SICUREZZA DI SISTEMI RFID: CRITICITÀ E VULNERABILITÀ IN AMBIENTI ETEROGENEI1

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "SICUREZZA DI SISTEMI RFID: CRITICITÀ E VULNERABILITÀ IN AMBIENTI ETEROGENEI1"

Transcript

1 SICUREZZA DI SISTEMI RFID: CRITICITA E VULNERABILITA IN AMBIENTI ETEROGENEI RELAZIONE DI STAGE [S] Facoltà si Scienze Matematiche, Fisiche e Naturali Dipartimento di Informatica Master in Sicurezza dei sistemi e delle reti informatiche per l impresa e la P.A. SICUREZZA DI SISTEMI RFID: CRITICITÀ E VULNERABILITÀ IN AMBIENTI ETEROGENEI1 Autore: Antonella Alfano Revisione interna: Gabriele Bocchetta, Daniele Mongello Data: Marzo Il presente lavoro è stato svolto nell ambito di uno stage di formazione presso il Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA). Esso viene messo a disposizione degli esperti e specialisti di settore, nel mondo accademico ed in quello della ricerca industriale, anche al fine di raccogliere osservazioni ed ulteriori contributi. Archiviazione File Allegati Versione Pagina RFId relazione_stage_alfano.doc Final 1 di 19

2 Sommario 1. Introduzione Le componenti della Sicurezza Il livello di Sicurezza Requisiti dei livelli di sicurezza La sicurezza parte dall impianto: caratteristiche dei dispositivi e classificazione Caratteristiche dei Tag Sistema di back-end Trasmissione dati e Protocolli La Robustezza del tag Sicurezza: sfide dell RFId Sicurezza e Vulnerabilità Sicurezza e Minacce La relazione: Vulnerabilità - Minacce Analisi campi di impiego: trattamento delle minacce Casi applicativi ed in studio: descrizione Logistica e trasporto merci: Identificazione univoca delle unità in movimentazione Supporto alle operations nell Allevamento e in Agricoltura: Tracciabilità agro-alimentare come garanzia di origine dei prodotti Ticketing CRM di Servizi nel Trasporto Pubblico: Bigliettazione elettronica Gestione di asset : Identificazione e tracciabilità oggetti di valore Supporto alle operations nei Settori dei Servizi: Miglioramento nella efficienza e qualità dei processi operativi nelle aziende di Servizi Matrice Minacce - Applicazioni Gestione del Rischio: cenni Contromisure di 19

3 1. INTRODUZIONE L Identificazione a Radio Frequenza (RFId) è una tecnologia per l identificazione automatica e remota di oggetti, soggetti e animali che usa tag (transponder) interrogati, attraverso un canale a radiofrequenza, da lettori o interrogatori (transceiver). Le sue caratteristiche hanno spinto lo sviluppo di tecnologie per un vasto raggio di applicazioni ma, al tempo stesso, presentano anche delle vulnerabilità. Infatti, un sistema RFId, anche se intrinsecamente fidato, può essere sottoposto a minacce relative alla sicurezza delle informazioni che tratta. Per questo motivo, molta attenzione viene rivolta dalla maggior parte delle organizzazioni alla sicurezza delle informazioni. I sistemi RFId possono subire attacchi con lo scopo di sostituire i dati originali presenti nel tag, con altri dati formalmente corretti ma falsi nel contenuto, rivelando una vulnerabilità ad attacchi che sfruttano exploit o flaw dei sistemi di back-end. Questa vulnerabilità può inoltre consentire ulteriori violazioni della sicurezza di tipo denial of service (DoS) che, attraverso l accesso concorrente e malevolo alla struttura di ricezione delle informazioni, provocano l indisponibilità l servizio cui il sistema di tag è destinato. Dunque l attacco all integrità delle informazioni e l uso di tag come veicolo di intrusione nei sistemi sono alcune delle più importanti manifestazioni delle vulnerabilità che possono essere bloccate con un corretto approccio allo sviluppo dell impianto e conoscenza del sistema da realizzare. Questo documento si propone di evidenziare minacce e vulnerabilità di sistemi che utilizzano questa tecnologia, a tale scopo vengono esaminati impianti presenti in campo o oggetto di studio. Vengono trattati cioè un insieme di casi rappresentativi da un punto di vista dell impiego nelle moderne applicazioni della tecnologia RFId. Il percorso seguito parte dalla definizione delle Proprietà indispensabili alla sicurezza di un sistema che tratta informazioni, come il nostro; continua con le Caratteristiche fisico-logiche dei dispositivi coinvolti e che possono giocare un ruolo fondamentale nella caratterizzazione delle proprietà di sicurezza e/o possono pesare anche su proprietà come la Robustezza dei dispositivi, intesa come resistenza intrinseca agli attacchi. Poi si passa all individuazione delle debolezze che insistono sulle applicazioni dei sistemi RFId tradotte in termini di minacce e vulnerabilità; attraverso l Analisi ed il Trattamento del Rischio, poi, viene valutato l impatto stimato che l attuazione di tali minacce produce come perdita dei beni di interesse, legati alle applicazioni. Infine sono descritte le possibili contromisure che il campo e le attività fino ad ora sviluppate per queste tecnologie ci permettono di individuare. 3 di 19

4 Assets Vulnerabilità Minacce Rischio Contromisure Attenzione Figura 1: analisi del sistema RFId L introduzione e la diffusione di un sistema che risulta largamente integrato nell organizzazione di sistemi esistenti per le strutture, non può prescindere dall analisi fatta sulla Privacy come caratterizzazione della sicurezza fondamentale e dalla analisi di studio dell interoperabilità cui si cerca di tendere per questa nuova tecnologia, passando attraverso l introduzione di standard, siano essi protocolli o frequenze o quant altro ne aiuti lo sviluppo e la diffusione insieme alle caratteristiche che ne migliorino gli aspetti di sicurezza. Il contributo che si è inteso dare attraverso questo documento è stato quello di introdurre la problematica sicurezza per questo insieme di tecnologie come un elemento di progetto, partendo dall analisi dei dispostivi e delle problematiche inerenti la loro integrazione. Il monitoraggio delle applicazioni presenti in campo o oggetto ancora di studio in relazione all applicabilità di misure volte a garantire la tutela o meglio la prevenzione dalle vulnerabilità, dà poi il segno dell aderenza di questa tecnologia alle attività quotidiane e delle grandi potenzialità che ancora questa possiede. La moderna tecnica promette anche attraverso tecnologie come RFId, un rivoluzionamento delle nostre esperienze commerciali, industriali e mediche, pertanto è importante analizzare potenzialità e rischi. «La prima regola di ogni tecnologia usata negli affari è che l'automazione applicata ad un'operazione efficiente ne ingrandirà l'efficienza. La seconda è che l'automazione applicata ad un'operazione inefficiente ne ingrandirà l'inefficienza.» Bill Gates. 2. LE COMPONENTI DELLA SICUREZZA 1.1. Il livello di Sicurezza L informazione costituisce il fattore produttivo delle organizzazioni e quindi necessita di una opportuna protezione. La sicurezza delle informazioni è dunque la protezione delle informazioni da ogni possibile minaccia, ed ha lo scopo di garantire la continuità del business aziendale minimizzando ogni rischio associato. La sicurezza delle informazioni è ottenuta implementando un insieme di controlli che includono policy, processi, procedure, organizzazione (persone, ruoli), hardware e software. I controlli sono 4 di 19

5 implementati e rivalutati periodicamente per garantire costantemente gli obiettivi di sicurezza dei business delle organizzazioni. Il Security Management è il processo di gestione di un determinato livello di sicurezza dell informazione e dei servizi IT. Il livello di sicurezza delle informazioni è espresso in termini di confidenzialità, integrità e disponibilità. I livelli di Sicurezza e di Privacy di un sistema RFId sono dipendenti dal rapporto costo/benefici che il loro trattamento può procurare, cioè risultano strettamente legati alle necessità di impiego applicative. Per poter mettere a punto un determinato livello di sicurezza è necessario ottemperare a normative che definiscono gli ambiti delle responsabilità, che richiedono documentazione ad esempio relative alle policy di sicurezza adottate o più in generale si parla di adozione di modelli organizzativi atti a garantire la sicurezza: Information Security Program Requisiti dei livelli di sicurezza Nella gestione dei livelli di Sicurezza di un sistema RFId, i requisiti che si vogliono tutelare sono essenzialmente la Confidenzialità, l Integrità e la Disponibilità dell informazione e la loro preservazione si realizza attraverso meccanismi di Autenticazione, Non Ripudiabilità e Controllo degli Accessi. La Confidenzialità riguarda l aspetto di sicurezza di un informazione riferito all accesso autorizzato al dato trattato, destinandolo solo a persone, processi, risorse autorizzati. Per preservare la proprietà di Confidenzialità si interviene crittografando le informazioni o usando dispositivi con protezioni interne. L intercettazione non autorizzata delle informazioni (passiva(wiretapping), attiva, interattiva) Rappresenta una minaccia alla confidenzialità (definita anche snooping). Inoltre le leggi sulla Privacy di molti Paesi, tra cui anche il nostro, impongono alle aziende che raccolgono informazioni sui propri clienti, di proteggere alcune di queste informazioni (sensibili) dall accesso non autorizzato da parte di estranei. In questo caso il requisito di confidenzialità è imposto per legge a dal comportamento etico o di immagine della azienda che protegge i dati dei suoi clienti. Queste considerazioni sono di importanza strategica per le applicazioni che utilizzano le tecnologie RFId ad esempio in strutture ospedaliere. L Integrità, invece, viene compromessa quando una entità accede in maniera non autorizzata al sistema e ne altera le risorse. Sotto questo aspetto vanno tutelate: integrità del contenuto dei dati ed integrità della sorgente dei dati in termini di integrità dell origine o integrità del sistema. Questa proprietà viene salvaguardata introducendo meccanismi di sicurezza di: prevenzione e rilevazione. La prevenzione risulta allora possibile utilizzando nella tecnologia RFId l Autenticazione e il Controllo degli Accessi che si sviluppa attraverso i meccanismi di Identificazione, Autenticazione ed Autorizzazione come procedure necessarie al riconoscimento dell utente legittimo ed alle funzioni che questo può svolgere. Nei sistemi di dati trattati dai dispositivi RFId sarebbe possibile utilizzare degli indicatori di integrità delle informazioni stesse, a volte interni alle informazioni stesse, oppure aggiunti. Si può in taluni casi far uso di funzioni hash per tutelare l integrità, ma la classificazione delle caratteristiche di un sistema sono logicamente dipendenti dalla tipologia delle applicazioni. La Disponibilità rappresenta la capacità di accedere alle informazioni o alle risorse desiderate da parte dei legittimi utilizzatori ogni volta che questo è necessario. Il tipo di dispositivi che stiamo analizzando si presta in modo particolare a tentativi intenzionali o accidentali di impedire l accesso ai dati rendendoli indisponibili, in questo modo si realizza DoS attack. 5 di 19

