QUADERNO ISACA VENICE Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est

Transcript

1 QUADERNO ISACA VENICE Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Scenario e Linee guida per l autovalutazione Luca Moroni 20 Novembre 2014

2 ISACA Venice Chapter è una associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi. Riunisce coloro che nell Italia del Nord Est svolgono attività di Governance, Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA : CISA, CISM, CGEIT, CRISC, COBIT5 Foundation ( ISACA (Information Systems Audit & Control Association) è una associazione internazionale, indipendente e senza scopo di lucro. Con oltre associati a 200 Capitoli in più di 160 Paesi, ISACA è leader mondiale nello sviluppo delle competenze certificate, nella promozione di community professionali e nella formazione nei settori dell assurance e sicurezza del governo dell impresa, della gestione dell IT, dei rischi e della compliance in ambito IT (

3 Luca Moroni Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter Quaderno n.1: Vulnerability Assessment e Penetration Test. Linee guida per l utente di verifiche di terze parti sulla sicurezza ICT. Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Laureato in Informatica a Milano, Certificato CISA e ITIL V3 e Certificazioni di settore Membro di ISACA Da 15 anni appassionato di Sicurezza Informatica a livello professionale tenendo seminari nel Nord Est sull argomento Mi occupo di selezionare per i clienti le aziende fornitrici di tecnologie informatiche in base alle loro competenze specifiche. Sono fautore da sempre di aggregazioni di rete

4 Ringrazio il Team per aver contribuito attivamente alla realizzazione di questo QUADERNO Giuseppe Esposito CISA, PMP, LA 27001, CSA-STAR, 22301, 9001, ITIL-V3 Foundation, ISO2000 Foundation Alessandro Guarino LA Pierlugi Sartori CISSP, CISM, CGEIT, CRISC, MBCI e Il presidente del Capitolo Orillo Narduzzo per la fiducia accordata

5 Evento ISACA VENICE CHAPTER 3 Ottobre 2014 Venezia Intervento Dr. Marco Balduzzi (In)security of smart transportation at sea The Automated identification System (AIS)

6 L anno scorso avevamo fatto questa domanda: Ha mai svolto delle analisi di sicurezza nel perimetro interno? Il 57% non ha mai svolto una analisi interna o non ne sente l esigenza Dove l analisi è composta da una serie di processi che simulano le azioni normalmente svolte da un dipendente e consulente nella rete interna.

7 Ma se fosse una Azienda/Ente che un impatto sulla vita sociale? Questa la ricordiamo tutti

8 Cosa si intende per Infrastruttura Critica Una infrastruttura viene considerata critica a livello europeo se la sua compromissione avrebbe un serio impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica e logica o il benessere economico dei cittadini, o sull effettivo funzionamento dello Stato; oppure potrebbe portare gravi conseguenze sociali o altre drammatiche conseguenze per la comunità

9 Quali sono i settori critici per l Italia Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale Telecomunicazioni e telematica; Risorse idriche e gestione delle acque reflue; Agricoltura, produzione delle derrate alimentari e loro distribuzione; Sanità, ospedali e reti di servizi e interconnessione Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessitali Banche e servizi finanziari; Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico); Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze. TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA VITA

10 Cyber minaccia per le Infrastrutture Critiche dell Italia 9/3/2014: La "relazione sulla politica dell Informazione per la Sicurezza , presentata in Parlamento dalla Presidenza del Consiglio per la prima volta pone al primo posto la Minaccia Cyber. Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del piano di protezione nazionale, l Italia vanta una delle più alte percentuali in Europa di PIL prodotto da aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di knowhow. Questo know-how è a rischio, come descrive la relazione. Per due motivi: 1) Vi è in grande numero di attori interessati ad appropriarsi di knowhow attraverso l uso di strumenti Cyber 2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi aziende, di conseguenza la sottrazione di know-how avviene in modo più semplice e invisibile.

11 Le aziende appartenenti ai settori Critici nel Nord Est Energia telecomunicazioni risorse idriche filiera agroalimentare sanita' trasporto carburanti e beni prima necessita' banche foze dell'ordine gestione delle emergenze Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

12 DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica? Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

13 DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla sicurezza informatica? Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

14 Uno scenario Sicurezza Cibernetica, la consapevolezza delle Abbiamo preso i dati dal recente report CLUSIT 2014 e aggregando gli incidenti informatici nei settori critici nel periodo Li abbiamo inseriti in un modello statistico per ipotizzare l andamento nei prossimi anni. L ipotesi peggiore potrebbe prevedere quasi un raddoppio degli incidenti alla fine del Magari sull onda dalla crescita fatta segnare dai nuovi obiettivi. Oppure confermare una stabilizzazione iniziata da Telecomunicazioni, Sanità ed Enti Governativi e Militari.

