Nel 2013 STET S.p.A. ha intrapreso un percorso per verificare lo stato dei propri sistemi in termini di sicurezza informatica, mediante un’analisi approfondita che ne evidenziasse le criticità.
Il giorno 10 ottobre 2014, dalle ore 9.30 alle ore 14:00, presso l’Aula Kessler dell’Università di Trento in Via Verdi 26, si è tenuto un meeting dal titolo “Sicurezza Cibernetica Nazionale: consapevolezza e autovalutazione” organizzato da ISACA Venice, associazione internazionale di professionisti nell’ambito della governance IT.
Durante l’evento è stato presentato un “quaderno” prodotto da ISACA Venice riportante un’indagine ed una panoramica degli strumenti di autovalutazione in materia di sicurezza informatica e tra i testimonial vi è stato anche l’on. Stefano Quintarelli, Presidente del Comitato d’Indirizzo dell’Agenzia per l’Italia Digitale.
Con l’occasione sono stati anche illustrati alcuni case study su realtà che hanno intrapreso un percorso di efficientamento della propria sicurezza IT, tra i quali anche quello di STET.
La sicurezza informatica degli impianti industriali - Case study "STET"Tiziano Sartori
Nel 2013 STET S.p.A. ha intrapreso un percorso per verificare lo stato dei propri sistemi in termini di sicurezza informatica, mediante un’analisi approfondita che ne evidenziasse le criticità.
Il giorno 20 novembre 2014, dalle ore 17.30 alle ore 19:30, presso la sede di Confindustria Udine, si è tenuto un meeting dal titolo “La sicurezza informatica degli impianti industriali”.
Con l’occasione è stato illustrato il case study di STET, la quale ha intrapreso un percorso di efficientamento della propria sicurezza IT.
Sicurezza delle comunicazione nei sistemi di controllo (Mauro G. Todeschini)Sardegna Ricerche
La presentazione di Mauro G. Todeschini dal titolo "Sicurezza delle comunicazione nei sistemi di controllo", realizzato durante l’evento “La Cybersecurity nelle Smart Grid”. L’evento è stato organizzato dalla Piattaforma Energie rinnovabili per parlare di sicurezza informatica nelle reti energetiche.
L’evento si inserisce nelle attività di divulgazione del Progetto Complesso "Reti Intelligenti per la gestione efficiente dell'energia", sviluppato nell'attuale programmazione comunitaria POR FESR Sardegna 2014-2020.
In questa presentazione spieghiamo i vantaggi di un'infrastruttura di rete via satellite applicata alla comunicazione dati m2m per il monitoraggio remoto di macchinari ed attrezzature. Per maggiori informazioni www.intellisystem.it Relatore Ing. Cristian Randieri
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
I Sistemi “Gestionali” e la Sicurezza delle Informazioni. Sistemi di Supervisione e Controllo Impianti. Presentazione a cura dell'Ing. Franco Tessarollo
La cybersecurity nel telecontrollo delle reti idricheServizi a rete
Webinar 14 aprile 2021
Per ogni gestore è oggi imprescindibile ricorrere alla telegestione e al telecontrollo per una gestione efficiente delle proprie infrastrutture. Ciascuna utility opera, infatti, sui diversi impianti attraverso una connessione internet per gestire efficientemente i propri asset anche da remoto. Ma quali sono i rischi a cui l’infrastruttura viene esposta? In quanti modi è possibile subire un attacco digitale? È qui che entra in gioco l’importanza della cyber security.
La sicurezza informatica degli impianti industriali - Case study "STET"Tiziano Sartori
Nel 2013 STET S.p.A. ha intrapreso un percorso per verificare lo stato dei propri sistemi in termini di sicurezza informatica, mediante un’analisi approfondita che ne evidenziasse le criticità.
Il giorno 20 novembre 2014, dalle ore 17.30 alle ore 19:30, presso la sede di Confindustria Udine, si è tenuto un meeting dal titolo “La sicurezza informatica degli impianti industriali”.
