Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

2011 aiic + scada security x oracle security comunity

611 views

Published on

This presentation is for Oracle Security Comunity, presented in Feb. 2011 at Oracle meeting in Milano.
I speak about AIIC (Associazione Italiana Esperti in Infrastrutture Critiche), About CIP and ECI (Critical Infrastruture Protection) and European Critical Infrastructure. SCADA Protection and related strategies

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

2011 aiic + scada security x oracle security comunity

  1. 1. AIIC: Associazione Italiana Esperti in Infrastrutture Critiche, le IC e le ICEe la Protezione da rischi informatici di Reti e Sistemi di Telecontrollo e Controllo di impianti ed infrastrutture<br />Enzo M. Tieghi – Consigliere di AIIC<br />etieghi@servitecno.it<br />1 Febbraio 2011 - Oracle Security Comunity<br />
  2. 2. Chi siamo: Associazione Italiana esperti in Infrastrutture Critiche<br /> Via del Politecnico,1 - 00133 Roma<br /> http://www.infrastrutturecritiche.it<br /> info@infrastrutturecritiche.it<br />
  3. 3. IC: Infrastrutture Critiche, cosa sono?<br />«per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessereeconomico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».<br />
  4. 4. AIICè un’associazione, senza fine di lucro, che nasce nel luglio del 2006 per costruire e sostenere una cultura interdisciplinare per lo sviluppo di:<br /><ul><li> Strategie
  5. 5. Metodologie
  6. 6. Tecnologie
  7. 7. Consapevolezza</li></ul>in grado di gestire correttamente le infrastrutture con una particolare attenzione alle situazioni di crisi<br />
  8. 8. Il primo risultato dello “sforzo congiunto” :GdL alla Presidenza del Consiglio dei Ministri<br />È il primo testo italiano ad avere avuto come obiettivo quello di delineare l’argomento, evidenziando gli aspetti di maggiore interesse e criticità per il sistema Paese<br />
  9. 9. Alcuni dei risultati prodotti dal Gruppo di Lavoro dell’ ISCOM<br />
  10. 10. Associazione Italiana esperti in Infrastrutture Critiche<br /> Via del Politecnico,1 - 00133 Roma<br /> http://www.infrastrutturecritiche.it<br /> info@infrastrutturecritiche.it<br />
  11. 11. La rivista: Safety & Security<br />Organo ufficiale dell’AIIC<br />Contiene articoli tecnici e divulgativi sul tema delle Infrastrutture Critiche trattati da esperti dei vari settori industriali<br />Tirato in 8.000 copie è diffuso tra i principali operatori del settore<br />[…] uno scenario aggiornato del contesto competitivo del settore della sicurezza fisica e della sicurezza logica in Italia […]<br />
  12. 12. Newsletter AIIC<br />Newsletter che raccoglie gli eventi del mese<br /><ul><li>Iniziative in ambito europeo e nazionale
  13. 13. Bandi
  14. 14. Incontri
  15. 15. Attività dell’AIIC</li></li></ul><li>Sito: www.infrastrutturecritiche.it<br /><ul><li>Sezione dedicata alla normativa europea
  16. 16. Sezione dedicata ai documenti istituzionali prodotti dai diversi governi (US, UK, ecc.)
  17. 17. Versione in formato elettronico dei principali articoli apparsi sulla rivista Safety&Security
  18. 18. Newsletter elettronica a cadenza mensile</li></ul>www.infrastrutturecritiche.it<br />
  19. 19. Il tema del momento ECI (o ICE)<br />Oggi si discute di EPCIP - (Dir. 2008/114/CE)<br />EuropeanProgrammeforCriticalInfrastructureProtection<br /><ul><li>Qual è l’obiettivo?
  20. 20. Quale l’impatto nazionale?
  21. 21. Quale l’impatto sui singoli owners?
  22. 22. È immaginabile una prospettiva di analisi per la standardizzazione?
  23. 23. Qual è il ruolo degli esperti?
  24. 24. È possibile immaginare uno standard skill?</li></li></ul><li>IC: Infrastrutture Critiche, cosa sono?<br />«per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessereeconomico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».<br />
  25. 25. ICE: Infrastrutture Critiche, cosa sono?<br />Critical Sectors in EU - 2006<br />
  26. 26. Cosa ha fatto e cosa sta facendo AIIC<br />Analisi dell’impatto della proposta di direttiva<br />Consultazione sui possibili effetti dell’implementazione della direttiva<br />Cross-analysis sulle esperienze globali (analisi comparata dei sistemi CIP) <br />Consultazione con Istituzioni per uk recepimento/Attuazione in Italia della direttiva 2008/114/CE<br />La AIIC è stata coinvolta nel processo di approvazione della Direttiva Europea sulla Protezione delle Infrastrutture Critiche ed è presente, direttamente o con i suoi soci, nei principali tavoli nazionali e internazionali che si occupano della tematica<br />
  27. 27. Alcune immagini<br />15<br />
  28. 28. AIIC – Consiglio Direttivo (2011-13) :<br />Presidente: Sandro Bologna (ricercatore) <br />Vicepresidenti: Bruno Carbone (Enav), Silvio Fantin (GSE), Segretario: Roberto Setola (Univ. Roma Campus Biomedico) <br />Tesoriere Guido Pagani (Banca d’Italia)<br />Consiglieri: <br />Emiliano Casalicchio (Univ. Roma Tor Vergata), <br />Gregorio D’Agostino (Enea), <br />Dario de Marchi (Acquirente Unico), <br />Luisa Franchina (Pres.Cons.deiMinistri Dip. Protez. Civile), <br />Stefano Panzieri (Università Roma Tre), <br />Andrea Rigoni (Poste ItGC-SEC Global Cyber Security Center)<br />Enzo Maria Tieghi (ServiTecno)<br />
  29. 29. AIIC Associazione Italiana esperti in Infrastrutture Critiche<br />Per Associarsi: <br /> http://www.infrastrutturecritiche.it<br /> info@infrastrutturecritiche.it<br />
  30. 30. Enzo Maria Tieghi, socio AIIC, Socio CLUSIT<br />Gestire e proteggere da rischi informatici reti e sistemi di Supervisione, Controllo, Monitoraggio e Telecontrollo di impianti nelle infrastrutture e nelle utility<br />
  31. 31. Enzo Maria Tieghi<br />Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale)<br />Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)<br />In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) <br />Co-autore ed autore pubblicazioni, articoli e memorie<br />19<br />
  32. 32. Enzo Maria Tieghi<br />Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale)<br />Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member)<br />In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) <br />Co-autore ed autore pubblicazioni, articoli e memorie<br />20<br />
  33. 33. Security e sistemi (secondo ISA95)<br />Level 4<br />Business Logistics<br />Plant Production Scheduling, Shipping, <br />Receiving, Inventory, etc<br />IT Security Policies and Practices<br />(ISO 27000- 20000<br />Level 3<br />Common technologies, policies and practices<br />Manufacturing<br />Operations Management<br />Dispatching, Detailed Production<br />Scheduling, Production Tracking, ...<br />Mfg Security Policies<br />and Practices<br />(ISA 99)<br />Level 2<br />Batch<br />Production<br />Control<br />Discrete<br />Production<br />Control<br />Continuous<br />Production<br />Control<br />Process Safety<br />(ISA 84, <br />IEC 61508, <br />IEC 61511)<br />Level 1<br />The production processes<br />Level 0<br />
  34. 34. SCADA, Retidiimpianto & IT<br />
  35. 35. Incidenti del passato (+ altri recenti… )<br />Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni ‘80 sino a casi decisamente recenti.<br />
  36. 36. Whatcom Falls Park<br />“About 3:28 p.m., Pacific daylight time, on June 10, 1999, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that flowed through Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18-year-old young man died as a result of the accident. Eight additional injuries were documented. A single-family residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million.”<br />
  37. 37.
  38. 38. Technical details<br />“The Olympic Pipeline SCADA system consisted of Teledyne Brown Engineering20 SCADA Vector software, version 3.6.1., running on two Digital Equipment Corporation (DEC) VAX Model 4000-300 computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package.”<br />
  39. 39.
  40. 40.
  41. 41.
  42. 42. Corriere della Sera 21.10.2009<br />
  43. 43. … e Stuxnet? (2010)<br />
  44. 44. Reti Cablate e Reti Wireless<br />
  45. 45. Il wireless arriva in fabbrica<br />Smart Wireless<br />Smart Control <br />Systems<br />Smart Analytical<br />Smart AssetOptimization<br />Smart Measurement<br />Smart FinalControl<br />Smart MachineryHealth<br />Smart Safety<br />33<br />
  46. 46. Ergonomia<br />http://www.metroland.org.uk/signal/amer01.jpg<br />Eravamo abituati a…<br />
  47. 47. Ergonomia<br />Oralavoriamo<br />In mododiverso.<br />http://www.ihcsystems.com/section_n/images/efficientdredgingnewsapril2005_Page_09_Image_0002.jpg<br />
  48. 48. Operatori, SCADA e Daltonismo<br />N.B. nel mondo occidentale, 1 uomo su 12 (8%)<br />
  49. 49. Enzo Maria Tieghi etieghi@servitecno.it<br />

×