15 DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una violazione di sicurezza informatica di un elemento della sua infrastruttura potrebbe avere un effetto anche al di fuori della sua azienda? Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

16 Lo scenario verso la fabbrica Norme: di origine UE centrate attorno alla Infrastrutture Critiche e il loro controllo sempre più informatizzato L Italia aggiunge anche la PMI Diffusione attacchi cibernetici a infrastrutture e impianti Principi applicabili a tutti, non solo alle IC designate: Approccio basato sulla gestione del rischio ed ad una sua valutazione per capire il contesto in cui si trova l azienda Se gli impianti usano tecnologie ICT sono soggetti agli stessi rischi degli uffici e della sala server (vedi Stuxnet) Sorgente: BSI analysis about cyber security 2012

17 I Sistemi di Fabbrica L evoluzione della sicurezza..aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how.. IERI OGGI ARCHITETTURA Collegamenti fisici dedicati Reti aperte su base IP ADSL, USB, WIFI TECNOLOGIA Sistemi proprietari con protocolli specifici Sistemi standard con protocolli standard INCIDENTI Scarsi In crescita rapida

18 I Sistemi di Fabbrica L evoluzione della sicurezza IERI OGGI ARCHITETTURA Collegamenti fisici dedicati Reti aperte su base IP ADSL, USB, WIFI TECNOLOGIA Sistemi proprietari con protocolli specifici DATI USA: Sistemi standard con protocolli standard INCIDENTI Scarsi In crescita rapida

19 Le 10 minacce più insidiose nei sistemi IT di fabbrica Uso non autorizzato degli accessi remoti per la manutenzione (VNC) Attacchi Online attraverso la rete degli uffici Attacchi a dispositivi IT standard presenti nella rete di fabbrica Attacchi DDOS Errori umani e sabotaggi Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell ecc ) Lettura e scrittura di comandi manipolabili perché non criptati (VPN) Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni di Default) Violazioni agli apparati di rete Problemi tecnici e casualità (backup delle configurazioni) Sorgente: BSI analysis about cyber security 2012

20 Ufficio IT e Controllo di Fabbrica Colloquio difficile Che problema c è? Funziona e non si tocca Devo prepararmi ad aggiornare! PROBLEMA! Gianni Stefano PER ME CONTA DI PIU LA DISPONIBILITA PER ME CONTA DI PIU LA PROTEZIONE DELLA COMUNICAZIONE

21 Ufficio IT e Controllo di Fabbrica Esigenze diverse Fabbrica Requisiti di Sicurezza Ufficio IT Disponibilità, Integrità, Confidenziailità Priorità della Sicurezza Confidenziailità, Integrità, Disponibilità h24x365g (Riavvio non possibile) Disponibilità Normalmente orario ufficio 8h (Riavvio possibile) Nel peggiore dei casi molto seri, Danni per l Azienda Perdita di Denaro possibili anche vittime Violazione Privacy Anni Longevità 3-5 Anni Risposte in Real Time Tempi di risposta Non importante Dipende dal Produttore Mediamente Tempo medio di Update Frequenti e Regolari lunghi (una volta ogni 1~4 Anni) Ufficio Produzione e Automazione Gestione a carico di Ufficio CED Differenti Standard / definiti a livello di Nazione Apparati (Attrezzature, Prodotti) Servizi (Conitnuità) Standard di Sicurezza Obiettivo della Sicurezza Standard Internazionali Protezione delle informazioni

22 DOMANDA: Quali di questi elementi della Sicurezza Informatica, che sono diventati rilevanti in relazione alle nuove tecnologie, non ha mai preso in considerazione? Sistemi di Automazione Industriale (PLC, DCS, etc..) Furto di informazioni in formato elettronico dall'esterno Furto di informazioni in formato elettronico dall'interno Cloud/Outsourcing Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

23 ROI per un attaccante Dove creo più danni e magari posso ricattare una azienda PER ME CONTA DI PIU LA DISPONIBILITA PER ME CONTA DI PIU LA PROTEZIONE DELLA COMUNICAZIONE

24 Ma se stiamo parlando di questo

25 E richiesta maggiore responsabilità la Comunità Europea invita le industrie a riflettere sui modi per responsabilizzare amministratori delegati e le commissioni sulla sicurezza informatica. Questa indicazione del livello di sicurezza informatica diventerà un valore per l azienda come indicatore di affidabilità in particolare per le aziende considerate critiche. Concetti come IT Security by Design prevedono di incorporare la sicurezza informatica in tutte le fasi e aspetti, dalla progettazione delle strutture, alla costruzione fino alla messa in produzione.

26 Il nostro contributo: uno strumento di autovalutazione Abbiamo creato 5 check list, una per ognuna delle cinque aree di processi in cui viene scomposta la gestione della continuità operativa per una Infrastruttura Critica. 1. Misure preventive 2. Revisione della gestione della crisi 3. Gestione della crisi vera e propria 4. Follow-up (successivo alla crisi) 5. Esercitazioni

27 Il nostro contributo: uno strumento di autovalutazione Prima check list: Misure preventive Le misure preventive riguardano i processi relativi alla prevenzione degli eventi disastrosi. Esempio Area misure preventive, sez. Information Technology : I dati critici sono memorizzati in posti diversi? (Si verifica la disponibilità di backup dislocati in molteplici luoghi)

28 Il nostro contributo: uno strumento di autovalutazione Seconda check list: Revisione della gestione della crisi La revisione della gestione della crisi riguarda la preparazione dell ambiente aziendale in modo che ci sia una efficace risposta alle situazioni disastrose. Esempio Area Revisione della gestione della crisi, sez. Informazioni richieste ed archivi Gli archivi necessari sono tutti a portata di mano? (Si verifica la disponibilità degli archivi necessari per la gestione della crisi)

29 Il nostro contributo: uno strumento di autovalutazione Terza check list: Gestione della crisi vera e propria La gestione della crisi vera e propria comprende i processi necessari a contenere le conseguenze di un evento disastroso quando quest ultimo accade. Esempio Area Gestione della crisi vera e propria, sez. Trattamento di dati critici ed archivi I supporti e gli archivi critici sono sempre tenuti in contenitori a prova di incendio e allagamento? (si verifica l efficacia delle misure di protezione di archivi e supporti durante un evento disastroso)

30 Il nostro contributo: uno strumento di autovalutazione Quarta check list: Follow-up (successivo alla crisi) Il follow-up permette di ricavare gli elementi di miglioramento del sistema di gestione dalla diretta esperienza nella gestione di un evento disastroso. Esempio Area Follow-up : 4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature? (solo quando la crisi sia avvenuta davvero, si opera un controllo sulle attrezzature danneggiate. Il follow up serve per migliorare il sistema dall esperienza diretta di una crisi.)

31 Il nostro contributo: uno strumento di autovalutazione Quinta check list: Esercitazioni Le esercitazioni sono i test di risposta agli eventi disastrosi. Esempio Area Esercitazioni, sez. Generalità : I canali di comunicazione interna ed esterna sono testati? (Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad affrontare la possibile crisi. I canali di comunicazione sono una delle infrastrutture necessarie per una buona gestione degli eventi disastrosi)

32 Conclusioni Sicurezza Cibernetica, la consapevolezza delle Giustamente l Europa e l Italia devono imporre una gestione normata del problema e devono supportare le aziende nei costi di gestione. Standard riconosciuti, come la norma ISO o COBIT, vengono scarsamente adottati dalle aziende italiane proprio perché non percepiti come valore. Alcuni settori critici come quello bancario stanno già adottando normative standard di sicurezza cybernetica. La nostra Check List può fornire delle indicazioni ad un auditor ma non può esulare una azienda critica dall affrontare una analisi più specifica del contesto di sicurezza cybernetica in cui si trova. La fabbrica è l anello più debole della sicurezza informatica

33 Work In Progress Via Virtuosa: Analisi del rischio informatico nell area Nord Est Da 1 anno stiamo conducendo una ricerca e una analisi sul profilo di rischio sulla sicurezza informatica nelle aziende del Nord Est su un campione che è attualmente di 60 di aziende. Lo studio ha come obiettivo quello di definire una Base Line per le aziende del territorio aggregando i dati raccolti su un campione 100 Aziende che si prefigge di fotografare il territorio del Nord Est e l esposizione al rischio informatico. Se siete interessati, compilate il questionario per individuare come siete posizionati

34 Work In Progress Via Virtuosa: Analisi del rischio informatico nell area Nord Est Metodologia di ENISA Determining Your Organization s Information Risk Assessment and Management In 15 Domande Identifica l esposizione: Come risultato del modello di business dell'organizzazione Come risultato delle minacce Come risultato delle vulnerabilità. Identifica l impatto: Come risultato di requisiti legali e normativi dell'organizzazione Come risultato della perdita di informazioni riservatezza, integrità e disponibilità Come risultato dell'uso dei sistemi informativi a supporto dei processi aziendali

35 LUCA! Sei sempre catastrofico.. Fantascienza

36 Ah beh.non sono problemi per i sistemi di controllo delle nostre piccole aziende

37 LUCA! Ma si dai. Non è un fenomeno del nostro territorio Jesolo 17 maggio 2013 (100Km da qui)

38 Domande

39 Grazie! PER SCARICARE IL QUADERNO