Seminario UNINFO Security Summit 2017
Transcript of Seminario UNINFO Security Summit 2017
NUOVI TREND E NORME ISO/UNIBlockchain, IoT, Big Data, Industry 4.0 e
certificazioni "Privacy"
Security SummitMilano, 16 marzo 2017
2
Agenda e relatori
Introduzione su:UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain
Norme su Big Data e certificazioni "Privacy"
3
Agenda e relatori
Introduzione su:UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain
Norme su Big Data e certificazioni "Privacy"
4
Relatore
Domenico "Mimmo" SQUILLACE
Presidente di UNINFO
Coordinatore dei Presidenti degli Enti Federati UNI
Membro di Giunta Esecutiva UNI
Rappresentante Italiano in CEN/CENELEC BT WG 6 “ICT Standardization
Policy”
Technical Relations Manager IBM Italia
7
Una Norma Tecnica è un documentoche descrive lo “stato dell’arte” di: un bene, un servizio, un processo,un sistema, ...
Sviluppato presso un Ente di Normazione in maniera trasparente e democratica, approvato in maniera consensuale ed adottato su base volontaria.
9
Le Norme Tecniche sono sviluppate da:
International Standard Setting Organizations
“All-others”ISO
TelecommunicationITU
ElectrotechnicalIEC
European Standard Setting Organizations
CEN ETSICENELEC
National Standard Bodies
JTC/1
10
Le Norme Tecniche sono sviluppate da:
International Standard Setting Organizations
“All-others”ISO
TelecommunicationITU
ElectrotechnicalIEC
European Standard Setting Organizations
CEN ETSICENELEC
National Standard Bodies
JTC/1
I E T
F &
IEEE
W 3
C
Fora Consorzi
11
Gli Enti di Normazioneitaliani sono:
CEI ed UNI
12
UNICHIMChimica
CIGGas
CTITermotecnica
UNSIDERFerro e Metalli
UNIPLASTMaterie Plastiche
CUNAAutomobili
Quando si parladi UNI si intendeil Sistema UNI
13
UNICHIMChimica
CIGGas
UNINFOInformatica
CTITermotecnica
UNSIDERFerro e Metalli
UNIPLASTMaterie Plastiche
CUNAAutomobili
UNINFO “fa”gli Standard
per l’ICT
14
Perchè sono importanti?InteroperabilitàDefinizione univocaSicurezza prodottiEconomie di Scala
15
Perchè sono importanti?
1 Norma EN:● equivale a 33 Norme Nazionali● consente l’accesso ad un mercato di 650 milioni di persone
InteroperabilitàDefinizione univocaSicurezza prodottiEconomie di Scala
17
Informatica MedicaIngegneria del SW
eBSF
“Traffico”“MPEG”
Automazione Ind.
Tecnologie Additive
18
Blockchain
APNR-ICTProfili Professionali
“Privacy”
“Tecnologie abilitanti per l’I4.0”●JTC/1-WG 9“Big Data”●JTC/1-WG 10 “IoT”●JTC/1-WG 11 “Smart City”●JTC/1-SC 38 “Cloud”
Sicurezza informatica
22
Oggetti interconnessi diogni tipo, forma e misura
come fanno a capirsi?
23
Usando degli standardo
degli Standardin maniera “pragmatica”
24
standard e Standard per IoT
Healthcare
Hom
e/Building
Manufacturing
IndustryA
utomation
VehicularTransportation
Energy
Cities
Wearables
Farming
Agrifood
Telecommunication
26
Internet of Thingsoppure
Internet of Unsecure Things?
92% of Internet of Things developers agree with the statement that “Security is going to be more an issue in the future”
In 2020, spending on Security related solutions and services will account for 6% of the total spending on Internet of Things.
