Nel 2013 STET S.p.A. ha intrapreso un percorso per verificare lo stato dei propri sistemi in termini di sicurezza informatica, mediante un’analisi approfondita che ne evidenziasse le criticità. Il giorno 10 ottobre 2014, dalle ore 9.30 alle ore 14:00, presso l’Aula Kessler dell’Università di Trento in Via Verdi 26, si è tenuto un meeting dal titolo “Sicurezza Cibernetica Nazionale: consapevolezza e autovalutazione” organizzato da ISACA Venice, associazione internazionale di professionisti nell’ambito della governance IT. Durante l’evento è stato presentato un “quaderno” prodotto da ISACA Venice riportante un’indagine ed una panoramica degli strumenti di autovalutazione in materia di sicurezza informatica e tra i testimonial vi è stato anche l’on. Stefano Quintarelli, Presidente del Comitato d’Indirizzo dell’Agenzia per l’Italia Digitale. Con l’occasione sono stati anche illustrati alcuni case study su realtà che hanno intrapreso un percorso di efficientamento della propria sicurezza IT, tra i quali anche quello di STET.

1. 10.10.2014 - Trento - ISACA VENICE Chapter
1
Case study “STET”
Sicurezza Cibernetica Nazionale:
consapevolezza e
autovalutazione
Case study “STET”
Trento, 10 ottobre 2014

2. 10.10.2014 - Trento - ISACA VENICE Chapter
2
Case study “STET”
Presentazione della
società e del
progetto

3. 10.10.2014 - Trento - ISACA VENICE Chapter
3
Case study “STET”
La società
Servizi Territoriali Est Trentino Società per Azioni (in sigla STET S.p.A.) è attiva nei
settori dell'erogazione di servizi pubblici a rete, quali la distribuzione di energia
elettrica, gas naturale e la gestione del ciclo idrico.
Si occupa inoltre di produzione di energia elettrica e di gestione di impianti di
pubblica illuminazione.
Attraverso la società controllata VALE S.p.A. gestisce un impianto di
trigenerazione (produzione combinata di energia elettrica, termina e
frigorifera) abbinato ad una rete di teleriscaldamento.
Opera sui territori comunali di Pergine Valsugana, Levico Terme, Caldonazzo,
Tenna, Sant'Orsola Terme e Palù del Fersina in virtù di specifici contratti di
servizio stipulati con le rispettive amministrazioni comunali.

4. 10.10.2014 - Trento - ISACA VENICE Chapter
4
Case study “STET”
I soci
 Comune di Pergine Valsugana: 74,31%
 Comune di Levico Terme: 18,97%
 Comune di Caldonazzo: 4,63%
 Comune di Tenna: 1,51%
 Comune di Calceranica: 0,02%
 Comune di Sant'Orsola Terme: 0,02%
 Comune di Civezzano: 0,02%
 Comune di Grigno: 0,02%

5. 10.10.2014 - Trento - ISACA VENICE Chapter
5
Case study “STET”
I numeri
Clienti finali serviti 40.000
Personale dipendente 60 unità
Impianti telegestiti 150
Ricavi annui (gruppo) 13 mln €
Totale investimenti 2 mln €

6. 10.10.2014 - Trento - ISACA VENICE Chapter
6
Case study “STET”
L’esigenza e la soluzione
Verificare lo stato dell’arte compiendo una analisi approfondita che evidenziasse
le criticità:
 nel modello di gestione organizzativo;
 nell’implementazione logica delle infrastrutture;
 nell’implementazione fisica delle infrastrutture.

7. 10.10.2014 - Trento - ISACA VENICE Chapter
7
Case study “STET”
La soluzione
Per rispondere alle esigenze di cui sopra, STET ha deciso di investire durante il
2013 su attività di misurazione della sicurezza della propria infrastruttura,
svolgendo:
 analisi mirate sulle procedure aziendali e sull’organizzazione societaria tramite
la lettura delle documentazioni fornite;
 interviste specifiche ai responsabili;
 simulazioni di attacchi informatici.

8. 10.10.2014 - Trento - ISACA VENICE Chapter
8
Case study “STET”
I risultati ottenuti
 L’analisi ha evidenziato come STET fosse già sopra gli standard di mercato,
evidenziando tuttavia ambiti in cui apportare miglioramenti.
 E’ stato prodotto un report conforme agli standard internazionali che, oltre ad
evidenziare lo stato dell’arte, permettesse tramite nuovi metering di
evidenziare i delta.
 Sono stati avviati diversi progetti con lo scopo di mettere in pratica i consigli
raccolti, ove si è valutato che il rapporto costi/benefici fosse vantaggioso.