Con l’occasione è stato illustrato il case study di STET, la quale ha intrapreso un percorso di efficientamento della propria sicurezza IT.
Sicurezza delle comunicazione nei sistemi di controllo (Mauro G. Todeschini)Sardegna Ricerche
La presentazione di Mauro G. Todeschini dal titolo "Sicurezza delle comunicazione nei sistemi di controllo", realizzato durante l’evento “La Cybersecurity nelle Smart Grid”. L’evento è stato organizzato dalla Piattaforma Energie rinnovabili per parlare di sicurezza informatica nelle reti energetiche.
L’evento si inserisce nelle attività di divulgazione del Progetto Complesso "Reti Intelligenti per la gestione efficiente dell'energia", sviluppato nell'attuale programmazione comunitaria POR FESR Sardegna 2014-2020.
In questa presentazione spieghiamo i vantaggi di un'infrastruttura di rete via satellite applicata alla comunicazione dati m2m per il monitoraggio remoto di macchinari ed attrezzature. Per maggiori informazioni www.intellisystem.it Relatore Ing. Cristian Randieri
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
I Sistemi “Gestionali” e la Sicurezza delle Informazioni. Sistemi di Supervisione e Controllo Impianti. Presentazione a cura dell'Ing. Franco Tessarollo
La cybersecurity nel telecontrollo delle reti idricheServizi a rete
Webinar 14 aprile 2021
Per ogni gestore è oggi imprescindibile ricorrere alla telegestione e al telecontrollo per una gestione efficiente delle proprie infrastrutture. Ciascuna utility opera, infatti, sui diversi impianti attraverso una connessione internet per gestire efficientemente i propri asset anche da remoto. Ma quali sono i rischi a cui l’infrastruttura viene esposta? In quanti modi è possibile subire un attacco digitale? È qui che entra in gioco l’importanza della cyber security.
Presentazione Scenario Normative Internazionali tratta dal seminario HELPING YOU BUILD A BETTER NETWORKS conclusosi con l\'ultima tappa di Lisbona in Portogallo
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...Sardegna Ricerche
Presentazione a cura di Gianluca Fadda del progetto Virtualenergy - Tecnologie per il controllo a distanza dei carichi elettrici e la gestione di Virtual Power Plant.
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...Sardegna Ricerche
Lo stato di avanzamento del terzo semestre relativo al progetto VIRTUALENERGY - - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'ottimizzazione di un Virtual Power Plant.
148 La comunicazione via satellite per la business continuity ed il disaster ...Cristian Randieri PhD
E’ ormai un dato di fatto che le moderne applicazioni IT non possono più prescindere dalla rete mediante la quale sono garantiti i collegamenti a sedi remote, i software gestionali centralizzati, la posta elettronica, le operazioni bancarie, le applicazioni CLOUD, i sistemi IoT, e così via.
Misure minime di sicurezza informatica per le PAAmmLibera AL
Pubblicato da AgID il documento che contiene le indicazioni ufficiali per valutare e innalzare il livello di sicurezza informatica delle PA.
Al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica, AgID ha predisposto un documento che contiene l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”.
Le misure minime di sicurezza informatica prevedono tre diversi livelli di attuazione e costituiscono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione.
L’obiettivo del documento - emanato in forma autonoma da AgID e dal CERT-PA in attesa della futura pubblicazione in Gazzetta Ufficiale - è quello di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di progressiva verifica e adeguamento in termini di sicurezza informatica.
Le misure minime per la sicurezza informatica sono emesse come previsto dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni relative alla sicurezza informatica nazionale e assegna all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni.
Il web service e i sistemi embedded - Tesi - cap2pma77
Nel capitolo secondo capitolo della tesi " SVILUPPO E IMPLEMENTAZIONE SU MICROCONTROLLORE DI UN’APPLICAZIONE WEB SERVER PER IL CONTROLLO DI UN SISTEMA EMBEDDED"sono presentati diversi prodotti commerciali impieganti Web Service , in modo particolare dispositivi di tipo embedded. Viene discusso, inoltre, su come le tecnologie Web entrino nel mondo industriale e della domotica e si pone l’attenzione sui fattori che impediscono il pieno sviluppo in questi ambiti. Infine vengono proposti diversi articoli che affrontano tematiche simili a quelle della tesi.