Tech Insight: Hacking The Nest Thermostat
– Dark Reading, Aug 2014
Philips Hue Light Bulbs Are Highly Hackable
– Gizmodo, Aug 2013
Hackers Remotely Kill a Jeep on the Highway.– Wired, July 2015
100,000 Refrigerators and other home appliances hacked to perform cyber attack
– The Guardian, Feb 2013
Millions of Kwikset Smartkey Locks Vulnerable to Hacking, Say Researchers– Wired, Aug 2013
Common IoT Vulnerabilities
No transmission encryption(e.g, plain HTTP)
Weak encryption Simple username/password Backdoor accounts No firmware integrity checks
How can you solve the Security & Privacy threat?Build security in: foundational elements of functional product
Identity & access management User @ mobile device / web interface Machine-to-machine identity & trust
Encryption / privacy At rest—stored data, on device, in the cloud In motion—on the network, end-to-end In action—in memory (think RAM scrapers)
Trusted OS / firmware At provisioning, inc supply chain In operation, reset to trusted image Over-the-air updates
Analytics Relevant, granular, and useful events
34
Un po’ di storia
Industrie 4.0(Germania)
Manufacture de Future
(Francia)
SmartManufacturing
(USA)
35
Cosa è, dunque, I4.0?Industry 4.0 describes a new, emerging structure in which manufacturing and logistics
systems in the form of Cyber -Physical Production Systems (CPPS) intensively use the
globally available information and communications network for an extensively automated
exchange of information and in which production and business processes are matched.
Un Sistema di Sistemi
36
Cosa è, dunque, I4.0?
Industry 4.0 can be regarded as an additional level of integration on the basis of the existing structures, which is itself the basis of the newly emerging structure and thus creates the new quality. Furthermore, increasing networking of previously extensively autonomous systems is expected in the course of Industry 4.0.
Un Sistema di Sistemi
38
Agenda e relatori
Introduzione su:UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain
Norme su Big Data e certificazioni "Privacy"
Relatore
39
Luciano QUARTARONE
Lead Auditor 27001, ITIL
Membro del CT 510 di UNINFO "Sicurezza"
Senior Information Security consultant at BL4CKSWAN S.r.l.
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
40
Industry 4.0 è un termine spesso usato per riferirsi al processo di gestione della produzione e della catena manifatturiera.
Il termine si riferisce anche alla quarta rivoluzione industriale (Smart Manufacturing).
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
41
The Internet of things (IoT) is the inter-networking of physical devices, vehicles (also referred to as "connected devices" and "smart devices"), buildings, and other items
—embedded with electronics, software, sensors, actuators, and network connectivity that enable these objects to collect and exchange data
(Brown, Eric (13 September 2016). "Who Needs the Internet of Things?". Linux.com. Retrieved 23 October 2016.Brown, Eric (20 September 2016). "21 Open Source Projects for IoT". Linux.com. Retrieved 23 October 2016
Internet of Things Global Standards Initiative". ITU. Retrieved 26 June 2015)
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
42
• Industry 4.0
• IoT
• Security 4.0 ?
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
43
… alcuni dati …
47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi
41% sta valutando azioni
13% ha policy di security by design (monitoraggio, credenziali, pratiche di programmazione…)
10% utilizza soluzioni specifiche
9% rilevazione dati nel perimetro aziendale
5% per la gestione di dati raccolti da oggetti smart.
Fonte: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
44
software (applicativo, OS,
firmware)
Hardware
Quali aspetti, proprietà e dimensioni di «information Security» occorre monitorare per far si che una grande potenzialità non si trasformi in una grande minaccia?
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
45
…dipende da dove sono e dove/come sono connesso…
Quali aspetti, proprietà e dimensioni di «information Security» occorre monitorare per far si che una grande potenzialità si trasformi in una grande minaccia?
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
46
… ad esempio …
Per la dimensione «network» in ambito industriale:
Verificare che il dispositivo sia dietro ad un router/firewall e che:
• Non sia assegnato un IP pubblico al dispositivo, in modo che non sia raggiungibile
direttamente da internet e non sia indicizzato dai motori di ricercar IoT
• Qualora sia richiesta una connessione in ingress da internet, implementare delle
adeguate regole di port forwarding.
• Qualora sia richiesta una connessione verso l’Esterno, implementare adeguate
regole di firewalling in modo da consentire solole connessioni necessarie
• Qualora il dospositivo debba dialogare con altri nodi sulla rete locale, verificare che
siano richiesti IP statici.
