27 Ottobre 2021 Digital Security Festival

2. https://www.itclubfvg.org

3. LUCA
MORONI
Sono un coach di Cybersecurity e IT governance indipendente. Focalizzato sulla resilienza Cyber dal 2000, ha fondato nel
2008 Via Virtuosa. Su questi temi, ha tenuto seminari in Italia e all’estero. Ha pubblicato alcuni White Paper sulla
Cybersecurity e IT Governance. Si è laureato in Informatica a Milano nel 1989. È certificato CISA, ISO27001 ISA/IEC 62443 e
ITIL V3 e ha altre certificazioni tecnologiche. Socio fondatore dell'IT Club FVG e co-fondatore del network Cyber Security
Angels (CSA).

4. IoT = Internet delle cose da
ransomware

5. https://assodel.it/internet-of-things-un-mercato-da-1-567-mld-di-dollari/
Fra 4 anni
+ 85%
Quanti
sono
gli IoT

6. Cosa
sono
gli IoT
1,76 Euro… Ma sarà sicuro?

7. In tutto quello che usiamo c'è ormai tecnologia. Inizia con Smart la
definizione (SmatTv, SmartFrigo, SmartBox, SamrtMeter, SmartCar). Ma la
parola significa Intelligente per la nostra vita ma poi non è così.
L'immagine di un vampiro di dati o uno robottino carino ma fuori controllo
o il riscaldamento "a palla" a 40° in estate non è una fantasia. Capiremo
anche la deriva di questo in azienda con gli impianti sempre più Smart
nell’Industry 4.0. Rischiamo di ritrovarci fabbriche fuori controllo perché
totalmente vulnerabili. L'impossibilità di discutere con un braccio
robotizzato che è un pericolo la nostra incolumità è quella S che manca.
Nell’ IoT manca la Sicurezza

8. Il titolare del trattamento tenuto conto
 dello stato dell’arte e dei costi di attuazione
 della natura, dell’ambito di applicazione,
 del contesto e delle finalità del trattamento
 dei rischi aventi gravità diverse
deve applicare misure tecniche e organizzative adeguate per prevedere fin dall’inizio le
garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli
interessati.
LA PROFILAZIONE E’ GENERALMENTE VIETATA E PER TUTTI I DATI ES. GENETICI,
BIOMETRICI O DI ORIENTAMENTO DI PENSIERO SERVE UNO SPECIFICO CONSENSO
La privacy by design

9. La profilazione

10. SMART TV
Per profilazione dell'utente si intende correntemente l'insieme
di attività di raccolta ed elaborazione dei dati inerenti
agli utenti di servizi (pubblici o privati, richiesti o forzosi) per
suddividere l'utenza in gruppi di comportamento.
In ambito commerciale, la profilazione dell'utente è uno
strumento del cosiddetto marketing mirato, che fa ampio uso di
questa e altre tecniche per ottenere accurate analisi dei
potenziali clienti, operando spesso al limite del legalmente
consentito, quando non oltre.
https://it.wikipedia.org/wiki/Profilazione_dell%27utente

11. Solitamente, tra i dati che il televisore raccoglie ci sono:
 la cronologia di navigazione web;
 gli acquisti di prodotti;
 la cronologia delle ricerche;
 i dati delle transazioni con carta di credito.
I dati raccolti vengono poi usati a fini marketing per tenere traccia delle abitudini di
visualizzazione e fornire pubblicità sempre più personalizzate.
Leggere con attenzione i termini della privacy policy della propria Smart TV. Lo
avete fatto?
Quali dati raccoglie la Smart TV

12. Le televisioni smart in quanto connesse a internet sono ovviamente attaccabili
esattamente come un PC, i malintenzionati ad oggi puntano a rubare le credenziali
di accesso alle piattaforme di intrattenimento come Netflix per poi rivenderle. Ma
domani….
Provate a vedere se in negozio
trovate ancora un televisore
non smart?
RISCHI per la Smart TV

13. L’IoT ha dei problemi

14. 1. Password deboli facili da indovinare o scritte nel
software
2. Servizi di rete non sicuri
3. Interfacce di comunicazione insicure
4. Mancanza di un aggiornamento sicuro
5. Utilizzo di componenti non sicuri o obsoleti
6. Protezione della privacy insufficiente
7. Trasferimento e archiviazione dati non sicuri
8. Mancanza di gestione dei dispositivi
9. Impostazioni predefinite non sicure
10.Mancanza di una sicurezza fisica
Nell’ IoT manca la S
Nel 2025 si saranno duplicati!!