BACnet, il protocollo di comunicazione per la building automation. Articolo scritto da Salvatore Cataldi sulla rivista Safety&Security. Sito web di ESAC srl (Torino): http://www.esacsrl.com
Soluzione cyber sicura per il telecontrollo in AdFServizi a rete
Servizi a Rete TOUR 2022 | Presentazione di Francesco Tenuta - Business Process Improvement, AdF e Giovanni Mugnolo - General Manager Italia, Lacroix Sofrel
Presentazione Scenario Normative Internazionali tratta dal seminario HELPING YOU BUILD A BETTER NETWORKS conclusosi con l\'ultima tappa di Lisbona in Portogallo
VIRTUALENERGY - Tecnologie per il controllo a distanza dei carichi elettrici ...Sardegna Ricerche
Presentazione a cura di Gianluca Fadda del progetto Virtualenergy - Tecnologie per il controllo a distanza dei carichi elettrici e la gestione di Virtual Power Plant.
VIRTUALENERGY - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'...Sardegna Ricerche
Lo stato di avanzamento del terzo semestre relativo al progetto VIRTUALENERGY - - Sviluppo di sistemi per l'aggregazione, il coordinamento e l'ottimizzazione di un Virtual Power Plant.
148 La comunicazione via satellite per la business continuity ed il disaster ...Cristian Randieri PhD
E’ ormai un dato di fatto che le moderne applicazioni IT non possono più prescindere dalla rete mediante la quale sono garantiti i collegamenti a sedi remote, i software gestionali centralizzati, la posta elettronica, le operazioni bancarie, le applicazioni CLOUD, i sistemi IoT, e così via.
Misure minime di sicurezza informatica per le PAAmmLibera AL
Pubblicato da AgID il documento che contiene le indicazioni ufficiali per valutare e innalzare il livello di sicurezza informatica delle PA.
Al fine di fornire alle pubbliche amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica, AgID ha predisposto un documento che contiene l’elenco ufficiale delle “Misure minime per la sicurezza ICT delle pubbliche amministrazioni”.
Le misure minime di sicurezza informatica prevedono tre diversi livelli di attuazione e costituiscono parte integrante del più ampio disegno delle Regole Tecniche per la sicurezza informatica della Pubblica Amministrazione.
L’obiettivo del documento - emanato in forma autonoma da AgID e dal CERT-PA in attesa della futura pubblicazione in Gazzetta Ufficiale - è quello di fornire tempestivamente alle PA un riferimento normativo e consentire loro di intraprendere un percorso di progressiva verifica e adeguamento in termini di sicurezza informatica.
Le misure minime per la sicurezza informatica sono emesse come previsto dalla Direttiva 1 agosto 2015 del Presidente del Consiglio dei Ministri, che emana disposizioni relative alla sicurezza informatica nazionale e assegna all’Agenzia per l’Italia Digitale il compito di sviluppare gli standard di riferimento per le amministrazioni.
Il web service e i sistemi embedded - Tesi - cap2pma77
Nel capitolo secondo capitolo della tesi " SVILUPPO E IMPLEMENTAZIONE SU MICROCONTROLLORE DI UN’APPLICAZIONE WEB SERVER PER IL CONTROLLO DI UN SISTEMA EMBEDDED"sono presentati diversi prodotti commerciali impieganti Web Service , in modo particolare dispositivi di tipo embedded. Viene discusso, inoltre, su come le tecnologie Web entrino nel mondo industriale e della domotica e si pone l’attenzione sui fattori che impediscono il pieno sviluppo in questi ambiti. Infine vengono proposti diversi articoli che affrontano tematiche simili a quelle della tesi.