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
47
… alcuni dati…
Fonte: Politecnico di Milano:
46% dei consumatori dichiara di voler acquistare in futuro uno o più oggetti intelligenti per la casa, con focus su Sicurezza e Risparmio Energetico.
69% l’interfaccia di gestione preferita per la gestione di questi oggetti è un’App su smartphone
Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT
48
… ricapitoliamo…
L’industry 4.0, fonda il suo potenziale sulla tecnologia IoT che, in quanto ecosistema connesso, che pubblica e consuma dati pubblicati da altri
(dispositivi), richiede una particolare attenzione nella gestione della sicurezzza delle informazioni scambiate, poichè il “threat modeling” che normalmente ci figuriamo per il nostro sistema informativo aziendale, è
certamente amplificato.
Norme internazionali e Blockchain
49
A Blockchain is a distributed, decentralized transaction ledger, saved by each node in the network, which is owned, maintained and updated by each node. It’s a peer-to-
peer system. No central authority manages the transaction flow.PwC
A Blockchain is an open, distributed ledger that can record transactions between two parties efficiently and in a verifiable and permanent way. The ledger itself can
also be programmed to trigger transactions automatically.(Iansiti, Marco; Lakhani, Karim R. (January 2017). "The Truth About Blockchain". Harvard Business Review. Harvard University)
Norme internazionali e Blockchain
50
… alcune considerazioni
Il termine Blockchain sottolinea anche come le informazioni siano trattate, hashate ed aggiunte sequenzialmente ed in modo non modificabile al registro elettronico.
Norme internazionali e Blockchain
51
… su quali pilastri si fonda?
Norme internazionali e Blockchain
52
… su quali pilastri si fonda?
Un registro elettronico è un insieme di dati digitali replicati, condivisi e sincronizzati e geografaicamente diffusi, attraverso più siti (location), nazioni e/o istituzioni
Norme internazionali e Blockchain
53
… su quali pilastri si fonda?
Mentre alcune tecnologie come I Bitcoin sono permissionless, molte infrastrutture legacy sono permissioned. Fra le discussioni in corso, sta creando un ampio divario di posizioni la controversa questione riguardante l’integrazione di registry distribuiti con sistemi legacy.
Norme internazionali e Blockchain
54
… su quali pilastri si fonda?
Esistono diverse tipologie di Registri Elettronici e Blockchain è solo un tipo…
… altri esempi sono Ethereum, Ripple, Hyperledger, MultiChain, Eris ed alter implementazioni “private”
Norme internazionali e Blockchain
55
… su quali pilastri si fonda?
…una volta “consorziati” tutti I registi beneficeranno dall’interoperabilità con gli altri registri.
Norme internazionali e Blockchain
56
… da che punto iniziamo?
Ad oggi non esiste uno standard ne una norma pubblicata, ma possiamo certamente dire quali proprietà dobbiamo tenere in considerazione nel voler standardizzare i Blockchain…
… terminologia, privacy, governance, interoperabilità, sicurezza, rischi.
Norma Titolo
ISO 20022 Financial services -- Universal financial industry message scheme
ISO/IEC 17788 Information technology -- Cloud computing Overview and vocabulary
ISO/IEC 17789 Information technology -- Cloud computing -- Reference architecture
ISO/IEC 18384 Reference Architecture for Service Oriented Architecture (SOA RA) -- Part 1: Terminology and concepts for SOA
ISO 19086 Information technology -- Cloud computing -- Service level agreement (SLA) framework
ISO/IEC 2700 Information Technology – Security Techniques
ISO 31000 Risk Management – Principles and Guidelines
ISO 10962 Securities and related financial instruments -- Classification of financial instruments
ISO 6166 Securities and related financial instruments -- International securities identification numbering system
Norme internazionali e Blockchain
57
… relazioni con altri standard?
Norme internazionali e Blockchain
58
… dove usiamo Blockchain?