15. L’IoT nella nostra vita reale
Elencare i dispositivi e identificare la criticità. Quelli che se
compromessi ne va della nostra vita sono MOLTO CRITICI, poi
i CRITICI e i DANNOSI. Ecco una lista non esaustiva:
• SMART CAR
• SENSORI MEDICI SMART
• PRESE INTELLIGENTI
• Termostati WiFi e valvole termostatiche
• Telecamere di sorveglianza IP e sistemi di sicurezza
smart, fotocamera wireless smart per il campanello
di casa, Serrature SMART
• Contatori Smart
• Interruttori WiFi
• LAMPADINE SMART
• Condizionatori e telecomandi universali IR
• Servizi di streaming, TV box e smart TV
• Robot aspirapolvere e lavapavimenti
• Musica: speaker, casse e app compatibili
• Aria e diffusori di aromi
• Game Box
https://design.pambianconews.com/cresce-il-
mercato-delle-smart-home-530-mln-nel-
2019-40/

16. Se fai fare delle azioni è un rischio. Se ricevi
solo informazioni il rischio è minore
Il «telecomando» è più sicuro se non è collegato ad internet.
Dividerei i dispositivi a casa sulla base della criticità. Quelli
che se compromessi ne va della nostra vita sono MOLTO
CRITICI, poi i CRITICI e i DANNOSI e su questi adottare
della attenzioni diverse
Eccone uno MOOOOOOLTO CRITICO
INTERNET
NAVIGAZIONE
SOCIAL
HOME BANKING

17. L’IoT ha dei problemi ma i produttori devono
ancora imparare e la S non è OBBLIGATORIA
Perché
manca
la S?
Internet of Things Security Companion to the CIS Critical Security Controls (Version 6)

18. Assistenti Digitali
I SUGGERIMENTI DEL GARANTE
1. Informati sempre su come vengono trattati i tuoi
dati
2. Non dire troppe cose al tuo smart assistant
3. Disattiva l’assistente digitale quando non lo usi
4. Decidi quali funzioni mantenere attive
5. Cancella periodicamente la cronologia delle
informazioni
6. Attenzione alla sicurezza
7. Se dai via il tuo smart assistant non dare via i tuoi
dati
https://www.garanteprivacy.it/web/guest/home/
docweb/-/docweb-display/docweb/9696995

19. Ma che rischio corro?
Un esempio le Smart CAM
REPORT RAI Voglio piangere - 22/05/2017
https://www.raiplay.it/video/2017/05/Voglio-piangere-440a7d43-f04f-4eb0-b044-e070002b5764.html

20. Ma che rischio corro?
Un esempio le Smart CAM

21. Ma che rischio corro a casa?

22. Il movimento
laterale.
Parto da casa del
dipendente per
arrivare
all’azienda

23. Da dove imparo?
Guardando gli incidenti
nelle aziende

24. Macchina connessa
Monitorando gli spostamenti è
possibile risalire ad una serie di
fondamentali (ed utili) indicazioni
sulla vita privata dei soggetti: come
guidano, quanto carburante
consumano, ma anche quali sono i
posti che frequentano più
ricorrentemente, quali sono i
momenti ricreativi che prediligono,
dove fanno la spesa, quali cibi
amano mangiare.