BACnet, il protocollo di comunicazione per la building automation. Articolo scritto da Salvatore Cataldi sulla rivista Safety&Security. Sito web di ESAC srl (Torino): http://www.esacsrl.com
Soluzione cyber sicura per il telecontrollo in AdFServizi a rete
Servizi a Rete TOUR 2022 | Presentazione di Francesco Tenuta - Business Process Improvement, AdF e Giovanni Mugnolo - General Manager Italia, Lacroix Sofrel
Sicurezza Cibernetica Nazionale: consapevolezza e autovalutazione - Case study “STET”
1. 10.10.2014 - Trento - ISACA VENICE Chapter
1
Case study “STET”
Sicurezza Cibernetica Nazionale:
consapevolezza e
autovalutazione
Case study “STET”
Trento, 10 ottobre 2014
2. 10.10.2014 - Trento - ISACA VENICE Chapter
2
Case study “STET”
Presentazione della
società e del
progetto
3. 10.10.2014 - Trento - ISACA VENICE Chapter
3
Case study “STET”
La società
Servizi Territoriali Est Trentino Società per Azioni (in sigla STET S.p.A.) è attiva nei
settori dell'erogazione di servizi pubblici a rete, quali la distribuzione di energia
elettrica, gas naturale e la gestione del ciclo idrico.
Si occupa inoltre di produzione di energia elettrica e di gestione di impianti di
pubblica illuminazione.
Attraverso la società controllata VALE S.p.A. gestisce un impianto di
trigenerazione (produzione combinata di energia elettrica, termina e
frigorifera) abbinato ad una rete di teleriscaldamento.
Opera sui territori comunali di Pergine Valsugana, Levico Terme, Caldonazzo,
Tenna, Sant'Orsola Terme e Palù del Fersina in virtù di specifici contratti di
servizio stipulati con le rispettive amministrazioni comunali.
4. 10.10.2014 - Trento - ISACA VENICE Chapter
4
Case study “STET”
I soci
Comune di Pergine Valsugana: 74,31%
Comune di Levico Terme: 18,97%
Comune di Caldonazzo: 4,63%
Comune di Tenna: 1,51%
Comune di Calceranica: 0,02%
Comune di Sant'Orsola Terme: 0,02%
Comune di Civezzano: 0,02%
Comune di Grigno: 0,02%
5. 10.10.2014 - Trento - ISACA VENICE Chapter
5
Case study “STET”
I numeri
Clienti finali serviti 40.000
Personale dipendente 60 unità
Impianti telegestiti 150
Ricavi annui (gruppo) 13 mln €
Totale investimenti 2 mln €
6. 10.10.2014 - Trento - ISACA VENICE Chapter
6
Case study “STET”
L’esigenza e la soluzione
Verificare lo stato dell’arte compiendo una analisi approfondita che evidenziasse
le criticità:
nel modello di gestione organizzativo;
nell’implementazione logica delle infrastrutture;
nell’implementazione fisica delle infrastrutture.
7. 10.10.2014 - Trento - ISACA VENICE Chapter
7
Case study “STET”
La soluzione
Per rispondere alle esigenze di cui sopra, STET ha deciso di investire durante il
2013 su attività di misurazione della sicurezza della propria infrastruttura,
svolgendo:
analisi mirate sulle procedure aziendali e sull’organizzazione societaria tramite
la lettura delle documentazioni fornite;
interviste specifiche ai responsabili;
simulazioni di attacchi informatici.
8. 10.10.2014 - Trento - ISACA VENICE Chapter
8
Case study “STET”
I risultati ottenuti
L’analisi ha evidenziato come STET fosse già sopra gli standard di mercato,
evidenziando tuttavia ambiti in cui apportare miglioramenti.
E’ stato prodotto un report conforme agli standard internazionali che, oltre ad
evidenziare lo stato dell’arte, permettesse tramite nuovi metering di
evidenziare i delta.
Sono stati avviati diversi progetti con lo scopo di mettere in pratica i consigli
raccolti, ove si è valutato che il rapporto costi/benefici fosse vantaggioso.
