NUOVI TREND E NORME ISO/UNIBlockchain, IoT, Big Data, Industry 4.0 e

certificazioni "Privacy"

Security SummitMilano, 16 marzo 2017

2

Agenda e relatori

Introduzione su:UNINFO, Industry 4.0 e IoT

Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain

Norme su Big Data e certificazioni "Privacy"

3

Agenda e relatori

Introduzione su:UNINFO, Industry 4.0 e IoT

Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain

Norme su Big Data e certificazioni "Privacy"

4

Relatore

Domenico "Mimmo" SQUILLACE

Presidente di UNINFO

Coordinatore dei Presidenti degli Enti Federati UNI

Membro di Giunta Esecutiva UNI

Rappresentante Italiano in CEN/CENELEC BT WG 6 “ICT Standardization

Policy”

Technical Relations Manager IBM Italia

5

UNINFO egli Standard

6

standard o Standard?

7

Una Norma Tecnica è un documentoche descrive lo “stato dell’arte” di: un bene, un servizio, un processo,un sistema, ...

Sviluppato presso un Ente di Normazione in maniera trasparente e democratica, approvato in maniera consensuale ed adottato su base volontaria.

8

Chi sviluppa le Norme Tecniche?

9

Le Norme Tecniche sono sviluppate da:

International Standard Setting Organizations

“All-others”ISO

TelecommunicationITU

ElectrotechnicalIEC

European Standard Setting Organizations

CEN ETSICENELEC

National Standard Bodies

JTC/1

10

Le Norme Tecniche sono sviluppate da:

International Standard Setting Organizations

“All-others”ISO

TelecommunicationITU

ElectrotechnicalIEC

European Standard Setting Organizations

CEN ETSICENELEC

National Standard Bodies

JTC/1

I E T

F &

IEEE

W 3

C

Fora Consorzi

11

Gli Enti di Normazioneitaliani sono:

CEI ed UNI

12

UNICHIMChimica

CIGGas

CTITermotecnica

UNSIDERFerro e Metalli

UNIPLASTMaterie Plastiche

CUNAAutomobili

Quando si parladi UNI si intendeil Sistema UNI

13

UNICHIMChimica

CIGGas

UNINFOInformatica

CTITermotecnica

UNSIDERFerro e Metalli

UNIPLASTMaterie Plastiche

CUNAAutomobili

UNINFO “fa”gli Standard

per l’ICT

14

Perchè sono importanti?InteroperabilitàDefinizione univocaSicurezza prodottiEconomie di Scala

15

Perchè sono importanti?

1 Norma EN:● equivale a 33 Norme Nazionali● consente l’accesso ad un mercato di 650 milioni di persone

InteroperabilitàDefinizione univocaSicurezza prodottiEconomie di Scala

16

I settori di attività di UNINFO

17

Informatica MedicaIngegneria del SW

eBSF

“Traffico”“MPEG”

Automazione Ind.

Tecnologie Additive

18

Blockchain

APNR-ICTProfili Professionali

“Privacy”

“Tecnologie abilitanti per l’I4.0”●JTC/1-WG 9“Big Data”●JTC/1-WG 10 “IoT”●JTC/1-WG 11 “Smart City”●JTC/1-SC 38 “Cloud”

Sicurezza informatica

19

IoT&

Industria 4.0

20

IoT: cioè?

21

IoT

22

Oggetti interconnessi diogni tipo, forma e misura

come fanno a capirsi?

23

Usando degli standardo

degli Standardin maniera “pragmatica”

24

standard e Standard per IoT

Healthcare

Hom

e/Building

Manufacturing

IndustryA

utomation

VehicularTransportation

Energy

Cities

Wearables

Farming

Agrifood

Telecommunication

25

standard e Standard per IoT

26

Internet of Thingsoppure

Internet of Unsecure Things?