6 Un esempio di attacco alla disponibilità può risultare il semplice sovraccarico del trasformatore del tag grazie ad un campo molto intenso che lo danneggi irreparabilmente. L Autenticazione è per definizione l associazione di una identità ad un soggetto e avviene fornendo da parte dell entità esterna alcune informazioni al sistema. I dispositivi attori della comunicazione devono dimostrare la propria identità. L Autenticazione (e la non ripudiabilità) del client, cioè del tag RFId, avviene attraverso una comunicazione a RF, che usa una antenna e pertanto possono essere utilizzate in questa fase tecniche di controllo. L Autenticazione per il lettore consiste quindi nell ottenere l identità del tag ed una prova che l identità dichiarata sia corretta. Per ottenere questo può essere usata la logica del tag. Nel caso ad esempio in cui il dispositivo non si identificasse come utente valido per n volte, si potrebbero accettare in ingesso tutti i dispositivi, anche se questo però sottoporrebbe il sistema ad attacchi DoS (cioè minacce che mirano a rendere indisponibile il servizio). L Autenticazione del server cioè del lettore RFId risulta complessa e pertanto anche la tutela di questa caratteristica dipende dalla importanza delle informazioni trattate. La Non Ripudiabilità definisce l impossibilità di negare ciò che si è fatto con le credenziali di accesso per evitare attacchi volti a copiare il contenuto del tag (anche se criptato) per riutilizzarlo successivamente (replay attack).. Per evitare funzionamenti non corretti il tag dovrebbe autenticarsi e trasmettere i suoi dati, solo nel caso in cui riuscisse a dimostrare di avere informazioni che solo il vero utente possiede. Il Controllo degli Accessi, segue il semplice principio del need to Know, l accesso alle informazioni deve essere fornito solo a quelle informazioni di cui si ha assolutamente bisogno. Anche il controllo degli accessi, costituisce un meccanismo di prevenzione per l integrità. A queste proprietà, nello specifico, si aggiunge un importante proprietà del dispositivo, la Robustezza del tag durante la inattività, cui dedicheremo maggior attenzione dopo averne definito le caratteristiche. 2.1 La sicurezza parte dall impianto: caratteristiche dei dispositivi e classificazione Caratteristiche dei Tag Un tag consiste di un insieme di circuiti integrati in grado di offrire: la possibilità di memorizzazione dati, limitate capacità di logica/elaborazione ed una antenna. Ciascun tag è caratterizzato dalla presenza di un identificativo univoco. Ogni lettore RFId può leggere più tag simultaneamente,e pertanto, possono presentarsi eventi di collisione nella lettura di più tag contemporaneamente. La presenza eventuale di meccanismi anticollisione sul tag nella comunicazione tra tag e reader, permette al tag di comunicare a turno con il lettore. Per far questo occorre un lettore che sincronizzi la coordinazione ed un middleware che raccolga ed organizzi i dati da inviare al sistema informativo. 6 di 19

7 Le sue caratteristiche, rappresentate nella figura seguente, sono elementi indicativi che opportunamente calibrati possono conferire al sistema determinati caratteristiche di sicurezza, soprattutto con riferimento alla integrità dei dati. Ponendo l attenzione alle modalità di alimentazione elettrica e di trasmissione rispetto al lettore, è possibile distinguere i tag in passivi, semiattivi e attivi. Le principali caratteristiche fisico-funzionali dei tag sono: frequenza di lavoro, tipo di accoppiamento, modalità di alimentazione, protocollo di comunicazione, tipo di memoria (modificabile o codice fisso), tipo di elaborazione per la sicurezza, distanza di lettura (raggio di azione e quindi distanza massima di applicabilità), possibilità di lettura in movimento, resistenza (a temperatura, vibrazioni, umidità), packaging, resistenza alle manomissioni (analisi fisica del dispositivo). Con resistenza alle manomissioni s intende la proprietà costruttiva che rende impossibile risalire ai dati contenuti nel tag attraverso la sua analisi fisica (antitampering). Nell implementazione di un sistema con questa tecnologia risulta opportuno cvalutare opportunamente le vulnerabilità proprie del sistema ed adottare gli accorgimenti più idonei al corretto mantenimento del livello di sicurezza delle informazioni trattate. Classificazione e sicurezza I tag più semplici sono di tipo chipless, costituiti dalla sola antenna, che hanno l unico scopo di rivelare la loro presenza in vicinanza di un antenna di lettura. Ne sono un esempio i tag EAS (Electronic Article Surveillance) usati nei sistemi antitaccheggio. 7 di 19

8 Spostandoci lungo la linea della loro organizzazione classica, cioè dalla classe 0 alla 4ª, passiamo da dispositivi del tutto privi di logica (cioè privi di un chip che esegue i comandi del lettore ed implementa uno schema anticollisione) e di un unico ID identificativo, a dispositivi attivi (autoalimentati con un trasmettitore attivo a bordo) con ampie capacità di elaborazione crittografiche capaci di difendersi da attacchi provenienti dalla rete perché sviluppati ad hoc. Classe 0: Read Only - passivi. Questi sono i tag più semplici in cui i dati, che consistono in un semplice numero identificativo, vengono scritti sul tag al momento della produzione dello stesso e non è possibile aggiornare in nessun modo la memoria. Questa classe di tag non possiede nessun sistema di sicurezza intrinseco e può essere applicata nei casi in cui è necessaria la semplice identificazione univoca dell oggetto, integrata con un sistema informativo centralizzato. Appartengono a questa classe anche i tag EAS usati nei sistemi antitaccheggio. Altri campi di impiego per questa classe di tag sono: gestione biblioteche, asset, magazzini, documenti. Classe 1: Write Once Read Many (WORM) - passivi. In questo caso il tag viene prodotto senza scrivere nessun dato nella memoria. I dati possono essere scritti dal produttore del tag o dall utilizzatore una sola volta, non è possibile nessuna scrittura successiva: a questo punto il tag può essere solo letto. Si tratta di tag su cui può essere memorizzato solo un identificativo (fino a 256 bit) definito dall utente. Come nel caso precedente il tag non possiede capacità di elaborazione tali da implementare sistemi di sicurezza come crittografia autenticazione ecc. Classe 2: Read Write - passivi. I tag di questa classe, hanno la memoria utente riscrivibile (con un ciclo di vita dell ordine delle scritture), che può arrivare intorno ai 2 kb oltre ad avere un identificativo impresso durante la fabbricazione. Dal punto di vista della sicurezza anlcuni tag appartenenti a questa classe, implementano sistemi per bloccare la scrittura non autorizzata della memoria utente. Nel caso dei dispositivi Mifare (ISO 14443A) la comunicazione con il reader (con distanze sempre nell ordine di 10-15cm) prevede sistemi di crittografia e autenticazione, cosa che in generale i dispositivi di tipo passivo e a basso costo, come gli ISO 15693, non implementano. I tag di classe 2 vengono spesso impiegati nei settori dove è utile avere dei data logger direttamente sull oggetto (Supply chain, impianti di produzione, ambito sanitario). Alcuni produttori realizzano tag di classe 2 con caratteristiche anticollisione che prevedono un offset di frequenza in grado di consentire l inserimento di numerosi tag nello stesso imballo. Classe 3: Read Write - semipassivi con sensore a bordo. I tag appartenenti a questa classe sono equipaggiati con un sensore che consente di registrare, nella memoria utente, parametri quali temperatura, pressione, umidità, e spostamenti. Questi tag devono necessariamente avere una sorgente interna di energia poiché le letture devono poter essere effettuate dal sensore in assenza del lettore. Nei dispositivi semipassivi comunque la comunicazione con il reader avviene, come nei tag completamente passivi, utilizzando l energia del campo generato dal reader. Classe 4: Read Write - attivi con trasmettitore integrato. Questi tag sono come dei dispositivi radio in miniatura che possono comunicare con altri tag o altri dispositivi in assenza del lettore. Ciò significa che i tag presi in esame sono completamente attivi e quindi alimentati dalla propria batteria. L uso di tag attivi o semi-attivi, dotati cioè di una propria alimentazione e di memoria, consente l utilizzo della crittografia, sia asimmetrica che simmetrica, quindi di una autenticazione forte. La possibilità di scelta di un tipo di elaborazione per la sicurezza non è realizzabile su dispositivi a basso costo, in quanto la fonte di energia a bordo diviene indispensabile per l impiego di un motore di crittografia Sistema di back-end In campo le applicazioni RFId impiegano una grande varietà di apparati fisicamente distribuiti: lettori RFId, gateway di accesso, interfacce di gestione, e database. La struttura di back-end poi rappresenta la parte più vulnerabile ed attaccabile del sistema, su tali apparati e software può essere concentrata la maggior parte delle contromisure adottate. 8 di 19