9. 10.10.2014 - Trento - ISACA VENICE Chapter
9
Case study “STET”
La nostra
infrastruttura
ICT e la
progettazione di
una analisi di
sicurezza
10. 10.10.2014 - Trento - ISACA VENICE Chapter
10
Case study “STET”
Infrastruttura ICT
11. 10.10.2014 - Trento - ISACA VENICE Chapter
11
Case study “STET”
SCADA (1/3)
Il centro di telecontrollo (CTC) di STET è ubicato presso la sede operativa;
Gli impianti, dislocati sul territorio nel raggio di 50km, sono interconnessi
attraverso diverse tecnologie di comunicazione:
3G/GPRS
DSL
Ponte Radio
Fibra ottica
Tutte le comunicazioni avvengono attraverso VPN, in alcuni casi gestite dai
provider TLC.
13. 10.10.2014 - Trento - ISACA VENICE Chapter
13
Case study “STET”
SCADA (3/3)
Le tipologie di impianti gestiti possono essere le seguenti:
Cabine elettriche di trasformazione
Sistemi di pompaggio
Serbatoi per accumulo idrico
Cabine di regolazione e misura gas naturale
Centrali ed impianti di produzione
Sistemi di teleallarme e videosorveglianza
14. 10.10.2014 - Trento - ISACA VENICE Chapter
14
Case study “STET”
Fasi del progetto
1. Analisi/raccolta informazioni orali/scritte.
2. Verifica di tali informazioni sul campo con stesura della documentazione
necessaria per ottenere un "as-is" da cui partire.
3. Vulnerability Assessment al fine di identificare tutte le vulnerabilità/mal
configurazioni in essere.
15. 10.10.2014 - Trento - ISACA VENICE Chapter
15
Case study “STET”
Modalità di verifica
Sicurezza logica/fisica degli uffici, del CTC e degli impianti sul territorio
(perimetro, porte d’accesso, serrature, password di sblocco, ecc.)
Sicurezza dei sistemi operativi e dei mezzi di comunicazione attraverso test
specifici (simulazione di attacchi informatici, controllo versioni dei
software/firmware, controllo isolamento zone di rete), sia nel CTC che sugli
impianti;
16. 10.10.2014 - Trento - ISACA VENICE Chapter
16
Case study “STET”
Alcuni esempi di
advice, tra
punti di “forza” e
punti di
“debolezza”
17. 10.10.2014 - Trento - ISACA VENICE Chapter
17
Case study “STET”
Documentazione
Nonostante non sia più obbligatorio per legge si ritiene, soprattutto in situazioni
complesse come quella di STET, necessario continuare a redigere un
documento che abbia le stesse caratteristiche di quello che il D.Lgs.196/2003
chiamava Documento Programmatico sulla Sicurezza. La sua presenza ed il
processo ancora in atto di mantenerlo aggiornato vengono valutati come
punto di eccellenza che pone l'azienda al di sopra degli standard di mercato.
Nel DPS sono tuttavia state aggiunte maggiori informazioni relative a:
topologie di rete;
personale IT e SCADA incaricato;
procedure di gestione degli ospiti;
manuali operativi ed informative per gli utenti;
rendendo di fatto tale documento più esaustivo.
La sua revisione è stata anche uniformata a quella del Sistema Qualità ISO 9001.
18. 10.10.2014 - Trento - ISACA VENICE Chapter
18
Case study “STET”
Assistenza remota (1/2)
Gli accessi da remoto costituivano uno dei rischi operativi più evidenti per
l'infrastruttura di STET. La molteplicità di fornitori aveva portato ad avere uno
scenario frammentato e fuori dal controllo corretto. Si parla per lo più di
accessi via TeamViewer, Condivisioni Desktop ecc…
Questo portava il vantaggio di non avere servizi SCADA direttamente pubblicati
su Internet, tuttavia impediva di decidere se e quando un fornitore poteva
accedere, ma soprattutto di tenere traccia degli accessi e delle attività
eseguite.
Le modalità di assistenza remota sono state uniformate tramite una policy
aziendale, la quale è stata sottoposta a tutti i fornitori; tale procedura è stata
inserita anche nel DPS.