92% of Internet of Things developers agree with the statement that “Security is going to be more an issue in the future”

In 2020, spending on Security related solutions and services will account for 6% of the total spending on Internet of Things.

http://creativecommons.org/licenses/by-nc-sa/3.0/deed.it

Tech Insight: Hacking The Nest Thermostat

– Dark Reading, Aug 2014

Philips Hue Light Bulbs Are Highly Hackable

– Gizmodo, Aug 2013

Hackers Remotely Kill a Jeep on the Highway.– Wired, July 2015

100,000 Refrigerators and other home appliances hacked to perform cyber attack

– The Guardian, Feb 2013

Millions of Kwikset Smartkey Locks Vulnerable to Hacking, Say Researchers– Wired, Aug 2013

Common IoT Vulnerabilities

No transmission encryption(e.g, plain HTTP)

Weak encryption Simple username/password Backdoor accounts No firmware integrity checks

How can you solve the Security & Privacy threat?Build security in: foundational elements of functional product

Identity & access management User @ mobile device / web interface Machine-to-machine identity & trust

Encryption / privacy At rest—stored data, on device, in the cloud In motion—on the network, end-to-end In action—in memory (think RAM scrapers)

Trusted OS / firmware At provisioning, inc supply chain In operation, reset to trusted image Over-the-air updates

Analytics Relevant, granular, and useful events

32

Relazione tra Industria 4.0 e IoT

33

Un po’ di storia

34

Un po’ di storia

Industrie 4.0(Germania)

Manufacture de Future

(Francia)

SmartManufacturing

(USA)

35

Cosa è, dunque, I4.0?Industry 4.0 describes a new, emerging structure in which manufacturing and logistics

systems in the form of Cyber -Physical Production Systems (CPPS) intensively use the

globally available information and communications network for an extensively automated

exchange of information and in which production and business processes are matched.

Un Sistema di Sistemi

36

Cosa è, dunque, I4.0?

Industry 4.0 can be regarded as an additional level of integration on the basis of the existing structures, which is itself the basis of the newly emerging structure and thus creates the new quality. Furthermore, increasing networking of previously extensively autonomous systems is expected in the course of Industry 4.0.

Un Sistema di Sistemi

37

Tecnologie abilitanti per I4.0

38

Agenda e relatori

Introduzione su:UNINFO, Industry 4.0 e IoT

Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain

Norme su Big Data e certificazioni "Privacy"

Relatore

39

Luciano QUARTARONE

Lead Auditor 27001, ITIL

Membro del CT 510 di UNINFO "Sicurezza"

Senior Information Security consultant at BL4CKSWAN S.r.l.

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

40

Industry 4.0 è un termine spesso usato per riferirsi al processo di gestione della produzione e della catena manifatturiera.

Il termine si riferisce anche alla quarta rivoluzione industriale (Smart Manufacturing).

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

41

The Internet of things (IoT) is the inter-networking of physical devices, vehicles (also referred to as "connected devices" and "smart devices"), buildings, and other items

—embedded with electronics, software, sensors, actuators, and network connectivity that enable these objects to collect and exchange data

(Brown, Eric (13 September 2016). "Who Needs the Internet of Things?". Linux.com. Retrieved 23 October 2016.Brown, Eric (20 September 2016). "21 Open Source Projects for IoT". Linux.com. Retrieved 23 October 2016

Internet of Things Global Standards Initiative". ITU. Retrieved 26 June 2015)

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

42

• Industry 4.0

• IoT

• Security 4.0 ?

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

43

… alcuni dati …

47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi

41% sta valutando azioni

13% ha policy di security by design (monitoraggio, credenziali, pratiche di programmazione…)

10% utilizza soluzioni specifiche

9% rilevazione dati nel perimetro aziendale

5% per la gestione di dati raccolti da oggetti smart.

Fonte: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

44

software (applicativo, OS,

firmware)

Hardware

Quali aspetti, proprietà e dimensioni di «information Security» occorre monitorare per far si che una grande potenzialità non si trasformi in una grande minaccia?

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

45

…dipende da dove sono e dove/come sono connesso…

Quali aspetti, proprietà e dimensioni di «information Security» occorre monitorare per far si che una grande potenzialità si trasformi in una grande minaccia?

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

46

… ad esempio …

Per la dimensione «network» in ambito industriale:

Verificare che il dispositivo sia dietro ad un router/firewall e che:

• Non sia assegnato un IP pubblico al dispositivo, in modo che non sia raggiungibile

direttamente da internet e non sia indicizzato dai motori di ricercar IoT

• Qualora sia richiesta una connessione in ingress da internet, implementare delle

adeguate regole di port forwarding.

• Qualora sia richiesta una connessione verso l’Esterno, implementare adeguate

regole di firewalling in modo da consentire solole connessioni necessarie

• Qualora il dospositivo debba dialogare con altri nodi sulla rete locale, verificare che

siano richiesti IP statici.

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

47

… alcuni dati…

Fonte: Politecnico di Milano:

46% dei consumatori dichiara di voler acquistare in futuro uno o più oggetti intelligenti per la casa, con focus su Sicurezza e Risparmio Energetico.

69% l’interfaccia di gestione preferita per la gestione di questi oggetti è un’App su smartphone

Aspetti di sicurezza delle informazioni per Industry 4.0 e IoT

48

… ricapitoliamo…

L’industry 4.0, fonda il suo potenziale sulla tecnologia IoT che, in quanto ecosistema connesso, che pubblica e consuma dati pubblicati da altri

(dispositivi), richiede una particolare attenzione nella gestione della sicurezzza delle informazioni scambiate, poichè il “threat modeling” che normalmente ci figuriamo per il nostro sistema informativo aziendale, è

certamente amplificato.

Norme internazionali e Blockchain

49

A Blockchain is a distributed, decentralized transaction ledger, saved by each node in the network, which is owned, maintained and updated by each node. It’s a peer-to-

peer system. No central authority manages the transaction flow.PwC

A Blockchain is an open, distributed ledger that can record transactions between two parties efficiently and in a verifiable and permanent way. The ledger itself can

also be programmed to trigger transactions automatically.(Iansiti, Marco; Lakhani, Karim R. (January 2017). "The Truth About Blockchain". Harvard Business Review. Harvard University)

Norme internazionali e Blockchain

50

… alcune considerazioni

Il termine Blockchain sottolinea anche come le informazioni siano trattate, hashate ed aggiunte sequenzialmente ed in modo non modificabile al registro elettronico.

Norme internazionali e Blockchain

51

… su quali pilastri si fonda?

Norme internazionali e Blockchain

52

… su quali pilastri si fonda?

Un registro elettronico è un insieme di dati digitali replicati, condivisi e sincronizzati e geografaicamente diffusi, attraverso più siti (location), nazioni e/o istituzioni

Norme internazionali e Blockchain

53

… su quali pilastri si fonda?

Mentre alcune tecnologie come I Bitcoin sono permissionless, molte infrastrutture legacy sono permissioned. Fra le discussioni in corso, sta creando un ampio divario di posizioni la controversa questione riguardante l’integrazione di registry distribuiti con sistemi legacy.

Norme internazionali e Blockchain

54

… su quali pilastri si fonda?

Esistono diverse tipologie di Registri Elettronici e Blockchain è solo un tipo…

… altri esempi sono Ethereum, Ripple, Hyperledger, MultiChain, Eris ed alter implementazioni “private”

Norme internazionali e Blockchain

55

… su quali pilastri si fonda?

…una volta “consorziati” tutti I registi beneficeranno dall’interoperabilità con gli altri registri.

Norme internazionali e Blockchain

56

… da che punto iniziamo?

Ad oggi non esiste uno standard ne una norma pubblicata, ma possiamo certamente dire quali proprietà dobbiamo tenere in considerazione nel voler standardizzare i Blockchain…

… terminologia, privacy, governance, interoperabilità, sicurezza, rischi.

Norma Titolo

ISO 20022 Financial services -- Universal financial industry message scheme

ISO/IEC 17788 Information technology -- Cloud computing Overview and vocabulary

ISO/IEC 17789 Information technology -- Cloud computing -- Reference architecture

ISO/IEC 18384 Reference Architecture for Service Oriented Architecture (SOA RA) -- Part 1: Terminology and concepts for SOA

ISO 19086 Information technology -- Cloud computing -- Service level agreement (SLA) framework

ISO/IEC 2700 Information Technology – Security Techniques

ISO 31000 Risk Management – Principles and Guidelines

ISO 10962 Securities and related financial instruments -- Classification of financial instruments

ISO 6166 Securities and related financial instruments -- International securities identification numbering system

Norme internazionali e Blockchain

57

… relazioni con altri standard?

Norme internazionali e Blockchain

58

… dove usiamo Blockchain?