9 Come vedremo tra le minacce, vi è l SQL injection che infetta i database con virus o altro malware e rappresenta una delle vulnerabilità più diffuse e verso la quale vengono orientati studi per l adozione di opportune contromisure. Molte società hanno già realizzato linee guida essenziali di Reference Architecture, tramite l adozione di uno schema architetturale accuratamente progettato, per chi intende integrare i dati RFId con i propri sistemi back-end aziendali. Si tratta di soluzioni già pensate per agevolare la gestione dei dati RFId in ambienti di business altamente dinamici e per massimizzare l'efficienza di sistemi garantendo nel contempo un livello di sicurezza ottimale Trasmissione dati e Protocolli In un sistema RFId, la Trasmissione dati deve risultare a prova di intercettazione e deve essere sempre disponibile. Altrettanto sicura dovrà poi essere la trasmissione verso il network applicativo. Alcune tecniche di sicurezza per la trasmissione dei dati tra tag e lettore prevedono la protezione dell informazione mediante tecniche di accesso multiplo come il resend (invio multiplo dei dati) o i codici di ridondanza in grado di correggere errori di trasmissione anche su bit multipli. Tra le tecniche di accesso multiplo, la Singulation consente di identificare univocamente un tag attraverso il suo specifico numero seriale discriminandolo all interno di un gruppo di più tag, gestendo in modo seriale le risposte alle query che altrimenti entrerebbero in collisione. Il Tree walking rappresenta un metodo di singulation che scandisce il parco tag vedendolo logicamente come un albero e procedendo in modo esaustivo alla scansione di tutti i possibili serial number (foglie di un albero). Questo protocollo, non prevede autenticazioni verso il reader, e pertanto tutti i lettori possono leggerne i serial number dei tag (tranne l ultimo bit). Sono stati sviluppati versioni di protocolli che resistono a tali tipi di attacchi (silent tree walking). Il protocollo Tree walking inoltre è vulnerabile attraverso l utilizzo di blocker tag che realizzano un DoS (Fonte RSA Laboratory). Un altro esempio di protocollo ampiamente usato per l accesso multiplo ai tag è ALOHA (in fase di standardizzazione), simile al CSMA/CD usato da Ethernet. Sono stati infine sviluppati protocolli più avanzati per la sicurezza delle informazioni specialmente nell ambito dei pagamenti, tra questi ci sono quelli utilizzati nell NFC (Near Field Communication). Questo standard prevede modalità di funzionamento in emulazione di tag RFId attivi e passivi inseriti all interno di dispositivi Handset (telefoni cellulari, palmari, ecc), virtualizzando pienamente le funzionalità di una carta di pagamento. La trasmissione delle informazioni tra dispositivi vengono criptate. In particolare lo studio dell NFC lavora sulla sicurezza e la interoperabilità, come capacità di scambiare informazioni tra diversi sistemi software, in generale per l RFId come capacità di comunicare tra tag e lettori di differenti fornitori. 9 di 19

10 2.2.4 La Robustezza del tag Come abbiamo anticipato, alle proprietà fondamentali della Sicurezza si aggiungono le caratteristiche intrinseche del dispositivo. Tra queste vi è la Robustezza che si misura nella non leggibilità e non riproducibilità durante l inattività del dispositivo tag, ossia nella capacità di resistere a tentativi di accesso non autorizzato alle informazioni. La non leggibilità viene soddisfatta mediante la schermatura elettromagnetica del tag (secure shelter), oppure usando tecniche di jamming (interferenza EM) atte a provocare la collisione dei pacchetti o ancora facendo uso di tag di mascheramento che provocano l emissione di segnali interferenti in grado di rendere difficilmente decifrabile i tag legittimi. La non riproducibilità può essere gestita ad esempio attraverso l uso di un meccanismo di autenticazione (con tecniche di tipo challenge-response). Questa tecnica richiede l adozione di dispositivi dotati di processori e memoria (tipicamente tag attivi). L uso di comunicazioni basate sulla crittografia, in particolare a chiave simmetrica, assimila questa tecnica a quella di un sistema con buone caratteristiche di sicurezza. la tecnica dello scrambling infine consente al tag di variare periodicamente la stringa di dati trasmessa al lettore per renderlo difficilmente riproducibile. 3. SICUREZZA: SFIDE DELL RFID L analisi delle caratteristiche e delle debolezze intrinseche dei sistemi RFId ha portato allo sviluppo di meccanismi di sicurezza e protocolli di comunicazione in grado di garantire l integrità delle informazioni contenute nel tag anche durante la possibile perdita di alimentazione o interruzione delle comunicazioni. Questo a scapito di un sensibile aumento dei costi della componentistica coinvolta. Nel disegno dell architettura di un sistema RFId fondamentale importanza è rivolta al tipo di applicazione che determina il livello desiderato di sicurezza e privacy. Frequentemente i sistemi RFId vengono impiegati in contesti in cui sono coinvolti dati sensibili o di grande valore critico: dagli antifurti delle automobili alle modalità di pagamento automatiche, dai sistemi di tracciatura dei bagagli negli aeroporti ai dati inseriti in capi d'abbigliamento e beni di lusso, fino alle informazioni personali contenute nei passaporti digitali. Le risposte alle maggiori preoccupazioni dei fruitori della tecnologia dipendono dalle misure adottate per arginare le possibili minacce alle vulnerabilità già evidenziate. 3.1 Sicurezza e Vulnerabilità Il concetto di Vulnerabilità e Minaccia non può non prescindere da quello del valore del Bene (Asset): i beni da proteggere che sono tutti all interno del perimetro dell analisi di un sistema che si intende implementare. Gli asset possono essere di tipo dati, hardware, software. Le vulnerabilità sono debolezze proprie del sistema che possono essere sfruttate, ai fini di portare un attacco, che determini un impatto sull asset, o che più in generale minaccino il bene dotato di valore (la cui valorizzazione può essere di tipo economica o qualitativa). Le minacce sono manifestazioni delle vulnerabilità, mentre un attacco rappresenta lo sfruttamento di una vulnerabilità. La vulnerabilità è dunque una caratteristica intrinseca del sistema che può condurre anche accidentalmente a danni e/o perdite per l organizzazione. 10 di 19

11 L analisi di minacce e vulnerabilità, tenendo conto della loro netta distinzione, serve alla riduzione del rischio dell impatto sulla sicurezza che l uso inappropriato di un sistema può produrre. In una metodologia finalizzata all analisi del rischio, come può essere quella del NIST SP800 30, le Vulnerabilità valutate per un sistema sotto analisi sono definite attraverso: Dati storici, Analisi di aspetti fisici, Analisi di aspetti logici, ed analizzate nel contesto del perimetro di sicurezza in cui sono individuati gli asset da proteggere. Di seguito vengono brevemente descritte alcune delle Vulnerabilità più comuni a sistemi RFId presenti in campo. La distanza di lettura può risultare in taluni casi importante, infatti in assenza del parametro di Robustezza del tag, ad esempio di crittografia, modificando opportunamente una antenna RFId e/o utilizzando alte potenze si ottengono distanze di lettura sufficienti a leggere dati ed ID in modo malevolo. In altri casi pur utilizzando crittografia a chiavi corte, senza Autenticazione del lettore è possibile portare avanti attacchi in cui si riesce a risalire alle informazioni (plaintext attack), oppure attacchi iterati sulle possibili risposte del sistema che vengono riportate in maniera tabellare. In questo caso i dispositivi sono in un ambiente che manca di confidenzialità, integrità e nessun valore viene preso in considerazione per affermare la non ripudiabilità del lettore o del tag. Più in generale sistemi promiscui, possono essere letti da tutti I lettori che tentano di interrogarli. Sono poi presenti sul campo sistemi che per il loro ambito di applicazione possono risultare in presenza di altri dispositivi o componenti che ne inficiano il corretto comportamento, infatti sistemi con range di lettura e scrittura sofferenti la vicinanza di liquidi, metalli, radiazioni elettromagnetiche possono risultare non affidabili. I tag sono poi sicuramente esposti ad attacchi fisici. L introduzione di un processo di standardizzazione dei protocolli di lettura/scrittura, potrebbe sicuramente mitigare la debolezza attualmente presenti sulla maggior parte dei sistemi ad attacchi di scrittura/modifica/cancellazione dati sui dispositivi. Risulta non ancora standardizzata anche l integrazione con altre reti/db; pertanto questa insieme ad altre tecnologie soffre degli attacchi più diffusi nella parte relativa alla trasmissione dati. Sono ancora più delicate dal punto di vista della sicurezza le comunicazioni tra lettore e tag; infatti possono essere facilmente disturbate ed anche interrotte. 3.2 Sicurezza e Minacce Una minaccia è una potenziale violazione della sicurezza di un sistema che può avere effetti sulla confidenzialità disponibilità o integrità di un sistema o delle sue singole risorse. In altre parole, la Minaccia è una modalità di manifestazione di un evento dannoso collegata ad una vulnerabilità. Il Rischio invece, che è importante valutare in un architettura di sicurezza di un impianto un volta valutate le possibili vulnerabilità e minacce, rappresenta la probabilità che si verifichi l evento dannoso che determina l impatto (a Impatto se l evento dannoso atteso si verifica. La minaccia esiste di fatto anche quando non è seguita da una violazione e la vulnerabilità è una debolezza che potrebbe permettere alla minaccia di verificarsi. In una metodologia finalizzata all analisi del rischio, come può essere quella del NIST SP800 30, le Minacce valutate per un sistema sotto analisi sono definite attraverso: Eventi naturali, Eventi ambientali, Fattore umano (divisi in Intenzionali ed Accidentali), ed analizzate nel contesto del perimetro di sicurezza in cui sono individuati gli asset da proteggere. 11 di 19

12 Di seguito abbiamo descritto alcune delle Minacce comuni a sistemi presenti in campo: La tracciabilità, pure essendo una peculiarità del dispositivo, rappresenta forse anche la minaccia più evidente. Un attaccante, naturalmente in maniera non autorizzata, può interrogare un oggetto contrassegnato con un tag e tracciare, a loro insaputa, le persone che lo posseggono in quanto ignare delle funzionalità del tag RFId. Esistono in questo caso alcune semplici contromisure per evitare che persone possano muoversi con oggetti taggati ancora vivi. In particolare disponendo di lettori, se non sono previste apposite contromisure, è possibile origliare le comunicazioni tra il target e lettore per arrivare alla Identificabilità dell utente interrogando il bene. Anche in questo caso l autenticazione o la memorizzazione di informazioni che abilitano/disabilitano la lettura possono ostacolare questo tipo di minaccia. È inoltre possibile eseguire la scansione tag al fine di modificare il valore del bene, cioè una operazione di scrittura/modifica non autorizzata. Un attaccante può cancellare i settaggi dei tag impostando a zero anche il numero di EPC e causare un interruzione del servizio (ad esempio in una catena di rifornimento, un magazzino, ecc.). Le comunicazioni sono esposte ad analisi del traffico e l eavesdropping (origliamento). I dispositivi di più basso livello sono sotto minaccia dell attacco man in the middle, cioè una terza parte può origliare le conversazioni tra i dispositivi ed ottenere così informazioni sensibili per creare ad esempio tag falsi, lettori non autorizzati oppure per scoprire informazioni memorizzate nei tag(tipo il codice di autenticazione). Network snooping si manifesta mediante la intercettazione non autorizzata delle informazioni che viaggiano su una rete; è una violazione della confidenzialità, e può essere a seconda del livello di attività: attiva, passiva o interattiva. Attraverso tecniche di reverse engineering è possibile attuare la minaccia di creare un tag falso per effettuare spoofing, o creare molti tag falsi per creare un attacco di DoS. In pratica la minaccia si concretizza nella replica e nella emulazione di tag validi al fine di contraffare un manufatto non originale oppure per provocare una indisponibilità del servizio confondendo un lettore con una serie di risposte provenienti da tag falsi. I tag possono essere esposti ad attacchi fisici, che vanno dal semplice distacco del tag dall item taggato alla distruzione (come ad esempio con una fiamma), alla schermatura. In particolare ad alcune frequenze si possono usare metalli per causare interferenze, impedire che vengano letti i tag usando la gabbia di Faraday. Inoltre alcuni attacchi mirano a raggiungere nel caso di dispositivi attivi o semiattivi a far scaricare le batterie. Una possibile minaccia viene definita attraverso l uso di altri tag da mettere molto vicini o materiali sensibili come liquidi o metalli per definire una indisponibilità del servizio che lavoro sulle frequenze di lavoro e viene definita detuning. I blocker tag in particolare vengono utilizzati per interrompere la comunicazione col lettore per celare ad esempio articoli rubati. Una altra tipologia di attacco è relativa al jamming, cioè un attaccante con un potente lettore a banda larga può confondere il lettore autorizzato. Esistono anche potenti attacchi che mirano a vanificare il sistema anti-collisione. Un esempio semplice ma immediato di attacco può essere quello di un attaccante che in un catena alimentare, uccide i tag (disattivazione definitiva mediante il comando kill sui dispositivi del sistema) che accettano il comando in quanto senza controllo. Questo basta per interrompere un servizio e causare danni alla produzione o comunque causare una indisponibilità del servizi. In modo malevolo inoltre la comunicazione tra tag e lettore può essere bloccata per interrompere e vanificare il processo di autenticazione. Infatti, ripetute interazioni, o bloccando le trasmissioni o con l attacco man in the middle, lasciano la porta aperta alla letture delle chiavi segrete se presenti. 12 di 19

13 ficando opportunamente il dialogo con i tag dal lettore risulta possibile far passare attraverso questi dispositivi alcuni parametri dell interfaccia di accesso ai DBMS che possono quindi essere causa dell SQL injection attack che infetta i database con virus o altro malware. 3.3 La relazione: Vulnerabilità - Minacce In relazione ai casi riportati la correlazione tra vulnerabilità e minacce può essere rappresentata come segue: Distanza di lettura Scansione del tag Assenza di autenticazione Scrittura/lettura non autorizzata Sistemi Promiscui Distruzione Range di scrittura/lettura sensibili Comandi es. Kill Attacchi fisici Detuning Assenza standard protocolli Network snooping Integrazione con alter reti/db SQL Injection Comunicazione lettore - tag DoS 4. ANALISI CAMPI DI IMPIEGO: TRATTAMENTO DELLE MINACCE I campi di applicazione di questa tecnologia sono molteplici: Trasporti, Militare, Industriale, Medico, Automotive, Marcatura Elettronica degli animali, Dispositivi di pagamento, Eventi sportivi ed altri ancora. Di seguito analizzeremo i casi applicativi ritenuti più significativi ai fini dell impiego della tecnologia e dei vantaggi derivanti da tale impiego, sottolineando gli aspetti relativi alla Sicurezza che abbiamo anticipato nei precedenti capitoli. 13 di 19

14 4.1 Casi applicativi ed in studio: descrizione Logistica e trasporto merci: Identificazione univoca delle unità in movimentazione Caso: Istituto Ortopedico Rizzoli L istituto Ortopedico Rizzoli (IOR) di Bologna è un istituto monospecialistico ortopedicotraumatologico riconosciuto quale istituto di ricovero e cura a carattere scientifico. Dal 2004, presso la Banca del Tessuto Muscoloscheletrico dello stesso IOR, è operativo il sistema di gestione e tracciabilità dei reperti di tessuto e ossa da trapianto dal donatore al ricevente tramite RFId. Ogni contenitore di reperti è dotato di tag sul quale sono registrate le informazioni relative al reperto, ai test effettuati e al donatore. Questa applicazione è a ciclo chiuso perché il tag dopo aver seguito il reperto fino al trapianto, che può avvenire anche in altra struttura, ritorna alla Banca del Tessuto presso lo IOR. 1) Gestione e tracciabilità di reperti di tessuto ed ossa da trapianto. Presso la Banca del Tessuto avviene l etichettatura dei contenitori dei reperti e la registrazione sul tag delle informazioni relative al reperto stesso (donatore, test eseguiti). I contenitori sono conservati in celle frigorifere con temperature fino a - 80 C. Presso la struttura che eseguirà il trapianto viene letto il tag per l identificazione del reperto prima dell intervento. Dopo il trapianto il tag viene aggiornato con le informazioni relative all intervento eseguito. Il tag viene quindi riconsegnato alla Banca del Tessuto. Qui il tag contenente le informazioni sull intervento, viene letto e viene automaticamente aggiornato il record corrispondente nel DB dei reperti. Caso: Istituto Scientifico Universitario S. Raffaele- Unità operativa di Medicina Trasfusionale L Istituto Scientifico Universitario San Raffaele di Milano, si sviluppa su circa mq e dispone di oltre 1000 posti letto. Attualmente ha attive due applicazioni RFId presso l Unità Operativa di Medicina Trasfusionale: supporto al processo di autotrasfusione attraverso identificazione sacche di sangue, tracciamento contenitori di piastrine 1) L autotrasfusione viene eseguita nel reparto di Urologia: viene fornito al paziente un braccialetto RFId contenente i suoi dati anagrafici che conserverà fino ad intervento concluso. Le informazioni che lo riguardano vengono poi associate all ID di un tag di identificazione applicato sulla sacca di sangue, insieme all ID dell Operatore identificato tramite ID di un apposito Tag che ha seguito la funzione. Al momento della trasfusione, si effettua il controllo incrociato dei dati sul braccialetto e sulla sacca di sangue. 2) Viene effettuato inoltre un tracciamento dei contenitori delle piastrine. I contenitori, provenienti anche da altri ospedali, vengono contrassegnati con tag contenenti informazioni sul donatore, il ricevente, l operatore ed eventuali trattamenti da eseguire sulle piastrine. All atto della trasfusione delle piastrine viene effettuato, come nel caso precedente, un controllo incrociato tra i dati sul tag del contenitore e i dati referenziati dal braccialetto del paziente. Caso: Istituto Scientifico Universitario S. Raffaele, progetto Drive Questo Istituto sta lavorando all armadio intelligente. Viene applicato un tag su ogni confezione di farmaco che trova posto nell armadio, in modo che tramite un dispositivo Reader sia possibile rilevare i flussi in entrata e in uscita dall armadio effettuando anche verifiche: l operatore, prima del giro visite, preleva dall armadio intelligente le confezioni necessarie, il sistema rileva la confezione prelevata e verifica la correttezza del prelievo, confrontandola con una picking list precaricata. Tramite WiFi viene inviata conferma al PC presente sul carrello dell operatore dell avvenuto prelievo e il sistema provvede alla spunta, migliorando così l accuratezza e la velocità dell attività. 14 di 19

15 1) Rilevamento dei flussi entrata-uscita delle medicine in armadio intelligente e controllo correttezza ricetta : Tag EPC sulle medicine, registrazione dati su DB, reader sull armadio. Caso: Azienda Sanitaria 6 di Vicenza L applicazione viene sviluppata per assicurare in modalità automatica il processo di identificazione corretta dei pazienti ottimizzando i tempi. Questo processo è stato in questo modo integrato all interno della gestione della terapia farmacologia, anche in considerazione del fatto che l ASL 6 di Vicenza è una delle strutture coinvolte nel progetto promosso dalla Regione Veneto per la gestione informatizzata della terapia farmacologia. La soluzione implementata con il progetto regionale prevede la rilevazione del trattamento farmacologico sul singolo paziente ospedaliero tramite l utilizzo di dispositivi wireless (tabletpc, portatili o palmari) durante la normale attività di reparto. 1) Durante la fase di registrazione del paziente viene fornito un braccialetto identificativo con tag contenente i dati forniti in accettazione. Successivamente il paziente viene identificato dal medico in visita attraverso la lettura dei dati sul bracciale. I tag posti all interno dei braccialetti sono passivi, operanti alla frequenza di 13,56 Mhz conformi a ISO ) La prescrizione farmacologia per il paziente: viene effettuata dal medico su un tablet PC. I tablet PC sono collegate in wireless al sistema centrale, dove sono immagazzinati i dati di tutti i pazienti. Anche la somministrazione dei farmaci avviene in una modalità simile. Viene stampato dal sistema centrale il Piano di Somministrazione. L infermiere durante il giro di somministrazione identifica nuovamente il paziente leggendo con il tablet PC il braccialetto elettronico del paziente. Una volta effettuata la somministrazione l infermiere registra sul tablet PC l operazione. Le informazioni vengono trasmesse tramite WiFi al sistema centrale. I reader sono delle compact flash che vengono integrate nel tablet PC. Le informazioni sul paziente e sulla cura farmacologia prescritta e somministrata sono raccolte attraverso PC portatili o tablet PC connessi alla LAN attraverso una rete wireless, realizzata con access point distribuiti nei reparti. Alla stessa LAN sono connessi i server su cui sono raccolte le informazioni Supporto alle operations nell Allevamento e in Agricoltura: Tracciabilità agro-alimentare come garanzia di origine dei prodotti Caso: Consorzio della Qualità della Carne Bovina della Coldiretti di Milano e Lodi Il Consorzio è un associazione di allevatori nata nel 1999 cui afferiscono sia aziende agricole a conduzione familiare, che impianti di macellazione e lavorazione industriale. Hanno trovato impiego presso questa struttura tre applicazioni. La prima applicazione riguarda l identificazione automatica dei capi di allevamento, la seconda impiega RFId per movimentare le mezzane nei macelli la terza applicazione viene implementata nei punti vendita chiudendo il ciclo del trattamento dell allevamento. 1) Identificazione dei Capi in Allevamento attraverso l impiego di: marca auricolare, tag a 134,2 KHz ISO11784/785 o bolo endoruminale. Le informazioni raccolte sono inviate attraverso un collettore all anagrafe bovina. Il sistema di identificazione viene usato anche per gestire le operazioni interne all allevamento. 2) La Tracciabilità capi in macellazione utilizza tag a 13,56 MHz riscrivibili. Le informazioni presenti sul tag del bovino (dall allevamento) vengono passate ai tag collocati sui ganci che 15 di 19

16 movimenteranno le diverse parti dell animale all interno dei processi di macellazione. I tag sui ganci saranno quindi di supporto alle diverse operations registrando dati relativi alle lavorazioni. 3) Tracciabilità e prezzamento capo con l ausilio di tag a 13,56 MHz riscrivibili e passivi collegati alle bandierine portaprezzo. Le parti di animale arrivano nei punti vendita accompagnati dal tag di identificazione, attraverso cui è possibile conoscere la provenienza del bovino e con l ausilio di un dispositivo di pesatura/prezzatura munito di reader, eseguire la prezzatura automatica della carne Ticketing CRM di Servizi nel Trasporto Pubblico: Bigliettazione elettronica Caso: APS Mobilità Padova APS Mobilità si occupa della gestione del sistema di trasporto pubblico urbano della città di Padova e zone limitrofe, trasportando ogni anno circa 35 milioni di passeggeri. APS Mobilità sta sviluppando un progetto di bigliettazione elettronica per consentire l integrazione tariffaria con i vettori che operano nella provincia di Padova, con la SITA e Trenitalia e l interoperabilità con i servizi quelli già presenti a Treviso e Venezia. L implementazione prevede il biglietto contactless multicorsa, e gli abbonamenti con smart card ibride (contact+contactless). Attraverso le soluzioni RFId, oltre l integrazione tariffaria con gli altri vettori, si intende così diminuire l evasione rendendo obbligatoria la convalida del biglietto a bordo delle vetture e rilevare dati utili al miglioramento del servizio. 1) Ticketing su lunghi percorsi/abbonamenti/biglietti cumulativi multicorsa, ingressi in ZTL: per i biglietti multicorsa tag con 176 bit EEPROM, per gli abbonamenti: smart card ibride con 512 byte di memoria. In entrambi i casi la tecnologia è conforme allo standard ISO e opera alla frequenza di 13,56 MHz Gestione di asset : Identificazione e tracciabilità oggetti di valore Caso: Tracciatura dei Documenti PA. Uffici Università di Messina Al fine di identificare, monitorare e tracciare la documentazione cartacea e le varie pratiche interne e per migliorare l'efficienza dei processi amministrativi, l'università di Messina ha sviluppato, all'interno del proprio Laboratorio, con partners, un progetto di sperimentazione di nuove tecnologie per il tracciamento dei documenti, utilizzando tecnologie wireless ed RFD. Il progetto prevede l uso di tag posizionati sui documenti e antenne di lettura che permettano di seguire il percorso di un documento, offrendo così benefici all archiviazione ed al monitoraggio del processo amministrativo. 1) Gestione flussi documentali per il tracciamento relativo alle pratiche dei cittadini: tag RFId a 13,56 MHz Supporto alle operations nei Settori dei Servizi: Miglioramento nella efficienza e qualità dei processi operativi nelle aziende di Servizi Caso: Biblioteca Comunale di Vignola Francesco Selmi La biblioteca conta oltre utenti iscritti e dispone di un patrimonio di oltre documenti tra materiale cartaceo, supporti multimediali e materiale storico consultabile in loco. La biblioteca utilizza la tecnologia RFId come sistema antitaccheggio, per erogare il servizio di auto-prestito, per automatizzare la revisione inventariale e per gestire i documenti fuori posto. E stato posizionato un tag con un 16 di 19

17 numero di inventario, su ogni oggetto del patrimonio della biblioteca. Il sistema comprende: una stazione di inizializzazione dei tag, un lettore portatile, una stazione di auto-prestito e dai varchi antitaccheggio. Agli utenti sono distribuite tessere identificative contenti un tag RFId utili per l autoprestito. 1) Tag antitaccheggio sui volumi:, con codice inventario: 13,56 MHz ISO15693 e ISO con funzione anticollisione e EAS antitaccheggio (sistema di allarme su situazioni di emergenza) 2) Tessera identificativa dell utente dotata di RFId per effettuare alla stazione designata l autoprestito. A questo entry point viene associato l ID dell utente, attraverso la tessera al quello del tag, contenuto nell oggetto. Avvenuta l operazione l oggetto è automaticamente autorizzato al passaggio dei varchi antitaccheggio. Il processo contrario avviene alla restituzione del documento. 3) Antitaccheggio: i varchi di ingresso/uscita della biblioteca segnalano il passaggio di un oggetto la cui uscita non è stata autorizzata. Caso: Processi logistici in Magazzini, Magazzini Doganali ed Ambienti difficili(magazzini a temperatura controllata, magazzini sterili, ambienti ad elevata umidità) 1) Tag passivi in unità di movimentazione(pallet) o su singolo prodotto: 13,56 MHz Caso: Dipartimento Ambiente e Territorio Provincia di Livorno I 2400 cipressi del viale di Bolgheri, nel comune di Castagneto Carducci, considerati monumento nazionale, sono stati colpiti fin dagli anni 70 da una malattia che rende necessari trattamenti fitosanitari. Il Dipartimento Ambiente e Territorio della Provincia di Livorno, allo scopo di identificare in modo univoco ciascuna pianta, ha deciso di impiegare la tecnologia RFId. Ogni pianta è identificata con un piccolo tag inserito nel tronco contenente solo il codice univoco che, attraverso il sistema informativo, viene associato alla scheda anagrafico - storica della pianta. In occasione dei controlli sui cipressi gli operatori accedono, tramite reader, alle informazioni storiche della pianta presenti sul DB e inseriscono le informazioni sui trattamenti necessari. 1) Identificazione per monitoraggio cipressi monumentali che necessitano trattamenti fitosanitari: tag cilindrico operante a 131, 6 KHz con 264 bit di memoria 4.2 Matrice Minacce - Applicazioni La matrice che segue riassume in un quadro sintetico gli elementi indicativi per valutare potenziali minacce al sistema RIFd. è ed è stata creata sulla base delle informazioni e delle applicazioni di cui abbiamo conoscenza e che sono state esposte in questo documento. Pertanto possono non essere state riportate eventuali contromisure o sistemi supplementari che nel frattempo possono essere state implementate e di cui potremmo non avere visibilità. 17 di 19

18 Azione della Minaccia Ist.Ortopedico Rizzoli S. Raffaele Isti.Trasfusionale S. Raffaele Prog. Drive ASL 6 Vicenza Consorzio Carni Bovine APS Mobililtà Università di Messina Biblioteca Comunale Vignola Logistica Magazzini Dip.to Ambiente e territorio Tracciabilità X X X X X Identificabilità X X X X X Scansione tag Scrittura/modifica non X X X X X X X X X X autorizzata Cancellazione tag X X X X X X X X X X Analisi del traffico X X Eavesdropping X X X X Man in the middle Attack Network snooping X X X Spoofing DoS X X X X X X X X X X Distacco X X X X X X X X X X Distruzione X X X X X X X X X X Schermatura X X X X X X X X X X Scaricare le batterie X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ X ¹ Blocker X X X X X X X X X X Sistema anti-collisione X ² X ² X ² X ² X ² X ² X ² X ² X ² X ² Jamming X³ X³ X³ X³ X³ X³ X³ X³ X³ X³ Blocco Comunicazione X X X X X X X X X X Detuning SQL Injection X³ X³ X³ X³ X³ X³ X³ X³ X³ X³ X 1 Per i dispositivi attivi o semi-attivi X² Per sistemi dotati di dispositivi anti-collisione X³ Dipende dal tipo di dispositivi adottati o sistemi, in termini di potenza lettore, tecniche di protezione del sistema di back-end 4.3 Gestione del Rischio: cenni Per comprendere il significato del Rischio nell ambito della sicurezza delle informazioni possiamo dire che questo è una funzione della Probabilità che si verifichi un evento dannoso che determina un Impatto (danno atteso se l evento si verifica). La Probabilità suddetta a sua volta può essere determinata da eventi accidentali o deliberati. Nell ambito della definizione di un sistema che si intende proteggere, l attività di Gestione del Rischio è riconducibile a due fasi distinte: Analisi del Rischio e Controllo del Rischio. La prima fase in particolare risulta fondamentale ed ha come scopo quello di associare ai beni (Asset individuati nel nostro sistema: persone, oggetti, know how, hardware, software, etc.) il livello di rischio per le coppie Vulnerabilità-Minaccia. All analisi segue la Valutazione del rischio individuato. Questa fase è anche essa molto delicata e può seguire due approcci distinti: Quantitativo e Qualitativo. La scelta di uno dei due approcci determinerà il tipo di risultato, in quanto la stima del primo segue essenzialmente la strada del danno economico e si basa su misurazioni statistiche basate sulla misurabilità concreta dell Impatto, anche se portano ad una visione ristretta della complessità del rischio. Il secondo invece valuta e classifica il rischio secondo una scala di valori non economici. Risulta semplice da applicare ed è previsto dagli standard internazionali, ma non dà una misurazione economica. L attività correlata alla Gestione del Rischio, consiste in un processo che deve essere inquadrato nella realtà organizzativa da analizzare, e come tale, rappresenta un costo che, in fase di analisi implementativa di un sistema, deve essere prevista a budget ed essere coerente con gli obiettivi di sicurezza aziendali posti a monte. 18 di 19