Moody ha stilato una graduatoria dei 25 principali use-case di Blockchain:
Financial Corporates Governments Cross-industry
Internation payments Supply chain management
Record management Financial management & accounting
Capital markets Healtcare Identity management Shareholder’s voting
Trade finance Real estate Voting Record management
Regulatory compliance & audit
Media Taxes Cybersecurity
Anti-money laudering & know your customer
Energy Government & non-profit trasparency
Big Data
Insurance Legislation, compliance & regulatory oversight
Data storage
P2P transactions IoT
Norme internazionali e Blockchain
59
… dove arriveremo?
Probabilmente è ancora troppo presto per prevedere come le cose si evolveranno le cose, ma se pensiamo all’evoluzione del web possiamo fare
qualche ipotesi. Sicuramente standard e protocolli comuni sono un MUST HAVE.
In secondo luogo, l’utilizzo della rete richiede l'interoperabilità.
Occorre avere il tempo di raggiungere un consenso su questioni chiave prima che gli standard e protocolli, in fase di definizione, siano utilizzabili.
60
Agenda e relatori
Introduzione su:UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain
Norme su Big Data e certificazioni "Privacy"
61
Relatore
Fabio GUASCONI
Direttivo di UNINFO
Presidente del CT 510 di UNINFO "Sicurezza"
Membro del CT 526 di UNINFO "APNR"
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l.
62
Big Data Interoperability Framework,
pubblicato nel 2015- Volume 1, Definitions- Volume 2, Taxonomies- Volume 3, Use Cases and General Requirements- Volume 4, Security and Privacy- Volume 5, Architectures White Paper Survey- Volume 6, Reference Architecture- Volume 7, Standards Roadmap
Norme sui Big Data: NIST SP 1500
63
Eredita elementi da CSA Big Data Working Group Top 10 Challenges in Big Data Security and Privacy
11 casi d'uso per scenari nei settori: Retail / Marketing (3) Healthcare (3) Cybersecurity (1) Government (2) Aviation (1) Maritime transportation (1)
Norme sui Big Data: NIST SP 1500
64
Big data reference architecture
lavori iniziati nel 2016— Part 1: Framework and application process (ISO/IEC TR 20547-1)— Part 2: Use cases and derived requirements (ISO/IEC TR 20547-2)— Part 3: Reference architecture (ISO/IEC 20547-3)— Part 4: Security and privacy fabric (ISO/IEC 20547-4)— Part 5: Standards roadmap (ISO/IEC TR 20547-5)
Norme sui Big Data: ISO/IEC 20547
ISO/IEC JTC 1 SC 27 WG 4
65
Norme sui Big Data: ISO/IEC 20547-4 WD1• Structure of document• Big data security and privacy challenges
Overview
• Architecture, security, privacyBig data reference architecture security & privacy
• Roles & related activities for big data security and privacy• System orchestrator, data provider, data consumer, application
provider
Big data reference architecture user view
Big data reference architecture function view
Big data reference architecture fabric view
• Security & privacy issues, use cases, guidelines, security & privacy controls
Annexes
ISO/IEC 27001/2ISO/IEC 29100
ISO/IEC JTC 1/SC 27 SD16 Information security library (ISL) CSA Big Data Security &Privacy Handbook
66
Norme sui Big Data: ISO/IEC 20547-4 WD1D.2 Security controlsD.2.1 ConfidentialityD.2.2 AuthenticationD.2.3 System healthD.2.4 Device and application registrationD.2.5 Identity and access managementD.2.6 Data governanceD.2.7 Infrastructure managementD.2.8 Risk and accountability...D.2.10 Application layer identityD.2.11 Business risk model...D.2.19 Encryption and key managementD.2.20 End Point Input ValidationD.2.21 End user layer identity managementD.2.22 Forensics
D.3 Privacy controlsD.3.1 Data life cycle managementD.3.2 Privacy risk managementD.3.3 Identity managementD.3.4 User consent managementD.3.5 Compliance...D.3.9 Data anonymization, pseudonymizationD.3.10 Privacy preserving computationD.3.11 Data provenanceD.3.12 Privacy policy enhancementD.3.13 Consent management mechanism
67
Definendo i profili processionali per la sicurezza delle informazioni (ora UNI 11621-4:2016) "avanzava" il profilo del DPO ai sensi dell'allora proposta di regolamento europeo in materia di trattamento e protezione dei dati personali.
