Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Smau Milano 2018 - CSIG Ivrea-Torino_2

88 views

Published on

IoT & IoX Cybersecurity: siamo pronti per il primo Hackmageddon?

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Smau Milano 2018 - CSIG Ivrea-Torino_2

  1. 1. Nuove e vecchie minacce tra DPbyD, misure di sicurezza e Data Breach Riccardo Abeti
  2. 2. SU DI ME: CHI È RICCARDO ABETI? Principali Skills ❑ Data Protection & Privacy ❑ E-commerce ❑ Reputation ❑ Company Criminal Responsibility (d.lgs. 231/2001, bribery Act, …) Competenze professionali ❑ Attività di docenza in corsi per Privacy Officer, Privacy Manager e Data Protection Officer (sia aziendali che open) ❑ Analisi di Modelli di Data Protection Governance ❑ Data inventory; redazione di Politiche, Linee guida e procedure sui temi della data protection ❑ Pareri sull’implementazione di misure previste da specifici Provvedimenti del Garante (Amminisratori di Sistema, Videosorveglianza) oppure di misure facoltative. ❑ Supporto in fase di progettazione dei trattamenti con particolare focus sulle start-up. Istruzione ❑ Laurea in Giurisprudenza - Università La Sapienza di Roma, ❑ Master in Strategie per la sicurezza aziendale – Università Statale di Milano. Nel corso dei 19 anni di carriera lavorativa ho maturato un’esperienza multidisciplinare sui temi della Security, della Privacy e della Governance. Partecipo come docente e come relatore a eventi e convegni di livello nazionale e internazionale. Sono autore di molte pubblicazioni e scrivo mensilmente (in italiano e in inglese) per magazine come Data Manager, ICT security, Tom’s Hardware, ILN Today, … . https://www.linkedin.com/in/riccardoabeti/ Esperienza Professionali Riccardo Abeti – Partner dello Studio legale EXP legal e Senior Legal Advisor
  3. 3. ATTRIBUZIONE – NON OPERE DERIVATE QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA Il Centro Studi di Informatica Giuridica di Ivrea-Torino (Csgig Ivrea Torino) è un’ associazione indipendente senza finalità di lucro interdisciplinare attiva dal 2005 (rivolta a giuristi, informatici, psicologi, professori, studenti, giornalisti, etc.) Mission: aggiornamento professionale, informazione, approfondimento dell’evoluzione dell’ICT e dell’innovazione e dell’impatto sui diritti, trasparenza on line e partecipazione Aderisce alla Coalizione per le competenze digitali promossa da Agid , ha un blog http://csigivreatorino.it ed un Comitato Scientifico di magistrati, professori e professionisti Ha partecipato alle consultazioni on line in materia di privacy, diritto di autore cyberbullismo, open data, crowdfunding, open data e trasparenza, videosorveglianza e droni, wi-fi e software libero, violenza on line e pari opportunità Csig di Ivrea-Torino
  4. 4. ATTRIBUZIONE – NON OPERE DERIVATE QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 4 _
  5. 5. ATTRIBUZIONE – NON OPERE DERIVATE QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 5 _wannacry_
  6. 6. ATTRIBUZIONE – NON OPERE DERIVATE QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 6 _wannacry_ 230.000 macchine 150 Paesi
  7. 7. ATTRIBUZIONE – NON OPERE DERIVATE QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 7 _wannacry_ 230.000 macchine 150 Paesi 8 miliardi di euro
  8. 8. ATTRIBUZIONE – NON OPERE DERIVATE QUESTA PRESENTAZIONE è STATA IDEATA E PREDISPOSTA DA RICCARDO ABETI 8
  9. 9. Intro Data Protection by Design Security measures Data breach
  10. 10. Intro alla crescita di reti sempre più trasversali e capillari (BAN, LAN, …) e alla diffusione delle tecnologie “senza fili” e dell’IoX è corrisposto l’incremento delle possibilità di attacco alle risorse legate all’ICT. Ne è risultato nuovo vigore anche per tecniche ormai desuete.
  11. 11. Cyber attacks Salami attack Dumpsters diving Piggybacking Bugging Tailgating Spam Scam