19 Esistono varie metodologie a cui riferirsi per impostare tale processo: NIST SP800-30, CERT OCTAVE, STAR, MEHARI, Microsoft Security Risk Managment Guide, Treat and Risk Assessment Working Guide. A supporto di queste metodologie sono disponibili nel mercato, strumenti automatici e tool per lo svolgimento della Gestione del Rischio (CRAMM, COBRA, ecc.). 4.4 Contromisure Le contromisure da adottare nell improntare un sistema RFId sono commisurate all analisi del rischio relativo all impatto che la perdita del bene ha determinato. Di seguito elenchiamo alcune delle contromisure adottate nei casi di campo più comuni. La disattivazione elettronica del tag mediante il comando kill rappresenta una delle operazioni più semplici ma necessarie da effettuare per garantire che possa essere eliminata la tracciabilità indesiderata come può accadere nel caso, ad esempio, si superi un varco che limita il perimetro di lettura necessaria del tag. Allo stesso modo si ricorre alla rimozione forzata o sistemi di penalità per la mancata eliminazione fuori dall area d interesse dei dispositivi. In alternativa può essere utilizzata anche una informativa chiara all utente per l autoeliminazione. Con riferimento agli aspetti di privacy, è prassi consolidata richiedere il consenso esplicito al trattamento dei dati personali. Meno consolidata,, ma ugualmente importante, risulta la prassi dell obbligo di richiesta di autorizzazione al Garante per le applicazioni che consentano la localizzazione geografica e/o che profilino il comportamento delle persone. La prima barriera all accesso indesiderato ai dispostivi può essere rappresentata da procedure relative alla Identificazione, Autenticazione e Autorizzazione poste alla base del Controllo degli accessi. Si può poi procedere utilizzando una Crittografia minimale orientata alla sola cifratura del codice identificativo (encryption periodica da parte del lettore e hashing del codice da parte del tag) proseguendo, mediante dispositivi con caratteristiche tecniche che lo consentano, con l applicazione delle funzioni Hash e della Crittografia asimmetrica, e più in generale ricorrendo al Resource hiding (l attenzione cioè a nascondere le informazioni). Altre tecniche più sofisticate vedono l adozione di blocker tag tree-walking, che esegue un blocco delle funzionalità del lettore. Una contromisura adottata per rendere più complesse le trasmissioni di informazioni in un sistema RFId per disorientare chi ascolta le trasmissioni tra tag e reader con intenzioni malevole si possono impostare tecniche basate sul rapporto segnale/rumore per le quali la trasmissione avviene a distanza pre-fissata. Le più recenti applicazioni e studi hanno visto la nascita di nuovi Protocolli che posseggono molte caratteristiche di sicurezza utili a vincere i più diffusi attacchi. 19 di 19

SINER ACCESS. Sistema per il controllo degli accessi

SINER ACCESS. Sistema per il controllo degli accessi SINER ACCESS Sistema per il controllo degli accessi INTRODUZIONE Sia in ambito civile che industriale, è da anni costantemente più avvertita l esigenza di sviluppare forme evolute di controllo di determinate

Dettagli

Esperienze. gestione. risorse. * Qualità INVENTARIO. * Produttività. * Controllo di GESTIONE FORNITORE. * Monitoraggio GESTIONE LISTE DI CARICO

Esperienze. gestione. risorse. * Qualità INVENTARIO. * Produttività. * Controllo di GESTIONE FORNITORE. * Monitoraggio GESTIONE LISTE DI CARICO CONTROLLO DI GESTIONE Esperienze GESTIONE STATO APPARATI GESTIONE FORNITORE INVENTARIO GESTIONE LISTE DI CARICO * Qualità * Produttività * Controllo di gestione * Monitoraggio risorse TRACCIABILITA PRODOTTI

Dettagli

RFID e sensori wireless

RFID e sensori wireless UNIVERSITA DEGLI STUDI DI SIENA Dipartimento di Ingegneria dell Informazione Tecnologie per la tracciabilità: RFID e sensori wireless Giuliano Benelli Tracciabilità e nuove tecnologie Identificazione e

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

SISTEMI DI TRACCIABILITÀ

SISTEMI DI TRACCIABILITÀ LABEL ELETTRONICA S.r.l. Via della Repubblica, 18 35010 LIMENA (Padova) Tel: +39 049 8848130 Fax: +39 049 8848096 Per ulteriori informazioni: SISTEMI DI TRACCIABILITÀ www.labelelettronica.it ENRICO RAMI

Dettagli

Introduzione (2/3) A seconda dei casi, l elemento di accoppiamento è costituito da una spira o da una antenna

Introduzione (2/3) A seconda dei casi, l elemento di accoppiamento è costituito da una spira o da una antenna Introduzione (1/3) Radio Frequency IDentification (RFID) = possibilità di acquisire informazioni su di un oggetto per mezzo della radio-comunicazione ( contactless) fra un Tag ( etichetta ) fisicamente

Dettagli

L'innovazione tecnologica a supporto della gestione delle merci pericolose. in ambito portuale

L'innovazione tecnologica a supporto della gestione delle merci pericolose. in ambito portuale L'innovazione tecnologica a supporto della gestione delle merci pericolose Fabrizio Baiardi Dipartimento di Informatica, Università di Pisa f.baiardi@unipi.it Contenuto Rfid e smart box Tecnologia Intelligenza

Dettagli

LA TECNOLOGIA RFID NELL AGROALIMENTARE

LA TECNOLOGIA RFID NELL AGROALIMENTARE CENTRO DI RICERCA PER LE POLITICHE DELL INNOVAZIONE LA TECNOLOGIA RFID NELL AGROALIMENTARE di Alessandra Rollo Novembre 2008 CERPI Centro di Ricerca per le Politiche dell Innovazione Il CERPI è un centro

Dettagli

INNOVAZIONE RFID. Soluzioni customizzate di tracciabilità per la filiera enologica. Produttori Distributori Rivenditori

INNOVAZIONE RFID. Soluzioni customizzate di tracciabilità per la filiera enologica. Produttori Distributori Rivenditori INNOVAZIONE RFID Soluzioni customizzate di tracciabilità per la filiera enologica Produttori Distributori Rivenditori Follow Me: perché? perché sappiamo che la capacità di distinguersi fa la differenza

Dettagli

IL SISTEMA BUSTER GESTIONE CLINICA E LOGISTICA DEL FARMACO. Logistica del Farmaco. CONTATTO commerciale@gpi.it

IL SISTEMA BUSTER GESTIONE CLINICA E LOGISTICA DEL FARMACO. Logistica del Farmaco. CONTATTO commerciale@gpi.it LF Logistica del Farmaco IL SISTEMA BUSTER GESTIONE CLINICA E LOGISTICA DEL FARMACO Il Sistema BUSTER, è una soluzione completa per la gestione del farmaco nelle strutture sanitarie che utilizza sia componenti

Dettagli

Es 08 CARTA? NO GRAZIE! EASYSHOW. Archiviazione Sostitutiva

Es 08 CARTA? NO GRAZIE! EASYSHOW. Archiviazione Sostitutiva Es 08 EASYSHOW Archiviazione Sostitutiva CARTA? NO GRAZIE! EASYSHOW 08 Cosa si intende per conservazione sostitutiva? Per conservazione sostitutiva si intende quel processo che permette di conservare documenti

Dettagli

Introduzione Ai Data Bases. Prof. Francesco Accarino IIS Altiero Spinelli Via Leopardi 132 Sesto San giovanni

Introduzione Ai Data Bases. Prof. Francesco Accarino IIS Altiero Spinelli Via Leopardi 132 Sesto San giovanni Introduzione Ai Data Bases Prof. Francesco Accarino IIS Altiero Spinelli Via Leopardi 132 Sesto San giovanni I Limiti Degli Archivi E Il Loro Superamento Le tecniche di gestione delle basi di dati nascono

Dettagli

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005

14/06/2004. Modalità controllo Verifica in campo Periodicità controllo Annuale. Tipologia Misura Fisica Data ultimo aggiornamento 15/12/2005 ID Misura M-001 Compilata Boscolo Paolo Data da Descrizione sintetica Impianto di allarme Gli spazi interessati alla misura in oggetto sono dotati di impianto di allarme in grado di rilevare e segnalare

Dettagli

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7 Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4

Dettagli

IL SISTEMA DELLA GESTIONE INFORMATICA DELLA LOGISTICA DEL FARMACO

IL SISTEMA DELLA GESTIONE INFORMATICA DELLA LOGISTICA DEL FARMACO IL SISTEMA DELLA GESTIONE INFORMATICA DELLA LOGISTICA DEL FARMACO Logistica del Farmaco Riconoscimento Paziente Piano Terapeutico Individuale Integrazione con Cartella Clinica Informatica Somministrazione

Dettagli

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati

La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati La piattaforma di lettura targhe intelligente ed innovativa in grado di offrire servizi completi e personalizzati Affidabilità nel servizio precisione negli strumenti Chanda LPR Chanda LPR è una piattaforma

Dettagli

Costanzo Fabrizio. Facoltà di Ingegneria. La tecnologia RFID : Aspetti di sicurezza. Corso di Laurea in Ingegneria delle Telecomunicazioni

Costanzo Fabrizio. Facoltà di Ingegneria. La tecnologia RFID : Aspetti di sicurezza. Corso di Laurea in Ingegneria delle Telecomunicazioni Facoltà di Ingegneria Corso di Laurea in Ingegneria delle Telecomunicazioni Tesi di Laurea di Primo Livello La tecnologia RFID : Aspetti di sicurezza Laureando: Costanzo Fabrizio Matricola : 801491 Relatore

Dettagli

L archivio di impresa

L archivio di impresa L archivio di impresa Mariella Guercio Università degli studi di Urbino m.guercio@mclink.it Politecnico di Torino, 25 novembre 2011 premessa L archivistica è una disciplina della complessità, aperta, basata

Dettagli

sommario l approccio nebri-tech l innovazione

sommario l approccio nebri-tech l innovazione RFID SYSTEMS sommario 4 OUR company 6 8 l approccio nebri-tech 10 12 14 RFID: cos è LA TRACCIABiLITà L ANTICONTRAFFAZIONE SETTORI DI APPLICAZIONE 16 PRODOTTI e servizi 18 l innovazione 4 5 OUR COMPANY

Dettagli

INFORMATIVA PRIVACY & COOKIE

INFORMATIVA PRIVACY & COOKIE INFORMATIVA PRIVACY & COOKIE Il presente documento sulla privacy policy (di seguito, Privacy Policy ) del sito www.fromac.it (di seguito, Sito ), si conforma alla privacy policy del sito del Garante per

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

KC KLAVIS. File name: KeyControl-One v.1 (provvisorio) Gestione informatizzata delle chiavi.

KC KLAVIS. File name: KeyControl-One v.1 (provvisorio) Gestione informatizzata delle chiavi. File name: KeyControl-One v.1 (provvisorio) KC KLAVIS Gestione informatizzata delle chiavi. KC KLAVIS si basa su una barra porta chiavi chiamata KeyControl Module e su un sistema gestionale software WEB

Dettagli

LICARUS LICENSE SERVER

LICARUS LICENSE SERVER UNIVERSITÀ DEGLI STUDI DI ROMA TOR VERGATA Facoltà di Ingegneria Corso di Laurea Specialistica in Ingegneria Informatica Progetto per il corso di Sicurezza dei Sistemi Informatici LICARUS LICENSE SERVER

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

Nexsoft. Business Solutions. Tracciabilità dei cicli di lavoro

Nexsoft. Business Solutions. Tracciabilità dei cicli di lavoro Nexsoft Business Solutions Tracciabilità dei cicli di lavoro Tracciabilità e Rintracciabilità La Tracciabilità è la capacità di risalire alla storia e all uso o alla localizzazione di una entità mediante

Dettagli

La firma digitale CHE COSA E'?

La firma digitale CHE COSA E'? La firma digitale La Firma Digitale è il risultato di una procedura informatica che garantisce l autenticità e l integrità di messaggi e documenti scambiati e archiviati con mezzi informatici, al pari

Dettagli

Quali informazioni posso comunicare o ricevere?

Quali informazioni posso comunicare o ricevere? I n f o W E B A cosa serve InfoWEB? InfoWEB è una soluzione completamente web che, presentandosi con l aspetto di un sito internet, permette di distribuire tutte le informazioni di presenza volute, e non

Dettagli

INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI CON DOSSIER SANITARIO ELETTRONICO (DSE) E/O CON FASCICOLO SANITARIO ELETTRONICO (FSE)

INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI CON DOSSIER SANITARIO ELETTRONICO (DSE) E/O CON FASCICOLO SANITARIO ELETTRONICO (FSE) Sede legale: Via G. Cusmano, 24 90141 PALERMO C.F. e P. I.V.A.: 05841760829 INFORMATIVA AL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI CON DOSSIER SANITARIO ELETTRONICO (DSE) E/O CON FASCICOLO SANITARIO

Dettagli

Lezione 7 Sicurezza delle informazioni

Lezione 7 Sicurezza delle informazioni Lezione 7 Sicurezza delle informazioni Sommario Concetti generali Meccanismi per la sicurezza IT: Crittografia Hash Firma digitale Autenticazione 1 Concetti generali Availability Confidentiality Integrity

Dettagli

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati. LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

SMARTAIR AGGIORNAMENTO ON LINE

SMARTAIR AGGIORNAMENTO ON LINE SMARTAIR AGGIORNAMENTO ON LINE SMARTAIR entra in una nuova dimensione. Un nuovo livello di intelligenza. Ora non avete più andare da porta a porta per aggiornare il sistema di apertura. Oppure inserire

Dettagli

PTDR Disaster Recovery for oracle database

PTDR Disaster Recovery for oracle database PTDR Disaster Recovery for oracle database INTRODUZIONE... 3 INTRODUZIONE... 3 I MECCANISMI BASE DI ORACLE DATA GUARD... 3 COSA SONO I REDO LOG?... 4 IMPATTO SULL'ARCHITETTURA COMPLESSIVA... 4 CONCLUSIONI...

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Caratteristiche generali: Principali funzionalità:

Caratteristiche generali: Principali funzionalità: L entrata in vigore del Regolamento CE 178/2002 ha portato alla ribalta il tema della tracciabilità agroalimentare, rendendola obbligatoria a partire dal 1 gennaio 2005. Adottare un sistema di tracciabilità

Dettagli

EasyMACHINERY ERPGestionaleCRM. partner

EasyMACHINERY ERPGestionaleCRM. partner ERPGestionaleCRM partner La soluzione software per le aziende di produzione di macchine Abbiamo trovato un software e un partner che conoscono e integrano le particolarità del nostro settore. Questo ci

Dettagli

GLOSSARIO/DEFINIZIONI

GLOSSARIO/DEFINIZIONI ALLEGATO 1 GLOSSARIO/DEFINIZIONI Indice 1 2 INTRODUZIONE DEFINIZIONI Allegato alle Regole tecniche in materia di documento informatico e gestione documentale, protocollo informatico e di documenti informatici

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Conoscere Dittaweb per:

Conoscere Dittaweb per: IL GESTIONALE DI OGGI E DEL FUTURO Conoscere Dittaweb per: migliorare la gestione della tua azienda ottimizzare le risorse risparmiare denaro vivere meglio il proprio tempo IL MERCATO TRA OGGI E DOMANI

Dettagli

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare! Si può fare! Premessa La sicurezza informatica La sicurezza rappresenta uno dei più importanti capisaldi dell informatica, soprattutto da quando la diffusione delle reti di calcolatori e di Internet in

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA Documento predisposto da Reale Mutua Assicurazioni ai sensi dell articolo 57, commi 1 e 3, del Decreto del Presidente del Consiglio dei Ministri del 22/02/2013,

Dettagli

GLOSSARIO/DEFINIZIONI

GLOSSARIO/DEFINIZIONI ALLEGATO 1 GLOSSARIO/DEFINIZIONI 11 Indice 1 2 INTRODUZIONE... DEFINIZIONI... 12 1 INTRODUZIONE Di seguito si riporta il glossario dei termini contenuti nelle regole tecniche di cui all articolo 71 del

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

MCi BUSINESS SUITE MANAGEMENT

MCi BUSINESS SUITE MANAGEMENT MCi BUSINESS SUITE MANAGEMENT Acquisizione, archiviazione, gestione e consultazione flussi documentali Fatturazione elettronica e conservazione sostitutiva Soluzione rivolta a tutte le aziende che : generano,

Dettagli

Il software di rintracciabilità e produzione Traxal adottato dal gruppo Principe di S.Daniele e King S

Il software di rintracciabilità e produzione Traxal adottato dal gruppo Principe di S.Daniele e King S Il software di rintracciabilità e produzione Traxal adottato dal gruppo Principe di S.Daniele e King S Introduzione: Il gruppo Principe di San Daniele - King S è conosciuto a livello Italiano ed internazionale

Dettagli

Addition, tutto in un unica soluzione

Addition, tutto in un unica soluzione Addition, tutto in un unica soluzione Addition è un applicativo Web progettato e costruito per adattarsi alle esigenze delle imprese. Non prevede un organizzazione in moduli, mette a disposizione delle

Dettagli

Tentata Vendita Raccolta ordini Rifatturazione

Tentata Vendita Raccolta ordini Rifatturazione Plurimpresa Mobile La soluzione software specifica per Tentata Vendita Raccolta ordini Rifatturazione Prima Parte: Introduzione Plurimpresa Mobile Pagina 2 di 12 PREMESSA La diminuzione sempre più crescente

Dettagli

DOCUMENTO ELETTRONICO E FIRMA DIGITALE

DOCUMENTO ELETTRONICO E FIRMA DIGITALE DOCUMENTO ELETTRONICO E FIRMA DIGITALE CHE COSA È LA CRITTOGRAFIA LA CRITTOLOGIA È SCIENZA CHE STUDIA LE SCRITTURE SEGRETE 2 CRITTOGRAFIA STUDIA I SISTEMI DI PROTEZIONE DEI MESSAGGI CRITTOANALISI STUDIA

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

LINEA GUIDA SISTEMA TRACCIABILITA MARCHI D AREA

LINEA GUIDA SISTEMA TRACCIABILITA MARCHI D AREA LINEA GUIDA SISTEMA TRACCIABILITA MARCHI D AREA 1 SOMMARIO 1 PREMESSA...3 2 SCOPO E CAMPO DI APPLICAZIONE...4 3 DEFINIZIONI...5 4 NORMATIVE DI RIFERIMENTO...7 5 PRINCIPI BASE DEL SISTEMA DI TRACCIABILITÀ

Dettagli

Modulo 12 Sicurezza informatica

Modulo 12 Sicurezza informatica Modulo 12 Sicurezza informatica Il presente modulo definisce i concetti e le competenze fondamentali per comprendere l uso sicuro dell ICT nelle attività quotidiane e per utilizzare tecniche e applicazioni

Dettagli

Monitoraggio dei consumi di farmaci e dispositivi medici delle Aziende sanitarie regionali.rinnovo della convenzione con IMS Health.

Monitoraggio dei consumi di farmaci e dispositivi medici delle Aziende sanitarie regionali.rinnovo della convenzione con IMS Health. REGIONE PIEMONTE BU37 17/09/2015 Codice A14000 D.D. 14 luglio 2015, n. 465 Monitoraggio dei consumi di farmaci e dispositivi medici delle Aziende sanitarie regionali.rinnovo della convenzione con IMS Health.

Dettagli

Video Corso per Fornitori Cedacri. Regnani Chiara Collecchio, Gennaio 2014

Video Corso per Fornitori Cedacri. Regnani Chiara Collecchio, Gennaio 2014 Video Corso per Fornitori Cedacri Regnani Chiara Collecchio, Gennaio 2014 1 Scopo Scopo del presente Corso è fornire informazioni necessarie per rapportarsi con gli standard utilizzati in Azienda 2 Standard

Dettagli

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS www.btoweb.it L unione tra il know-how gestionale e organizzativo maturato in oltre 12 anni di consulenza e l esperienza nell ambito dell informatizzazione dei processi ha consentito a Sinergest lo sviluppo

Dettagli

SOLUZIONE Web.Orders online

SOLUZIONE Web.Orders online SOLUZIONE Web.Orders online Gennaio 2005 1 INDICE SOLUZIONE Web.Orders online Introduzione Pag. 3 Obiettivi generali Pag. 4 Modulo di gestione sistema Pag. 5 Modulo di navigazione prodotti Pag. 7 Modulo

Dettagli

Protezione del Software

Protezione del Software Protezione dalla copia Protezione del Software Alfredo De Santis! Aprile 0! Trovare un metodo contro la pirateria efficiente economico resistente contro i pirati esperti non invasivo Compito impossibile!

Dettagli

Dematerializzazione delle Ricette e Tracciabilità del Farmaco

Dematerializzazione delle Ricette e Tracciabilità del Farmaco Dematerializzazione delle Ricette e Tracciabilità del Farmaco Autenticazione e tracciabilità dei Farmaci Il contesto di riferimento La Direttiva 2001/83/CE del Parlamento Europeo e del Consiglio, art.

Dettagli

TRACcess Libertà di azione, Certezza di controllo!

TRACcess Libertà di azione, Certezza di controllo! TRACcess Libertà di azione, Certezza di controllo! www.gestionechiavi.net il sito della gestione chiavi Pronto Chiavi! Progetto per il Tele Controllo degli Accessi ai Domicili degli Assistiti, in un Comune

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof. Operatore Informatico Giuridico Informatica Giuridica di Base A.A 2003/2004 I Semestre Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi prof.

