluce Sales Manager AGENDA Il nostro Gruppo La ESISOFTWARE L integrazione nella Serializzazione Mauro Chiaraluce

Dettagli

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013 Product Management & Partnerships Industrial & SCADA Infrastructure Protection Milano 30 Ottobre 2013 VIDEO IL NUOVO PANORAMA Le minacce sono più complesse E con tante risorse da proteggere il personale

Dettagli

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management

SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management SCADA & (Cyber) Security, Riconoscimento Biometrico, Configuration Management Sergio Petronzi Inprotec S.p.A. Distributore ServiTecno Area centro sud s.petronzi@inprotec.it Agenda SCADA/HMI le funzioni

Dettagli

IT Risk Management a 360

IT Risk Management a 360 IT Risk Management a 360 Politecnico di Torino Fabio Guasconi 26/05/ 1 Indice Risk Management, norme e metodologie internazionali Cenni all analisi quantitativa Tecniche e strumenti per la raccolta delle

Dettagli

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend

Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Metodologie e Standard di sicurezza logica nel settore finance: esperienze sul campo, errori comuni, nuovi trend Raoul Chiesa, ISECOM, CLUSIT, OWASP, TSTF.net Fabio Guasconi, UNINFO, ISO/IEC ABI, Roma,

Dettagli

Elsag Datamat. Soluzioni di Cyber Security

Elsag Datamat. Soluzioni di Cyber Security Elsag Datamat Soluzioni di Cyber Security CYBER SECURITY Cyber Security - Lo scenario La minaccia di un attacco informatico catastrofico è reale. Il problema non è se ma piuttosto quando l attacco ci sarà.

Dettagli

SC D2 Information Technology and Telecommunication. General session e SC meeting 2012

SC D2 Information Technology and Telecommunication. General session e SC meeting 2012 Information Technology and CIGRE Comitato Nazionale Italiano Riunione del 29 Ottobre 2012 General session e SC meeting 2012 Chairman Carlos Samitier(ES) Segretario Maurizio Monti(FR) Membership 24 membri

Dettagli

Utenti aziendali, device personali, informazioni riservate

Utenti aziendali, device personali, informazioni riservate Utenti aziendali, device personali, informazioni riservate Come trasformare un possibile incubo in un vantaggio per l azienda Alessio L.R. Pennasilico - apennasilico@clusit.it Maurizio Martinozzi - maurizio_martinozzi@trendmicro.it

Dettagli

Mission. Proteggiamo il Business dei nostri Clienti

Mission. Proteggiamo il Business dei nostri Clienti 2013 idialoghi- ICT Security Consulting 1 Mission La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Business dei nostri Clienti Da 15 anni realizziamo per

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

LA SECURITY NEI SISTEMI DI MONITORAGGIO E CONTROLLO

LA SECURITY NEI SISTEMI DI MONITORAGGIO E CONTROLLO INFRASTRUTTURE CRITICHE STEFANO PANZIERI, socio fondatore AIIC Dip. Informatica e Automazione Università degli Studi Roma Tre ENZO M. TIEGHI, socio AIIC Amministratore Delegato di Vision Automation s.r.l.

Dettagli

Certificazioni ISECOM e Certificazione PILAR advanced user

Certificazioni ISECOM e Certificazione PILAR advanced user Certificazioni ISECOM e Certificazione PILAR advanced user ISACA Capitolo di Roma Alberto Perrone 20 Novembre 2009 Chi siamo: @ Mediaservice.net Una società che opera dal 1997 nell area della Consulenza

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

L utilizzo del protocollo standard IEC60870-104, via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico.

L utilizzo del protocollo standard IEC60870-104, via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico. L utilizzo del protocollo standard IEC60870-104, via GPRS su reti VPN, come risposta alle esigenze di telecontrollo nel settore idrico. Ing. Vittorio Agostinelli Product Manager Factory Automation Phone:

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi

Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi di sicurezza informatica Autore: Raoul Chiesa (OPST, OPSA) Socio Fondatore, Membro del Comitato Direttivo CLUSIT Board of Directors

Dettagli

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla 1. Which are three reasons a company may choose Linux over Windows as an operating system? (Choose three.)? a) It

Dettagli

The approach to the application security in the cloud space

The approach to the application security in the cloud space Service Line The approach to the application security in the cloud space Manuel Allara CISSP CSSLP Roma 28 Ottobre 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance

Dettagli

Service Manager Operations. Emerson Process Management

Service Manager Operations. Emerson Process Management Ronca Vito Service Manager Operations Emerson Process Management Italia Emerson e Cyber Security Nel settore industria ed energia, uno dei punti critici da un punto di vista CybSec è il sistema di controllo

Dettagli

Acqua nella Nuvola Sistema di Telecontrollo in Cloud per Sistema Idrico

Acqua nella Nuvola Sistema di Telecontrollo in Cloud per Sistema Idrico Acqua nella Nuvola Sistema di Telecontrollo in Cloud per Sistema Idrico Proof-Of-Concept per Acquedotto Multiutility Enzo M. Tieghi ServiTecno/GE-Intelligent Platforms etieghi@servitecno.it www.telecontrollo.biz

Dettagli

Il valore della rete IP nella Connected Enterprise

Il valore della rete IP nella Connected Enterprise Il valore della rete IP nella Connected Enterprise Dall Operation Technology all Information Technology Rev 5058-CO900E Questa è la Internet of Things Connette tutto ciò che non è connesso Stadium Municipal

Dettagli

ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM

ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM YEAR: 2009-2010 CUSTOMER: THE PROJECT Il Progetto S.E.I.C. developed the Environmental Control & Leak Detection System (ecolds) for Rho - Malpensa Pipeline

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing

Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing Reg. 05/017 Misure di Tutela e Aspetti Legali nel contesto del Cloud Computing La certificazione di sistema per aumentare il trust cliente-fornitore 25 maggio 2010 AIPSI - Milano 1 The speaker Fabrizio

Dettagli

Protocolli di comunicazione per HMI: dalle reti proprietarie agli standard Ethernet

Protocolli di comunicazione per HMI: dalle reti proprietarie agli standard Ethernet Insert Photo Here Protocolli di comunicazione per HMI: dalle reti proprietarie agli standard Ethernet Roberto Motta, Local Business Leader IA Davide Travaglia, Commercial Engineer View 1 L evoluzione delle

Dettagli

La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive

La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive Associazione Informatici Professionisti Osservatorio Privacy e Sicurezza delle Informazioni La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive Paolo Giardini AIP Privacy

Dettagli

Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide?

Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide? Il Content Security dall'ambiente fisico al virtuale : come approcciare le nuove sfide? Alessio L.R. Pennasilico - apennasilico@clusit.it Gastone Nencini - gastone_nencini@trendmicro.it Security Summit

Dettagli

Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione

Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Luca De Angelis Product Marketing Manager Dato di fatto #1: Flessibilità Dato di fatto #2:

Dettagli

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini

L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini L'oro dei nostri giorni. I dati aziendali, i furti, la loro protezione in un ambiente oltre i confini Alessio L.R. Pennasilico - apennasilico@clusit.it Gastone Nencini - gastone_nencini@trendmicro.it Security

Dettagli

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in IT Service Management according to ISO/IEC 20000. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in IT Service Management according to ISO/IEC 20000 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 20000 L IT Service Management secondo

Dettagli

ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM

ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM YEAR: 2011 CUSTOMER: THE PROJECT Il Progetto S.E.I.C. developed the Environmental Control & Leak Detection System (ecolds) for Ferrara-Ravenna Pipeline located

Dettagli

Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance

Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance Incontri a cena Checkpoint Zerouno Security management: dal caos alla governance Riccardo Zanchi Partner NetConsulting Milano, Osteria del Treno 24 giugno 2008 Agenda Il contesto del mercato della security

Dettagli

THETIS Water Management System for Settignano acqueduct (Firenze, Italy) Water Management System for Settignano aqueduct (Firenze, Italy)

THETIS Water Management System for Settignano acqueduct (Firenze, Italy) Water Management System for Settignano aqueduct (Firenze, Italy) THETIS for Settignano aqueduct (Firenze, Italy) YEAR: 2003 CUSTOMERS: S.E.I.C. Srl developed the Water Monitoring System for the distribution network of Settignano Municipality Aqueduct. THE PROJECT Il

Dettagli

CONFIGURATION MANUAL

CONFIGURATION MANUAL RELAY PROTOCOL CONFIGURATION TYPE CONFIGURATION MANUAL Copyright 2010 Data 18.06.2013 Rev. 1 Pag. 1 of 15 1. ENG General connection information for the IEC 61850 board 3 2. ENG Steps to retrieve and connect

Dettagli

ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM

ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM ENVIRONMENTAL CONTROL & LEAK DETECTION SYSTEM YEAR: 2011 CUSTOMER: THE PROJECT Il Progetto S.E.I.C. developed the Environmental Control & Leak Detection System (ecolds) for Ferrera - Cremona Pipeline which

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare?

Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare? Tra smart technology e hacker quali sono i rischi che le aziende devono affrontare? Alessio L.R. Pennasilico - apennasilico@clusit.it Security Question Time Treviso, Gennaio 2015 $whois -=mayhem=- Security

Dettagli

Tecnologie sicure per la comunicazione globale: una promessa da mantenere per l industria ICT

Tecnologie sicure per la comunicazione globale: una promessa da mantenere per l industria ICT Tecnologie sicure per la comunicazione globale: una promessa da mantenere per l industria ICT Umberto de Julio Italtel, Italtel logo and imss (Italtel Multi-Service Solutions) are registered trademarks

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

Telecontrol systems for renewables: from systems to services

Telecontrol systems for renewables: from systems to services ABB -- Power Systems Division Telecontrol systems for renewables: from systems to Adrian Timbus - ABB Power Systems Division, Switzerland Adrian Domenico Timbus Fortugno ABB - Power ABB Power Systems Systems

Dettagli

Tecnologie di Campo nell Automazione Industriale

Tecnologie di Campo nell Automazione Industriale Tecnologie di Campo nell Automazione Industriale Reti per l Automazione Stefano Panzieri Lan e Bus di Campo - 1 Stefano Panzieri Al livello più basso Misura e acquisizione delle grandezze di interesse

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM

IBM SmartCloud Le regole per la Sicurezza nel Cloud Computing: la visione di IBM Raffaella D Alessandro IBM GTS Security and Compliance Consultant CISA, CRISC, LA ISO 27001, LA BS 25999, ISMS Senior Manager, ITIL v3 Roma, 16 maggio 2012 IBM SmartCloud Le regole per la Sicurezza nel

Dettagli

Cyber Security Sistemi Energia - Progetti e Sperimentazioni. Giovanna Dondossola Roberta Terruggia

Cyber Security Sistemi Energia - Progetti e Sperimentazioni. Giovanna Dondossola Roberta Terruggia Cyber Security Sistemi Energia - Progetti e Sperimentazioni Giovanna Dondossola Roberta Terruggia Cyber security in RSE Avviata nel 2000 Obiettivo Valutazione della cyber security dei sistemi di controllo

Dettagli

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

NORME E GUIDE TECNICHE PROGRAMMA DI LAVORO PER INCHIESTE PRELIMINARI TECHNICAL STANDARDS AND GUIDES PROGRAMME OF WORKS FOR PRELIMINAR ENQUIRY

NORME E GUIDE TECNICHE PROGRAMMA DI LAVORO PER INCHIESTE PRELIMINARI TECHNICAL STANDARDS AND GUIDES PROGRAMME OF WORKS FOR PRELIMINAR ENQUIRY NORME E GUIDE TECNICHE PROGRAMMA DI LAVORO PER INCHIESTE PRELIMINARI TECHNICAL STANDARDS AND GUIDES PROGRAMME OF WORKS FOR PRELIMINAR ENQUIRY Il presente documento viene diffuso attraverso il sito del

Dettagli

Cisco Networking Academy Program. Nuovi Curricula CCNA ITIS E. MAJORANA CESANO MADERNO

Cisco Networking Academy Program. Nuovi Curricula CCNA ITIS E. MAJORANA CESANO MADERNO Cisco Networking Academy Program Nuovi Curricula CCNA ITIS E. MAJORANA CESANO MADERNO 1 Networking Academy Program 2.0 Portfolio 18 Corsi complessivi CAREERS Enterprise Networking CCNP Advanced Routing

Dettagli

ISAC. Company Profile

ISAC. Company Profile ISAC Company Profile ISAC, all that technology can do. L azienda ISAC nasce nel 1994, quando professionisti con una grande esperienza nel settore si uniscono, e creano un team di lavoro con l obiettivo

Dettagli

Progetto Michelangelo. Click4Care - ThinkHealth System. Paolo Rota Sperti Roma, 08 Novembre 2008. 2008 Pfizer Italy. Tutti i diritti riservati.

Progetto Michelangelo. Click4Care - ThinkHealth System. Paolo Rota Sperti Roma, 08 Novembre 2008. 2008 Pfizer Italy. Tutti i diritti riservati. Progetto Michelangelo Click4Care - ThinkHealth System Paolo Rota Sperti Roma, 08 Novembre 2008 2008 Pfizer Italy. Tutti i diritti riservati. 1 Storia Pfizer ha sviluppato negli ultimi anni know-how nel

Dettagli

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006

La Sicurezza e i benefici per il business. Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 La Sicurezza e i benefici per il business Francesca Di Massimo Security Lead Italia frandim@microsoft.com Roma, 7 giugno 2006 Lo scenario di riferimento Gli attacchi diventano più sofisticati Le difese

Dettagli

A Solar Energy Storage Pilot Power Plant

A Solar Energy Storage Pilot Power Plant UNIONE DELLA A Solar Energy Storage Pilot Power Plant DELLA Project Main Goal Implement an open pilot plant devoted to make Concentrated Solar Energy both a programmable energy source and a distribution

Dettagli

SISTEMA DI GESTIONE PER LA SICUREZZA NELLE TECNOLOGIE DELL INFORMAZIONE (ISMS) CERTIFICAZIONE ISO 27001

SISTEMA DI GESTIONE PER LA SICUREZZA NELLE TECNOLOGIE DELL INFORMAZIONE (ISMS) CERTIFICAZIONE ISO 27001 STEMA DI GESTIONE PER LA CUREZZA NELLE ME AZIENDA/ COMPANY NAME PARTITA IVA/Vat no. CODICE FISCALE INDIRIZZO SEDE LEGALE (INDIRIZZO, CAP, CITTÀ, PROVINCIA) ME DEL REFERENTE/CONTACT NAME TELEFO/PHONE no.

Dettagli

Pubblicazioni COBIT 5

Pubblicazioni COBIT 5 Pubblicazioni COBIT 5 Marco Salvato CISA, CISM, CGEIT, CRISC, COBIT 5 Foundation, COBIT 5 Trainer 1 SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2 La famiglia COBIT 5 3 Aprile

Dettagli

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP

Quaderni. Clusit. La verifica della sicurezza di applicazioni Web-based ed il progetto OWASP Quaderni Clusit 004 La verifica della sicurezza di applicazioni Web-based ed il R. Chiesa, L. De Santis, M. Graziani, L. Legato, M. Meucci, A. Revelli La verifica della sicurezza di applicazioni Web-based

Dettagli

Introduzione Kerberos. Orazio Battaglia

Introduzione Kerberos. Orazio Battaglia Orazio Battaglia Il protocollo Kerberos è stato sviluppato dal MIT (Massachusetts Institute of Tecnology) Iniziato a sviluppare negli anni 80 è stato rilasciato come Open Source nel 1987 ed è diventato

Dettagli

ICT e SmartGrid. Massimiliano Chiandone mchiandone@units.it

ICT e SmartGrid. Massimiliano Chiandone mchiandone@units.it ICT e SmartGrid Massimiliano Chiandone mchiandone@units.it Sommario Introduzione Nuove Architetture dei Sistemi Elettrici Motivazioni, requisiti, caratteristiche Comunicazioni Dispositivi Un esempio Applicazioni

Dettagli

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit.

Security by design. Come la gestione di un progetto può minimizzare i rischi per il business. Alessio L.R. Pennasilico - apennasilico@clusit. Security by design Come la gestione di un progetto può minimizzare i rischi per il business Alessio L.R. Pennasilico - apennasilico@clusit.it 22 Febbraio 2013 - Milano Alessio L.R. Pennasilico Security

Dettagli

Sicurezza e Internet 02

Sicurezza e Internet 02 Sicurezza e Internet 02 La Sicurezza Gli argomenti inerenti la sicurezza sono generalmente raggruppabili all interno delle seguenti aree: 1. Sicurezza Fisica 2. Sicurezza Logica 3. Sicurezza Organizzativa

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

IT Service Management, le best practice per la gestione dei servizi

IT Service Management, le best practice per la gestione dei servizi Il Framework ITIL e gli Standard di PMI : : possibili sinergie Milano, Venerdì, 11 Luglio 2008 IT Service Management, le best practice per la gestione dei servizi Maxime Sottini Slide 1 Agenda Introduzione

Dettagli

IBM Cloud Computing - esperienze e servizi seconda parte

IBM Cloud Computing - esperienze e servizi seconda parte IBM Cloud Computing - esperienze e servizi seconda parte Mariano Ammirabile Cloud Computing Sales Leader - aprile 2011 2011 IBM Corporation Evoluzione dei modelli di computing negli anni Cloud Client-Server

Dettagli

ZeroUno Executive Dinner

ZeroUno Executive Dinner L ICT per il business nelle aziende italiane: mito o realtà? 30 settembre 2008 Milano, 30 settembre 2008 Slide 0 I principali obiettivi strategici delle aziende Quali sono i primi 3 obiettivi di business

Dettagli

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza.

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza. HP Consulting Claudio De Paoli Security Solution Lead filename\location Page 1 AGENDA Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza filename\location Page

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

HP e il Progetto SPC. Daniele Sacerdoti Consulting&Integration Public Sector. 12 Maggio 2008. Technology for better business outcomes

HP e il Progetto SPC. Daniele Sacerdoti Consulting&Integration Public Sector. 12 Maggio 2008. Technology for better business outcomes HP e il Progetto SPC Daniele Sacerdoti Consulting&Integration Public Sector 12 Maggio 2008 Technology for better business outcomes 2007 Hewlett-Packard Development Company, L.P. The information contained

Dettagli

Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.) Enzo M. Tieghi

Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.) Enzo M. Tieghi Introduzione alla protezione di reti e Enzo M. Tieghi Quaderni CLUSIT Maggio 2007 Quaderni CLUSIT Pagina 2 Introduzione alla protezione di reti e CLUSIT Il CLUSIT - Associazione Italiana per la Sicurezza

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Software Defined Data Center and Security Workshop

Software Defined Data Center and Security Workshop Software Defined Data Center and Security Workshop Software-Defined Data Center and Security Workshop Sessione di lavoro ore 18:45 ore 19:00 ore 19:20 ore 19:50 Benvenuto Mauro Tala, MAX ITALIA Software-Defined

Dettagli

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Presentazione. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Presentazione Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241

Dettagli

User Guide Guglielmo SmartClient

User Guide Guglielmo SmartClient User Guide Guglielmo SmartClient User Guide - Guglielmo SmartClient Version: 1.0 Guglielmo All rights reserved. All trademarks and logos referenced herein belong to their respective companies. -2- 1. Introduction

Dettagli

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit. La sicurezza al di là del firewall INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it sales@intoit.it Una famiglia di prodotti Retina Network Security Scanner

Dettagli

Company overview. www.hackingteam.com. *stimato

Company overview. www.hackingteam.com. *stimato Company profile Company overview Sicurezza Informatica (difensiva ed offensiva) Vendor Independent Fondata nel 2003 2 soci fondatori e Amministratori operativi Finanziata da 2 primari fondi di Venture

Dettagli

Verona, 29-30 ottobre 2013!

Verona, 29-30 ottobre 2013! Verona, 29-30 ottobre 2013! Smart Home L evoluzione digitale dell ambiente domestico Marco Canesi M2M Sales & Marketing Manager Italy Home & Building 29 Ottobre 2013 1 Le abitazioni e gli edifici stanno

Dettagli

Il valore della cyber security per la sicurezza nazionale e la protezione delle infrastrutture energetiche

Il valore della cyber security per la sicurezza nazionale e la protezione delle infrastrutture energetiche Cyber Security Energia 2014 1 Conferenza Nazionale 3 Luglio 2014 Il valore della cyber security per la sicurezza nazionale e la protezione delle infrastrutture energetiche Finmeccanica Today HELICOPTERS

Dettagli

IBM Green Data Center

IBM Green Data Center IBM Green Data Center Mauro Bonfanti Director of Tivoli Software Italy www.ibm.com/green Milano, 17/02/2009 Partiamo da qui... L efficienza Energetica è una issue globale con impatti significativi oggi

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

SharePoint Governance

SharePoint Governance SharePoint Governance SharePoint Governance Governance is a two-sided coin. A lot of people get annoyed with it, but without governance, SharePoint gets expensive and difficult to manage. (Global energy