Ad oggi è quindi possibile tracciare gli orari di intervento tramite un unico
sistema centralizzato nonché vi è la possibilità di gestire sui sistemi firewall
quali tipi di interventi possono essere eseguiti.
19. 10.10.2014 - Trento - ISACA VENICE Chapter
19
Case study “STET”
Assistenza remota (2/2)
20. 10.10.2014 - Trento - ISACA VENICE Chapter
20
Case study “STET”
Firmware apparati
Durante i test sugli impianti è stato riscontrato come la versione software a
bordo di apparati PLC sia spesso “solida” nella gestione meccanica ma meno
nella parte informatica di networking.
Alcuni test mirati tramite specifici exploit hanno mostrato come un attacco possa
portare anche all’isolamento dell’impianto causa blocco del PLC.
L’unico rimedio sta nel verificare costantemente coi produttori le versioni
aggiornate dei firmware, pianificare gli aggiornamenti su infrastrutture di test
e quindi applicare i cambiamenti negli ambienti di produzione.
Tale attività è spesso non indolore e subordinata agli sviluppi software; per
questo anche la scelta di un vendor PLC con know-how IT diventa vincente.
Ove possibile, anche STET ha testato ed aggiornato nuove versioni di firmware.
21. 10.10.2014 - Trento - ISACA VENICE Chapter
21
Case study “STET”
Isolamento impianti
La suddivisione della rete in diverse zone è uno degli elementi che posiziona la
rete di STET al di sopra della media di mercato.
Da tante reti singole, autonome, separate fisicamente si sta migrando ad una
unica grande rete dove la sicurezza non viene demandata alla separazione
fisica.
Tuttavia alcuni siti, con medesime tipologie di collegamento, erano raggruppati
sotto le stesse sottoreti ed erano raggiungibili l’uno dall’altro.
A seguito della sostituzione di alcuni apparati di rete ed alla corretta gestione
delle regole firewall è stato possibile separare ulteriormente le zone con la
logica 1-sito:1-subnet.
Questo permetterà di gestire centralmente le politiche di routing impedendo o
permettendo il traffico tra le varie zone.
Ogni sviluppo futuro terrà in considerazione questo modello di gestione.
22. 10.10.2014 - Trento - ISACA VENICE Chapter
22
Case study “STET”
I risultati nel
dettaglio
23. 10.10.2014 - Trento - ISACA VENICE Chapter
23
Case study “STET”
Rischi individuati
24. 10.10.2014 - Trento - ISACA VENICE Chapter
24
Case study “STET”
Difformità individuate
25. 10.10.2014 - Trento - ISACA VENICE Chapter
25
Case study “STET”
Posizione di mercato e desiderata
31. 10.10.2014 - Trento - ISACA VENICE Chapter
31
Case study “STET”
Conclusioni
L’obiettivo nel breve medio termine è proseguire con gli investimenti nella
sicurezza ICT.
Durante l’anno 2015, al termine di un percorso che ha visto l’impegno di tutti i
settori aziendali nell’avvicinarsi agli standard desiderabili sopra esposti, verrà
pianificato un nuovo Vulnerability Assessment - Penetration Test per
evidenziare il delta.
Sempre durante il 2015 parte degli investimenti interesseranno anche un nuovo
progetto di Business Continuity e Disaster Recovery.
32. 10.10.2014 - Trento - ISACA VENICE Chapter
32
Case study “STET”
Riferimenti
http://www.stetspa.it
http://it.wikipedia.org/wiki/Infrastrutture_critiche
http://www.isecom.org/research/osstmm.html
http://attivissimo.blogspot.it/2014/08/trovare-le-chiavi-sotto-lo-zerbino-con.
html
33. 10.10.2014 - Trento - ISACA VENICE Chapter
33
Case study “STET”
Grazie per l’attenzione!
34. 10.10.2014 - Trento - ISACA VENICE Chapter
34
Case study “STET”
Sicurezza Cibernetica Nazionale:
consapevolezza e autovalutazione
Sponsor e
sostenitori di
ISACA VENICE
Chapter
Con il
patrocinio di
Organizzatori e
sponsor evento