Dettagli

Fima Card Manager Proxy Contact & Contactless Card Solutions. pluscard.it

Fima Card Manager Proxy Contact & Contactless Card Solutions. pluscard.it Fima Contact & Contactless Card Solutions pluscard.it 1 2 3 ACQUISIZIONE DELLE IMMAGINI E DELLE FOTOGRAFIE FIMA CARD MANAGER PROXY importa ed acquisisce i principali formati grafici per l inserimento e

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

SiStema dam e Stampa. automatizzata

SiStema dam e Stampa. automatizzata 0100101010010 0100101010 010101111101010101010010 1001010101010100100001010 111010 01001010100 10101 111101010101010010100101 0 1 0 1 0 1 0 1 0 0 1 0 0 0 0 1 0 1 0 1 1 1 0 1 0 010010101001010 1111101010101

Dettagli

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata. Sommario A cosa serve InfoWEB?... 3 Quali informazioni posso comunicare o ricevere?... 3 Cosa significa visualizzare le informazioni in maniera differenziata in base al livello dell utente?... 4 Cosa significa

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari

Dettagli

Regolamento tecnico interno

Regolamento tecnico interno Regolamento tecnico interno CAPO I Strumenti informatici e ambito legale Articolo 1. (Strumenti) 1. Ai sensi dell articolo 2, comma 5 e dell articolo 6, comma 1, l associazione si dota di una piattaforma

Dettagli

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0 Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente

Dettagli

RF-ID. Un supporto valido per una gestione snella ed efficiente. ICT Information & Communication Technology

RF-ID. Un supporto valido per una gestione snella ed efficiente. ICT Information & Communication Technology RF-ID Un supporto valido per una gestione snella ed efficiente Communication Technology Semplificare le operazioni I produttori di beni industriali sono indotti spesso a ridurre i costi di produzione e

Dettagli

PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE. Maggio 2006

PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE. Maggio 2006 PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE Maggio 2006 1 Evoluzione tecnologica 1 Negli ultimi anni le P.A. si sono fortemente impegnate nello sviluppo di reti di computer

Dettagli

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero Glossario Account (profilo o identità) insieme dei dati personali e dei contenuti caricati su un sito Internet o su un social network. Anti-spyware programma realizzato per prevenire e rilevare i programmi

Dettagli

Firma digitale: aspetti tecnologici e normativi. Milano,

Firma digitale: aspetti tecnologici e normativi. Milano, Firma digitale: aspetti tecnologici e normativi Milano, Premessa digitale Il presente documento ha la finalità di supportare le Amministrazioni che intendono dotare il proprio personale di digitale, illustrando

Dettagli

BASI DATI BIOINGEGNERIA ED INFORMATICA MEDICA. Lezione II - BioIngInfMed

BASI DATI BIOINGEGNERIA ED INFORMATICA MEDICA. Lezione II - BioIngInfMed BASI DATI BIOINGEGNERIA ED INFORMATICA MEDICA 1 Sistema Informativo Un sistema informativo (SI) è un componente di una organizzazione il cui obiettivo è gestire le informazioni utili per gli scopi dell

Dettagli

Secure Email N SOC Security Service

Secure Email N SOC Security Service Security Service La gestione e la sicurezza della posta non è mai stata così semplice ed efficace N-SOC rende disponibile il servizio modulare SecaaS Secure Email per la sicurezza e la gestione della posta

Dettagli

uadro Business Intelligence Professional Gestione Aziendale Fa quadrato attorno alla tua azienda

uadro Business Intelligence Professional Gestione Aziendale Fa quadrato attorno alla tua azienda Fa quadrato attorno alla tua azienda Professional Perché scegliere Cosa permette di fare la businessintelligence: Conoscere meglio i dati aziendali, Individuare velocemente inefficienze o punti di massima

Dettagli

Remote Control e Home imaging

Remote Control e Home imaging Remote Control e Home imaging ing. Andrea Praitano Expert Consultant & Trainer Napoli, 27 maggio 06 Agenda 20 minuti Remote Presence Home imaging: Cos è; Principio di funzionamento; Composizione e tecnologie

Dettagli

TECNOLOGIE D ACCESSO PER HOTEL

TECNOLOGIE D ACCESSO PER HOTEL TECNOLOGIE D ACCESSO PER HOTEL sistema /boutique/luxury/resort SALTO: Controlla l accesso di dipendenti e ospiti. Scopri con noi l ultima generazione di serrature elettroniche per hotel. Il motivo per

Dettagli

INFORMATICA PER LE APPLICAZIONI ECONOMICHE PROF.SSA BICE CAVALLO

INFORMATICA PER LE APPLICAZIONI ECONOMICHE PROF.SSA BICE CAVALLO Basi di dati: Microsoft Access INFORMATICA PER LE APPLICAZIONI ECONOMICHE PROF.SSA BICE CAVALLO Database e DBMS Il termine database (banca dati, base di dati) indica un archivio, strutturato in modo tale

Dettagli

FINAL 1.3 DOCUMENTO PUBBLICO. Acceptable Use Policy (AUP)

FINAL 1.3 DOCUMENTO PUBBLICO. Acceptable Use Policy (AUP) FINAL 1.3 DOCUMENTO PUBBLICO Acceptable Use Policy (AUP) Milano, 13/06/2007 Introduzione All interno del presente documento sono descritte alcune norme comportamentali che gli utenti connessi ad Internet

Dettagli

Case Study. La parola al cliente. Profilo

Case Study. La parola al cliente. Profilo La parola al cliente «Grazie alla collaborazione con Aton abbiamo raggiunto un risultato competitivo fondamentale: la standardizzazione del processo delle consegne. onlog ci ha consentito infatti di stabilire

Dettagli

identificazione e controllo

identificazione e controllo CT identificazione e controllo SORI dp S.R.L. Via A. Murri, 97/3 40137 BOLOGNA tel.: +39 051240602 - fax +39 051442908 e-mail: soridp@soridp.com - web: www.soridp.com CT è un insieme di soluzioni hardware

Dettagli

ATTUAZIONE DEL PROGETTO WI-FI CGIL

ATTUAZIONE DEL PROGETTO WI-FI CGIL Seminario Nazionale ATTUAZIONE DEL PROGETTO WI-FI CGIL 10 luglio 2009 Sala Fernando Santi - CGIL nazionale - Corso d Italia 25 - Roma PRESENTAZIONE DEL PROGETTO Wi-Fi CGIL All interno del Progetto nazionale

Dettagli

Al tuo fianco. nella sfida di ogni giorno. risk management www.cheopeweb.com

Al tuo fianco. nella sfida di ogni giorno. risk management www.cheopeweb.com Al tuo fianco nella sfida di ogni giorno risk management www.cheopeweb.com risk management Servizi e informazioni per il mondo del credito. Dal 1988 assistiamo le imprese nella gestione dei processi di

Dettagli

REPAC REgistratore Presenze Autorizzate nei Cantieri

REPAC REgistratore Presenze Autorizzate nei Cantieri SERVIZIO LAVORI PUBBLICI E OSSERVATORIO CONTRATTI E INVESTIMENTI PUBBLICI. EDILIZIA E SICUREZZA DEI CANTIERI EDILI REPAC REgistratore Presenze Autorizzate nei Cantieri Specifiche tecniche per i produttori

Dettagli

HEALTHCARE SOLUTIONS TRANSCAR SISTEMA DI TRASPORTO A GUIDA AUTOMATICA

HEALTHCARE SOLUTIONS TRANSCAR SISTEMA DI TRASPORTO A GUIDA AUTOMATICA HEALTHCARE SOLUTIONS TRANSCAR SISTEMA DI TRASPORTO A GUIDA AUTOMATICA 2 TransCar GENERATION 3 SWISSLOG È AZIENDA LEADER NELLA FORNITURA DI SOLUZIONI INNOVATIVE E INTEGRATE PER LA LOGISTICA OSPEDALIERA

Dettagli

TEORIA sulle BASI DI DATI

TEORIA sulle BASI DI DATI TEORIA sulle BASI DI DATI A cura del Prof. Enea Ferri Cos è un DATA BASE E un insieme di archivi legati tra loro da relazioni. Vengono memorizzati su memorie di massa come un unico insieme, e possono essere

Dettagli

BioMoving - monitoraggio della temperatura e tracciabilità nel trasporto di campioni organici

BioMoving - monitoraggio della temperatura e tracciabilità nel trasporto di campioni organici BioMoving - monitoraggio della temperatura e tracciabilità nel trasporto di campioni organici Esigenza Un esigenza fondamentale per chi effettua analisi di campioni organici è che, dal momento del prelievo,

Dettagli

Ambienti Intelligenti a supporto della Sicurezza Personale

Ambienti Intelligenti a supporto della Sicurezza Personale , Smart Tech & Smart Innovation - La strada per costruire futuro Torino, 15-16-17 Novembre 2011 Ambienti Intelligenti a supporto della Sicurezza Personale L esperienza di Unicam Francesco De Angelis Scuola

Dettagli

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli

ARCHIVIA PLUS CHIUSURA ARCHIVI

ARCHIVIA PLUS CHIUSURA ARCHIVI ARCHIVIA PLUS CHIUSURA ARCHIVI Istruzioni per la chiusura degli archivi Versione n. 2014.11.19 Del: 19/11/2014 Redatto da: Veronica Gimignani Luca Mattioli Approvato da: Claudio Caprara Categoria: File

Dettagli

SICUREZZA INFORMATICA

SICUREZZA INFORMATICA SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI

Dettagli

LA RETE CIVICA. Comune di Bari Sardo (OG) in collaborazione con Coinfas

LA RETE CIVICA. Comune di Bari Sardo (OG) in collaborazione con Coinfas LA RETE CIVICA Comune di Bari Sardo (OG) in collaborazione con Coinfas Scopo del progetto La Rete Civica è nata concettualmente per poter offrire connettività nei luoghi di riunione (Piazze, Vie Principali

Dettagli

Ferrovie dello Stato Italiane Garantisce l Efficienza dei Servizi IT in Outsourcing con CA Business Service Insight

Ferrovie dello Stato Italiane Garantisce l Efficienza dei Servizi IT in Outsourcing con CA Business Service Insight CUSTOMER SUCCESS STORY April 2014 Garantisce l Efficienza dei Servizi IT in Outsourcing con CA Business Service Insight PROFILO DEL CLIENTE: Azienda: S.p.A. Settore: logistica e trasporti Fatturato: 8,2

Dettagli

Lo schema complessivo con cui opera il servizio è quello rappresentato in figura. 1

Lo schema complessivo con cui opera il servizio è quello rappresentato in figura. 1 U N I A R C Amministrazione Digitale dei Documenti Nell ambito delle trasformazioni legate alla conversione al digitale della Pubblica Amministrazione e delle Imprese (nuovo Codice dell Amministrazione

Dettagli