Moody ha stilato una graduatoria dei 25 principali use-case di Blockchain:

Financial Corporates Governments Cross-industry

Internation payments Supply chain management

Record management Financial management & accounting

Capital markets Healtcare Identity management Shareholder’s voting

Trade finance Real estate Voting Record management

Regulatory compliance & audit

Media Taxes Cybersecurity

Anti-money laudering & know your customer

Energy Government & non-profit trasparency

Big Data

Insurance Legislation, compliance & regulatory oversight

Data storage

P2P transactions IoT

Norme internazionali e Blockchain

59

… dove arriveremo?

Probabilmente è ancora troppo presto per prevedere come le cose si evolveranno le cose, ma se pensiamo all’evoluzione del web possiamo fare

qualche ipotesi. Sicuramente standard e protocolli comuni sono un MUST HAVE.

In secondo luogo, l’utilizzo della rete richiede l'interoperabilità.

Occorre avere il tempo di raggiungere un consenso su questioni chiave prima che gli standard e protocolli, in fase di definizione, siano utilizzabili.

60

Agenda e relatori

Introduzione su:UNINFO, Industry 4.0 e IoT

Aspetti di sicurezza su Industry 4.0 e IoT, norme su Blockchain

Norme su Big Data e certificazioni "Privacy"

61

Relatore

Fabio GUASCONI

Direttivo di UNINFO

Presidente del CT 510 di UNINFO "Sicurezza"

Membro del CT 526 di UNINFO "APNR"

Direttivo CLUSIT

CISA, CISM, PCI-QSA, ITIL, ISFS,

Lead Auditor 27001 & 9001

Partner e co-founder BL4CKSWAN S.r.l.

62

Big Data Interoperability Framework,

pubblicato nel 2015- Volume 1, Definitions- Volume 2, Taxonomies- Volume 3, Use Cases and General Requirements- Volume 4, Security and Privacy- Volume 5, Architectures White Paper Survey- Volume 6, Reference Architecture- Volume 7, Standards Roadmap

Norme sui Big Data: NIST SP 1500

63

Eredita elementi da CSA Big Data Working Group Top 10 Challenges in Big Data Security and Privacy

11 casi d'uso per scenari nei settori: Retail / Marketing (3) Healthcare (3) Cybersecurity (1) Government (2) Aviation (1) Maritime transportation (1)

Norme sui Big Data: NIST SP 1500

64

Big data reference architecture

lavori iniziati nel 2016— Part 1: Framework and application process (ISO/IEC TR 20547-1)— Part 2: Use cases and derived requirements (ISO/IEC TR 20547-2)— Part 3: Reference architecture (ISO/IEC 20547-3)— Part 4: Security and privacy fabric (ISO/IEC 20547-4)— Part 5: Standards roadmap (ISO/IEC TR 20547-5)

Norme sui Big Data: ISO/IEC 20547

ISO/IEC JTC 1 SC 27 WG 4

65

Norme sui Big Data: ISO/IEC 20547-4 WD1• Structure of document• Big data security and privacy challenges

Overview

• Architecture, security, privacyBig data reference architecture security & privacy

• Roles & related activities for big data security and privacy• System orchestrator, data provider, data consumer, application

provider

Big data reference architecture user view

Big data reference architecture function view

Big data reference architecture fabric view

• Security & privacy issues, use cases, guidelines, security & privacy controls

Annexes

ISO/IEC 27001/2ISO/IEC 29100

ISO/IEC JTC 1/SC 27 SD16 Information security library (ISL) CSA Big Data Security &Privacy Handbook

66

Norme sui Big Data: ISO/IEC 20547-4 WD1D.2 Security controlsD.2.1 ConfidentialityD.2.2 AuthenticationD.2.3 System healthD.2.4 Device and application registrationD.2.5 Identity and access managementD.2.6 Data governanceD.2.7 Infrastructure managementD.2.8 Risk and accountability...D.2.10 Application layer identityD.2.11 Business risk model...D.2.19 Encryption and key managementD.2.20 End Point Input ValidationD.2.21 End user layer identity managementD.2.22 Forensics

D.3 Privacy controlsD.3.1 Data life cycle managementD.3.2 Privacy risk managementD.3.3 Identity managementD.3.4 User consent managementD.3.5 Compliance...D.3.9 Data anonymization, pseudonymizationD.3.10 Privacy preserving computationD.3.11 Data provenanceD.3.12 Privacy policy enhancementD.3.13 Consent management mechanism

67

Definendo i profili processionali per la sicurezza delle informazioni (ora UNI 11621-4:2016) "avanzava" il profilo del DPO ai sensi dell'allora proposta di regolamento europeo in materia di trattamento e protezione dei dati personali.

Coscienti dell'estensione non comprensiva del framework e-CF sulla materia si sono quindi coinvolte, oltre alla CT "Sicurezza Informatica" di UNINFO, anche: CT UNI "Sicurezza della società e del cittadino" CT UNI "Servizi"

Profili professionali per trattamento e protezione dei dati personali

68

Profili professionali per trattamento e protezione dei dati personali

e-CF Framework v. 3.0

Competenze informatiche / non informatiche

Elementi di creazione del GdL

e-Competence (40)

Conoscenze (m)

Aree e-Competence (5)

Competenze

Livelli (5)

Dim. 1

Dim. 2

Dim. 3

Dim. 4 Abilità (n) ConoscenzeAbilità

69

Profili professionali per trattamento e protezione dei dati personali

Top Management

AuditLinee di Business

Specialista Privacy

Manager Privacy

Esempio di organizzazione basata sui profili della norma

DPO

ValutatorePrivacy

70

• Figura professionale attualmente non regolamentata dalle leggi italiane.

• Non sarà designato secondo criteri vincolanti (PA, large scale of monitoring / special categories data)

• Molti Titolari lo nomineranno per sgravarsi di responsabilità

• Potrà essere un soggetto terzo

• Non esiste un Ordine Professionale specifico a garanzia della qualità delle attività svolte dal singolo professionista

• Sul mercato fioriscono attualmente corsi, master, percorsi e certificazioni in materia, che sono però slegate da ogni schema riconosciuto di certificazione del personale

• Vi saranno nomine a DPO per soggetti molto diversi tra loro per collocazione aziendale e competenze

Considerazioni sul DPO

71

Il WP 29 ha pubblicato in dicembre 2016 delle "Guidelines on Data Protection Officers" che entrano ulteriormente in dettaglio circa quanto esplicitato negli articoli precedenti, fornendo anche esempi di applicazione.

Per quanto riguarda le competenze del DPO, i punti cardine sono:1) The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes

2) DPOs should have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR

3) Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have sufficient understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.

Considerazioni sul DPO

72

Percorso di certificazione

Mantenimento e rinnovo

Valutazione delle competenze e certificazione delle competenze

Apprendimento informale (esperienza lavorativa)

Apprendimento non formale (formazione professionale)

Apprendimento formale (istruzione)

Requisiti m

inimi di accesso

73

• Art. 24 Responsabilità del titolare del trattamento, 3) L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

• Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, 3) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

• Art. 28 Responsabile del trattamento, 5) L'adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

• Art. 32 Sicurezza del trattamento, 3) L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

• ... ed è anche inclusa tra i criteri da valutare per determinare le sanzioni ...

Perchè una certificazione nel GDPR?

74

Quale mercato oggi

Label CNIL~ 30 certificazioniest. 2011, FranciaProdotti e servizi

ePrivacyseal~ 20 certificazioniest. 2011, GermaniaProdotti e servizi

Leader di un mercato ad oggi non maturo di "privacy seals"

Privacy Mark~ 20.000 certificazioniest. 1998, GiapponePMS

EuroPriSe~ 60 certificazioniest. 2008, GermaniaPMS

75

Possibili strade future

L'aspetto più interessante è che queste strade non sono esclusive tra loro ... potrebbero quindi crearsi scenari misti o che si sovrappongono nel tempo coesistendo e rendendo ancora più complessa l'adozione da parte del mercato.

1) Proliferazione di schemi proprietari / nazionali • ISDPC 10003:2015 di

Pharmasoft

2) Imposizione di uno schema centralizzato europeo • Comitato• Commissione

3) Adozione di uno schema internazionale • ISO/IEC 27552

76

Possibili strade future

ISO/IEC 27552Enhancement to

ISO/IEC 27001 for privacy

management

77

Contatti e ringraziamentiUNINFO

http://www.uninfo.it/uninfo@uninfo.it

Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837

Relatori:

Domenico SQUILLACE mimmo_squillace@it.ibm.com

Luciano QUARTARONEluciano.quartarone@bl4ckswan.com

Fabio GUASCONIfabio.guasconi@bl4ckswan.com

https://www.facebook.com/UNINFO.it

https://twitter.com/uninfo_it

http://www.slideshare.net/uninfoit