Coscienti dell'estensione non comprensiva del framework e-CF sulla materia si sono quindi coinvolte, oltre alla CT "Sicurezza Informatica" di UNINFO, anche: CT UNI "Sicurezza della società e del cittadino" CT UNI "Servizi"
Profili professionali per trattamento e protezione dei dati personali
68
Profili professionali per trattamento e protezione dei dati personali
e-CF Framework v. 3.0
Competenze informatiche / non informatiche
Elementi di creazione del GdL
e-Competence (40)
Conoscenze (m)
Aree e-Competence (5)
Competenze
Livelli (5)
Dim. 1
Dim. 2
Dim. 3
Dim. 4 Abilità (n) ConoscenzeAbilità
69
Profili professionali per trattamento e protezione dei dati personali
Top Management
AuditLinee di Business
Specialista Privacy
Manager Privacy
Esempio di organizzazione basata sui profili della norma
DPO
ValutatorePrivacy
70
• Figura professionale attualmente non regolamentata dalle leggi italiane.
• Non sarà designato secondo criteri vincolanti (PA, large scale of monitoring / special categories data)
• Molti Titolari lo nomineranno per sgravarsi di responsabilità
• Potrà essere un soggetto terzo
• Non esiste un Ordine Professionale specifico a garanzia della qualità delle attività svolte dal singolo professionista
• Sul mercato fioriscono attualmente corsi, master, percorsi e certificazioni in materia, che sono però slegate da ogni schema riconosciuto di certificazione del personale
• Vi saranno nomine a DPO per soggetti molto diversi tra loro per collocazione aziendale e competenze
Considerazioni sul DPO
71
Il WP 29 ha pubblicato in dicembre 2016 delle "Guidelines on Data Protection Officers" che entrano ulteriormente in dettaglio circa quanto esplicitato negli articoli precedenti, fornendo anche esempi di applicazione.
Per quanto riguarda le competenze del DPO, i punti cardine sono:1) The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes
2) DPOs should have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR
3) Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have sufficient understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.
Considerazioni sul DPO
72
Percorso di certificazione
Mantenimento e rinnovo
Valutazione delle competenze e certificazione delle competenze
Apprendimento informale (esperienza lavorativa)
Apprendimento non formale (formazione professionale)
Apprendimento formale (istruzione)
Requisiti m
inimi di accesso
73
• Art. 24 Responsabilità del titolare del trattamento, 3) L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
• Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, 3) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
• Art. 28 Responsabile del trattamento, 5) L'adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
• Art. 32 Sicurezza del trattamento, 3) L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
• ... ed è anche inclusa tra i criteri da valutare per determinare le sanzioni ...
Perchè una certificazione nel GDPR?
74
Quale mercato oggi
Label CNIL~ 30 certificazioniest. 2011, FranciaProdotti e servizi
ePrivacyseal~ 20 certificazioniest. 2011, GermaniaProdotti e servizi
Leader di un mercato ad oggi non maturo di "privacy seals"
Privacy Mark~ 20.000 certificazioniest. 1998, GiapponePMS
EuroPriSe~ 60 certificazioniest. 2008, GermaniaPMS
75
Possibili strade future
L'aspetto più interessante è che queste strade non sono esclusive tra loro ... potrebbero quindi crearsi scenari misti o che si sovrappongono nel tempo coesistendo e rendendo ancora più complessa l'adozione da parte del mercato.
1) Proliferazione di schemi proprietari / nazionali • ISDPC 10003:2015 di
Pharmasoft
2) Imposizione di uno schema centralizzato europeo • Comitato• Commissione
3) Adozione di uno schema internazionale • ISO/IEC 27552
76
Possibili strade future
ISO/IEC 27552Enhancement to
ISO/IEC 27001 for privacy
management
77
Contatti e ringraziamentiUNINFO
http://www.uninfo.it/[email protected]
Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837
Relatori:
Domenico SQUILLACE [email protected]
Luciano [email protected]
Fabio [email protected]
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit