Video Analytics e sicurezza. Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

Transcript

1 Video Analytics e sicurezza Ivano Pattelli Security Solution Lead Hewlett Packard Enterprise

2 Agenda 1 Panoramica sulla Video Analytics 2 Evoluzione normative di riferimento 3 Sicurezza dei dati e dei sistemi

3 Panoramica sulla Video Analytics I sistemi di video sorveglianza a circuito chiuso (CCTV) sono basati sulla capacità del personale di riconoscere e rispondere alle immagini rese disponibili dal sistema. L'errore umano rappresenta, quindi, uno dei principali problemi, a causa di molteplici compiti affidati al personale, alla loro disponibilità` ed attenzione nell analisi delle immagini. Tecnologie Rilevano in modo proattivo e interpretano accuratamente il significato dei comportamenti osservati, con l obiettivo di comprendere in modo automatico scene visuali. Vantaggi Analizzano il comportamento delle persone per fornire allarmi in tempo reale e strumenti di ricerca che migliorano i sistemi di videosorveglianza con o senza personale. Ambiti di applicazione Attraverso l analisi video ed algoritmi basati su modelli e funzionalità di apprendimento è possibile definire, ad esempio, l identificazione della persona, la rilevazione (detection) di persone in una particolare area, l analisi di gruppi e comportamento della folla, ecc.

4 Soluzioni di Analisi Intelligente della Scena Consentono di individuare potenziali minacce o azioni illegali - istantaneamente e automaticamente - attraverso un monitoraggio video completo, che comporta : 1. Il tracciamento e l identificazione automatica di oggetti all interno di una scena. 2. L analisi dei risultati in tempo reale o l`archiviazione per una successiva consultazione Rilevamento eventi: attività di rilevamento di un evento all'interno di una scena, dove gli oggetti sono identificati e tracciati. Rivelatore di oggetti: controlla un'area per oggetti che non fanno parte della scena "normale" e dei comuni problemi esistenti. Adatto per identificare i bagagli dimenticati o veicoli parcheggiati illegalmente. Monitoraggio asset: protegge un'area per rilevare la rimozione di bene ed oggetti di proprietà; "impara" una scena ed emette avvisi automatici in tempo reale quando gli oggetti vengono rimossi dalla scena. Categorizzazione ed enumerazione: in tempo reale di persone o veicoli attraverso l analisi dello streaming video.

5 Applicazioni dell Analisi Intelligente della Scena Aeroporti: per rilevare eccezioni al «normale» comportamento delle persone e dei veicoli. Negozi: per migliorare il servizio offerto ai clienti, effettuare attività di marketing mirate ed analisi delle preferenze dei clienti. Sistemi di traffico: per l analisi del traffico, il conteggio dei veicoli, i controlli sulla velocità, i rapporti automatici sul di traffico e congestioni. Video Sorveglianza: identificano le attività saliente all'interno di un video, riducendo il tempo richiesto dagli analisti.

6 Riconoscimento facciale Il riconoscimento facciale (o face recognition) rappresenta un altra importante applicazione della Video Analytics, in particolare per identificare o verificare l'identità di una persona. Funzionamento Il riconoscimento avviene mediante tecniche di elaborazione digitale delle immagini, ignorando tutto quello che non rappresenta una faccia, come qualsiasi oggetto in background, ed estraendo le caratteristiche facciali, come la posizione degli occhi, del naso, ecc.. Applicazione Il riconoscimento facciale è parte importante di molti sistemi biometrici e particolarmente rilevante per il controllo dell accesso fisico ad aree ristrette o riservate, per finalità di sicurezza, di protezione patrimoniale o di tutela dell incolumità delle persone... Tipologia di dato I dati biometrici sono dati personali, in quanto, possono essere sempre considerati come informazioni concernenti una persona fisica identificata o identificabile», ed il loro trattamento è disciplinato dal Codice Privacy e dal Provv. del Garante n. 513/

7 Evoluzione dello Scenario normativo

8 L iter legislativo in Europa e in Italia in materia di dati personali Maggio Il GDPR è entrato in vigore 13 Dicembre L Articolo 29 Working Party ('WP29') ha pubblicato le prime line guida sul GDPR Il 10 Gennaio La Commissione UE ha proposte il testo di Regolamento Privacy per le Comunicazioni elettroniche Date? Ulteriori linee guide dal WP29 Date??? Pronunciamenti sulle leggi nazionali, line guida, provvedimenti e autorizzazioni del Garante 25 Maggio Termina di scadenza dei tempi di attuazione GDPR Le aziende private e gli enti pubblici dovrebbero essere conformi alla legislazione europea e nazionale in materia di protezione dei dati personali Direttiva 95/46/EC Attualmente in vigore, sarà sostituita dal GDPR dal 25 Maggio 2018 Decreto Legislativo n. 196 del 30 Giugno 2003 Attualmente in vigore, sarà sostituita dal GDPR dal 25 Maggio 2018 Autorizzazioni del Garante Privacy Attualmente in vigore, non saranno più valide dal 25 Maggio 2018 Provvedimenti del Garante Privacy Accordi internazionali per il trasferimento di dati personali In attesa di pronunciamenti e nuovi chiarimenti Rimarranno validi finché non verranno modificati, sostituiti o abrogati

9 Regolamento UE sulla protezione dei dati personali (GDPR) Obiettivi e scenario di riferimento Sanzioni 20 ML o 4% fatturato globale Valutazione dei Rischi Adozione misure di sicurezza fin dall inizio del Trattamento (By Design) ed utilizzo di un approccio basato sull analisi dei rischi Big Data Data Protection Cloud Responsabilità verificabile (accountability) misure adottate Obiettivi Definire un quadro normativo unico di Protezione dei Dati Personali per i 28 Stati Membri. Realizzare un accellerazione per lo sviluppo di un Singolo Mercato Digitale Europeo Obbligo di tracciamento dell attività di trattamento Aggiornare i principi in materia di protezione dei Dati Personali, considerando l evoluzione delle tecnologie. Diritti degli Interessati Trasparenza del trattamento Diritto all oblio Diritto alla portabilità dei dati

10 Come un organizzazione in Italia è conforme alle leggi privacy? Identificare Le disposizioni applicabili ai trattamenti in base al settore di appartenenza del Titolare, le finalità perseguite e la natura dei dati trattati. Implementare Attraverso misure adeguate ai requisiti normativi ed ai rischi relativi alla protezione dei dati. GDPR 679/2016 Disposizioni in materia di protezione dei dati personali, valide per tutti gli Stati Membri. Member States laws Disposizioni previste per settori specifici, trattamenti specifici e/o natura dei dati trattati. Security Measures Misure di sicurezza adeguate, tecniche ed organizzative, ai rischi a cui sono esposti i trattamenti Requisiti Privacy Requisiti di sicurezza

11 Sicurezza dei dati e dei sistemi

12 Adozione di misure di sicurezza adeguate Valutazione dei rischi Rischi Cause Misure di sicurezza Valutazione dei Rischi L uso della biometria può presentare rischi per gli interessati, con gravi impatti sulla loro sfera personale, in caso di impropria utilizzazione. Il rischio consiste nella vulnerabilità di un asset o di un gruppo di asset tecnologici in grado di causare un trattamento illecito dei dati. L identificazione delle misure di sicurezza deve essere basato su una valutazione dei rischi a cui sono esposti gli asset. Protezione dei Dati personali Libertà e diritti degli interessati Valuta il livello di rischio a cui sono esposti i dati e gli asset utilizzati per la loro elaborazione Valuta gli impatti per le libertà ed I diritti degli interessati, in termini fisici, materiali o immateriali. Basato su ISO 31000, e Definizione del Contesto Ponderazione dei Rischi Identificazione dei Rischi Valutazione dei Rischi Trattamento dei Rischi Valutazione e revisione periodica dei rischi

13 Processo di valutazione e gestione dei rischi Rischi per la sicurezza ed impatti privacy Matrice Controlli Privacy Piani di conformità Report ed indicatori di conformità Raccolta Informazioni Valutazione Rischi Privacy Category 0-3 Months 3-6 Months 6+ Months Security 1. Insert Improvement Strategy and 6. Insert Improvement Risk Management 3. Insert Improvement 2. Insert Improvement Cyber Defense 4. Insert Improvement 5. Insert Improvement 7. Insert Improvement 8. Insert Improvement Operational and Technical Security 9. Insert Improvement 10. Insert Improvement Business Benefits Privacy Laws Context establishment Struttura organizzativa Servizi e prodotti Dati personali trattati Leggi, regolamenti e contratti applicabili Processi e Sistemi IT Siti e personale Assessment Scope Elenco dei trattamenti Finalità dei trattamenti Natura dei dati trattati Flussi dei dati personali Sistemi IT utilizzati Categorie interessati Personale coinvolto Modello di gestione privacy Valutazione dei Rischi Valutazione Rischi protezione dei dati Valutazione Impatti Privacy Piani di gestione dei rischi Individuazione Azioni di Rientro Priorizzazione interventi. Pianificazione interventi Implementazione misure adeguate Soluzioni tecnologiche Processi organizzativi Politiche e procedure Contratti con fornitori Processo basato su standard internazionali come ISO (final draft) per il processo di Privacy Impact Assessment, ISO per quanto riguarda la valutazione dei rischi e ISO per l analisi di vulnerabilità della sicurezza delle informazioni.

14 THANK YOU