Dettagli

Sicurezza della rete e separazione attività BPL e non BPL

Sicurezza della rete e separazione attività BPL e non BPL XV Corso - Convegno sull attuazione dei principi di Buona Pratica di Laboratorio. Addestramento ed aggiornamento per Ispettori e Figure professionali afferenti ai Centri di Saggio (D.L.vo n. 50 del 2 marzo

Dettagli

4th International Conference in Software Engineering for Defence Applications SEDA 2015

4th International Conference in Software Engineering for Defence Applications SEDA 2015 me Ho CALL FOR PAPERS: 4th International Conference in Software Engineering for Defence Applications SEDA 2015 Software Engineering aims at modeling, managing and implementing software development products

Dettagli

CYBER SECURITY IN CAMPO

CYBER SECURITY IN CAMPO CYBER SECURITY IN CAMPO LA VISIONE ED I SERVIZI FASTWEB PER LE IMPRESE Dario Merletti CONVEGNO CIONet Cuneo 10 Luglio 2015 AGENDA UNO SCENARIO DINAMICO ICT SECURITY: LA VISIONE ED I SERVIZI DI FASTWEB

Dettagli

Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO

Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO Le Aree in cui Operiamo Progettiamo, realizziamo e supportiamo infrastruttura di Network di classe enterprise, basate su principi di availability,

Dettagli

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci IP Intelligence IP Fingerprinting per l antifrode Emanuele Bracci Techub: presenza sul territorio Siti principali: Roma Milano Parma Presidi: L Aquila Mestre Più di 80 specialisti sul territorio nazionale

Dettagli

CMDB. Table of Contents. Open Source Tool Selection

CMDB. Table of Contents. Open Source Tool Selection CMDB Open Source Tool Selection Table of Contents BPM Space 3 itop 5 One CMDB 6 i-doit 7 CMDBuild 8 Rapid OSS 10 ECDB 11 Page 2 Tutti i marchi riportati sono marchi registrati e appartengono ai loro rispettivi

Dettagli

IP TV and Internet TV

IP TV and Internet TV IP TV e Internet TV Pag. 1 IP TV and Internet TV IP TV e Internet TV Pag. 2 IP TV and Internet TV IPTV (Internet Protocol Television) is the service provided by a system for the distribution of digital

Dettagli

GESTIONE IMMOBILIARE REAL ESTATE

GESTIONE IMMOBILIARE REAL ESTATE CONOSCENZA Il Gruppo SCAI ha maturato una lunga esperienza nell ambito della gestione immobiliare. Il know-how acquisito nei differenti segmenti di mercato, ci ha permesso di diventare un riferimento importante

Dettagli

Solutions in motion.

Solutions in motion. Solutions in motion. Solutions in motion. SIPRO SIPRO presente sul mercato da quasi trent anni si colloca quale leader italiano nella progettazione e produzione di soluzioni per il motion control. Porsi

Dettagli

Dynamic Threat Protection

Dynamic Threat Protection Dynamic Threat Protection Stefano Volpi Internet Security Systems 25 gennaio 2003, il worm SQL Slammer ha colpito centinaia di milioni di servers in meno di 12 ore. Ha fatto interrompere il network ATM,

Dettagli

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona

Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it. 3 Ottobre 2013 Security Summit Verona Caro Babbo Natale... Alessio L.R. Pennasilico - apennasilico@clusit.it 3 Ottobre 2013 Security Summit Verona $ whois -=mayhem=- Security Evangelist @ Members of: Associazione Informatici Professionisti,

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Mobile Business Treviso, 9 Maggio 2014

Mobile Business Treviso, 9 Maggio 2014 i tuoi dispositivi visti con gli occhi di un hacker Alessio L.R. Pennasilico - apennasilico@clusit.it Mobile Business Treviso, 9 Maggio 2014 $whois -=mayhem=- Security Evangelist @! Committed: AIP Associazione

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

STATO IMPLEMENTAZIONE ONVIF SU TELECAMERE MUNDUS SECURUS

STATO IMPLEMENTAZIONE ONVIF SU TELECAMERE MUNDUS SECURUS IMPLEMENTAZIONE ONVIF SU TELECAMERE MUNDUS SECURUS 1. Ambiente di sviluppo Sono stati analizzati diversi linguaggi e framework differenti utilizzabili per implementare i WebServices ONVIF. Il risultato

Dettagli