  12. 12. Cyber attacks Materiale riservato alla Community Oracle Security Nome Definizione Tipo di condotta Rilevanza giuridica Bugging L'intercettazione è l'atto mediante il quale un soggetto prende conoscenza di una conversazione o di una comunicazione riservata, relativa anche a sistemi informatici e telematici, intercorrente tra altri soggetti Intenzionale ● Dumpsters diving Attraverso questo tipo di attacco vengono scandagliati i luoghi dove, generalmente, veniva abbandonata la “spazzatura” (sia fisica che virtuale). Oggi questo comportamento torna di straordinaria attualità laddove si custodiscano, in remoto, le informazioni della propria attività. Intenzionale ● Piggybacking l’attività di un soggetto volta alla ricerca di una rete wireless al fine di utilizzare le risorse di connessione per navigare in rete gratis o svolgere altre attività (lecite o illecite) sfruttando una connessione altrui. Intenzionale ● Salami attack La ripetizione di una serie di attacchi alla sicurezza di un sistema per produrre un attacco di grandi dimensioni (tipico attacco di questo tipo è la distrazione di piccolissime somme da un numero ingente di transazioni o di conti bancari). Intenzionale ●
  13. 13. Cyber attacks Nome Definizione Tipo di condotta Rilevanza giuridica Scam indica un tentativo di truffa con i metodi dell'ingegneria sociale effettuato in genere inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare Intenzionale ● Spam l'invio di grandi quantità di messaggi indesiderati (generalmente commerciali). Può essere messo in atto attraverso uno qualunque dei media, ma il più usato è l’e- mail Intenzionale/ involontaria ● Tailgating La connessione di un utente ad un computer sfruttando la medesima sessione dell’utente legittimo ed acquisendo i suoi stessi diritti. Intenzionale ● Wardriving l’attività del soggetto (wardriver) che effettua una ricerca, fine a sé stessa, della presenza di reti wi-fi nell’area geografica d’interesse (ed eventualmente, per sapere se queste siano protette o meno) Intenzionale/ involontaria ●
  14. 14. Cyber attacks Alcuni comportamenti illeciti sorgono da situazioni spontanee e involontarie, altri necessitano di predeterminazione e possono essere adottati solamente dotandosi di specifici strumenti.
  15. 15. Cyber attacks ○ Possiamo creare due classificazioni di massima: ◦ la prima distingue tra condotte involontarie/inconsapevoli e condotte intenzionali ◦ La seconda distingue tra condotte che necessitano di preparazione e condotte che sorgono in maniera estemporanea
  16. 16. Cyber attacks - wardriving; - bugging; - salami attack; - piggybacking; - tailgating; - spam; - … - wardriving; - bugging; - salami attack; - piggybacking; - tailgating; - spam; - … - wardriving; - spam; - … - wardriving; - tailgating; - spam; - … Involontaria o inconsapevole SistematicaOccasionale intenzionale Tipo di condotta
  17. 17. Impatto legale ○ Le tipologie di attacco cui si è accennato trovano regolamentazione nel nostro sistema normativo. ○ Ma mentre alcune minacce sono univocamente riconducibili ad una figura di reato, per altre la condotta può avere un ventaglio di modalità tale da porsi in una situazione border line.
  18. 18. Impatto legale ○ Bugging (intercettazioni): in Italia le intercettazioni costituiscono uno strumento d’indagine fortemente regolamentato, ciò malgrado, spesso ne viene fatto un uso eccessivo e, dalle trascrizioni non vengono rimosse le parti non pertinenti alle indagini per cui sono state disposte. ○ le intercettazioni possono essere effettuate, dai soggetti più diversi: Polizia Giudiziaria, investigatori privati, privati cittadini, … ○ Per perseguire gli scopi più diversificati: ◦attività d’indagine; ◦spionaggio industriale; ◦accertamento dell’infedeltà coniugale; ◦… Nel recente fatto di cronaca avvenuto a Torino, il padre che ha intercettato gli SMS del figlio potrà essere perseguito per il reato di cui all’art 617 bis c.p. (Installazione di apparecchiature atte ad intercettare od impedire comunicazioni o conversazioni telegrafiche o telefoniche)
  19. 19. Impatto legale ○ Wadriving: per questo tipo di minaccia l’impatto deve essere valutato in concreto, caso per caso Spesso gli autori del reato sono mossi da motivazioni molto diverse tra loro … … analogamente trovano la loro regolamentazione in fattispecie molto eterogenee;
  20. 20. Impatto legale l’attività di spam è perseguita in virtù dell’illecito trattamento di dati personali. Tuttavia può darsi che l’attività dello spammer sia “prodromica” ad un’attività ulteriore per cui potrà verificarsi l’integrazione di fattispecie più gravi ovvero il concorso di più reati.
  21. 21. #GDPR Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
  22. 22. #GDPR Articolo 32 Sicurezza del trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
  23. 23. 23
  24. 24. #Dataprotection: Quanto può costare ad un’azienda italiana ogni ‘furto’ di dati? #Istituto Superiore di Sanità #GDPR #NIS #Pasquale Tarallo #Marco Vecchietti In media 2,6 milioni di euro, e circa 119 euro per record di dati perso o rubato. E le violazioni sanitarie sono le più onerose: l’healthcare risulta a livello mondiale il settore d’industria più costoso, con 380 dollari per ogni record violato, oltre 2,5 volte la media globale di tutti i comparti. E’ quanto emerge dal rapporto ‘2017 Cost of Data Breach’ di IBMSecurity e Ponemon Institute “Fra il 2014 e il 2016 le aziende sanitarie sono balzate al primo posto come realtà prese di mira dai cyber-attacchi perché il dato sanitario è appetibile, anche a lungo termine”. Il furto del numero di una carta di credito si usa una sola volta, perché ormai tutti hanno alert attivi, mentre con i dati sanitari è diverso, essere un’altra persona è estremamente utile per una serie di attività illecite“. Uno dei problemi che si evidenziano sempre di più a livello cyber sicurezza in sanità è quella della gestione delle utenze e del loro ciclo di vita: negli ospedali vi è un turnover molto intenso, si passa da un reparto all’altro, e altrettanto spesso i privilegi di un’area si utilizzando anche in altre situazioni. The average cost for each lost or stolen record containing sensitive and confidential information increased from €112 in 2016 to €119 in 2017. The average total cost of data breach increased over the past year from €2.35 million to €2.60 million. To date, 134 Italian companies have participated in the study over the past six years.
  25. 25. #GDPR Articolo 4, par. 1, n. 12 «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;
  26. 26. #GDPR Articolo 33 Notifica di una violazione dei dati personali all'autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  27. 27. Conclusioni Quotidianamente in azienda si verificano comportamenti o si subiscono attività che hanno o potrebbero avere rilevanza giuridica. Una parte di questi è inconsapevole ma la maggior parte è, invece, deliberata e talvolta rivolta a portare un beneficio all’attività societaria. Attraverso l’incremento della consapevolezza del personale (awareness) si possono scoraggiare o evitare: - l’adozione di comportamenti che possano favorire la fuga di notizie; - lo sviluppo di strategie commerciali illegali; - … E prevenire quelle minacce che pur non essendo eclatanti producono conseguenze di varia natura e raramente subiscono sistematiche azioni di contrasto
  28. 28. Grazie per l’attenzione! Riccardo Abeti riccardo.abeti@gmail.com 3477763438
  29. 29. ○ Backup 29
  30. 30. 30Direttiva 1148/2018
  31. 31. 31Direttiva 1148/2018 OSE → Operatori di Servizi Essenziali FSD → Fornitori di Servizi Digitali
  32. 32. 32Direttiva 1148/2018 OSE → Operatori di Servizi Essenziali FSD → Fornitori di Servizi Digitali ❑ Sono chiamati ad adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi e a prevenire e minimizzare l’impatto degli incidenti a carico della sicurezza delle reti e dei sistemi informativi, al fine di assicurare la continuità del servizio; ❑ Hanno l’obbligo di notificare, senza ingiustificato ritardo, gli incidenti che hanno un impatto rilevante, rispettivamente sulla continuità e sulla fornitura del servizio al CSIRT italiano, informancone anche l’Autorità competente NIS, di riferimento
  33. 33. 33

×