25. Alcuni
suggerimenti a
casa
1. Installare sempre gli aggiornamenti del firmware rilasciati dai singoli
produttori (ove possibile valutate se l’azienda si preoccupa di fornire nuovi
aggiornamenti).
2. Verificare quali applicazioni vengono installate nella smart device evitando
di caricare quelle realizzate da fonti potenzialmente inaffidabili
3. Non installare gli smart device sulla WiFi principale ma possibilmente su
una WiFi "guest"
4. Collegandosi con un dispositivo mobile alla WiFi usata dallo smart device,
è consigliabile verificare quali porte risultano aperte in ingresso, anche per
capire quali componenti server risultano in esecuzione. Il fatto che sullo
smart device vi siano più porte aperte non è un problema perché il
software installato sul device deve tipicamente poter gestire le richieste di
connessione in ingresso da parte di altri dispositivi collegati alla LAN (ad
esempio l'invio di un contenuto video in streaming alla Smart TV).
5. Personalizzare le impostazioni di sicurezza predefinite disattivando
possibilmente gli eventuali microfoni e telecamere presenti
6. Non navigare con il browser del device o astenersi dal cliccare su link
sconosciuti o dubbi nel browser del device smart
7. Ricordarsi che non è semplicemente fattibile eseguire attività di
remediation

26. Con la sigla OT (in qualche modo in contrapposizione con la sigla IT) si
identifica quell’insieme di tecnologie, software e hardware, direttamente
connesse con la produzione, il trasporto e la trasformazione di beni.
Il trend Industry 4.0 ha accelerato la necessità di scambio dati tra gli
impianti industriali e il resto delle infrastrutture IT aziendali
OT Security o IIOT

27. Anche l’IIoT ha dei problemi

28. Spesso l’anello più debole (per la sicurezza informatica)
sono le componenti dell’ambito “fabbrica”:
Non sono state pensate per essere utilizzate in ambienti
potenzialmente “ostili” e “inaffidabili” (p. es. Internet)
Il loro design è mirato a garantirne l’affidabilità nel
processo produttivo
Difficilmente integrano – almeno di default – meccanismi
che garantiscano la segretezza delle comunicazioni
configurazioni “di default”
Anche nell’ IIoT manca la Sicurezza

29. L'acquedotto del Comune di un comune di
4700 abitanti rientra nella categoria operatori
dei servizi essenziali (ose) perché fornisce
attività che garantiscono i servizi
indispensabili per la vita quotidiana di
cittadini e imprese.
Coordinate Geografiche del sito, lista fornitori
dei sistemi di controllo e telecontrollo
HMI/SCADA sono online, così come le
turnazioni di sicurezza fisica.
Il problema è il Software di controllo
che non pensato per internet

30. https://www.shodan.io/
Shodan – Il Google per l’IIOT InSecurity

31. Alcuni suggerimenti di cybersecurity
nell’IIOT in azienda o se fate prodotti IOT
1. Creare la consapevolezza
2. L’autovalutazione
3. Eseguire i test sul campo
4. Continuo controllo delle vulnerabilità nell’ IIOT
5. Una Linea Guida per la cybersecurity nell’ IIOT
6. Definire i requisiti di cybersecurity prima dell’acquisto
MA PRIMA DI TUTTO
SEGREGARE LE
RETI COME LE
PARATIE DI UNA
NAVE
https://www.enisa.europa.eu/pub
lications/good-practices-for-
security-of-iot

32. Alcuni suggerimenti di cybersecurity
nell’IIOT in azienda
QUADERNO ISACA VENICE SULLE
INFRASTRUTTURE CRITICHE
Il capitolo di Venezia di ISACA ha pubblicato nel 2014 il Quaderno n. 5, intitolato
“Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori
Critici del Nord Est”, Sono stato il curatore e coordinatore.
Il lavoro presenta lo scenario generale sulla protezione dei settori critici, esempi
pratici e anche uno strumento pratico per l’autovalutazione che può essere utile a
tutte le organizzazioni che operano nei settori critici, piccole e grandi. Questo è
particolarmente importante per il territorio di riferimento del capitolo, il Nord Est,
terra tradizionalmente dove il tessuto economico è costituito da imprese medie e
piccole.
https://www.viavirtuosa.com/publications

33. Ma il vero rischio IoT sono le……

34. #penetrationzen
Cinque anni fa ho coniato l’Hashtag “#penetrationzen”
La pratica dello zen ci insegna a focalizzarci sull'arte
della difesa, per essere pronti ad affrontare la minaccia.
Il penetration zen è un approccio tattico che parte dalla
Cyber Security andando verso l’IT Governance con la
consapevolezza che oggi l’incidente cyber è un rischio
di business e di vita digitale ed è sempre più frequente
perché la componente digitale è parte del DNA
dell’azienda e della nostra vita.

35. https://www.itclubfvg.org