9. 10.10.2014 - Trento - ISACA VENICE Chapter
9
Case study “STET”
La nostra
infrastruttura
ICT e la
progettazione di
una analisi di
sicurezza

10. 10.10.2014 - Trento - ISACA VENICE Chapter
10
Case study “STET”
Infrastruttura ICT

11. 10.10.2014 - Trento - ISACA VENICE Chapter
11
Case study “STET”
SCADA (1/3)
 Il centro di telecontrollo (CTC) di STET è ubicato presso la sede operativa;
 Gli impianti, dislocati sul territorio nel raggio di 50km, sono interconnessi
attraverso diverse tecnologie di comunicazione:
 3G/GPRS
 DSL
 Ponte Radio
 Fibra ottica
 Tutte le comunicazioni avvengono attraverso VPN, in alcuni casi gestite dai
provider TLC.

12. 10.10.2014 - Trento - ISACA VENICE Chapter
12
Case study “STET”
SCADA (2/3)

13. 10.10.2014 - Trento - ISACA VENICE Chapter
13
Case study “STET”
SCADA (3/3)
Le tipologie di impianti gestiti possono essere le seguenti:
 Cabine elettriche di trasformazione
 Sistemi di pompaggio
 Serbatoi per accumulo idrico
 Cabine di regolazione e misura gas naturale
 Centrali ed impianti di produzione
 Sistemi di teleallarme e videosorveglianza

14. 10.10.2014 - Trento - ISACA VENICE Chapter
14
Case study “STET”
Fasi del progetto
1. Analisi/raccolta informazioni orali/scritte.
2. Verifica di tali informazioni sul campo con stesura della documentazione
necessaria per ottenere un "as-is" da cui partire.
3. Vulnerability Assessment al fine di identificare tutte le vulnerabilità/mal
configurazioni in essere.

15. 10.10.2014 - Trento - ISACA VENICE Chapter
15
Case study “STET”
Modalità di verifica
 Sicurezza logica/fisica degli uffici, del CTC e degli impianti sul territorio
(perimetro, porte d’accesso, serrature, password di sblocco, ecc.)
 Sicurezza dei sistemi operativi e dei mezzi di comunicazione attraverso test
specifici (simulazione di attacchi informatici, controllo versioni dei
software/firmware, controllo isolamento zone di rete), sia nel CTC che sugli
impianti;

16. 10.10.2014 - Trento - ISACA VENICE Chapter
16
Case study “STET”
Alcuni esempi di
advice, tra
punti di “forza” e
punti di
“debolezza”

17. 10.10.2014 - Trento - ISACA VENICE Chapter
17
Case study “STET”
Documentazione
Nonostante non sia più obbligatorio per legge si ritiene, soprattutto in situazioni
complesse come quella di STET, necessario continuare a redigere un
documento che abbia le stesse caratteristiche di quello che il D.Lgs.196/2003
chiamava Documento Programmatico sulla Sicurezza. La sua presenza ed il
processo ancora in atto di mantenerlo aggiornato vengono valutati come
punto di eccellenza che pone l'azienda al di sopra degli standard di mercato.
Nel DPS sono tuttavia state aggiunte maggiori informazioni relative a:
 topologie di rete;
 personale IT e SCADA incaricato;
 procedure di gestione degli ospiti;
 manuali operativi ed informative per gli utenti;
rendendo di fatto tale documento più esaustivo.
La sua revisione è stata anche uniformata a quella del Sistema Qualità ISO 9001.

18. 10.10.2014 - Trento - ISACA VENICE Chapter
18
Case study “STET”
Assistenza remota (1/2)
Gli accessi da remoto costituivano uno dei rischi operativi più evidenti per
l'infrastruttura di STET. La molteplicità di fornitori aveva portato ad avere uno
scenario frammentato e fuori dal controllo corretto. Si parla per lo più di
accessi via TeamViewer, Condivisioni Desktop ecc…
Questo portava il vantaggio di non avere servizi SCADA direttamente pubblicati
su Internet, tuttavia impediva di decidere se e quando un fornitore poteva
accedere, ma soprattutto di tenere traccia degli accessi e delle attività
eseguite.
Le modalità di assistenza remota sono state uniformate tramite una policy
aziendale, la quale è stata sottoposta a tutti i fornitori; tale procedura è stata
inserita anche nel DPS.
Ad oggi è quindi possibile tracciare gli orari di intervento tramite un unico
sistema centralizzato nonché vi è la possibilità di gestire sui sistemi firewall
quali tipi di interventi possono essere eseguiti.

19. 10.10.2014 - Trento - ISACA VENICE Chapter
19
Case study “STET”
Assistenza remota (2/2)

20. 10.10.2014 - Trento - ISACA VENICE Chapter
20
Case study “STET”
Firmware apparati
Durante i test sugli impianti è stato riscontrato come la versione software a
bordo di apparati PLC sia spesso “solida” nella gestione meccanica ma meno
nella parte informatica di networking.
Alcuni test mirati tramite specifici exploit hanno mostrato come un attacco possa
portare anche all’isolamento dell’impianto causa blocco del PLC.
L’unico rimedio sta nel verificare costantemente coi produttori le versioni
aggiornate dei firmware, pianificare gli aggiornamenti su infrastrutture di test
e quindi applicare i cambiamenti negli ambienti di produzione.
Tale attività è spesso non indolore e subordinata agli sviluppi software; per
questo anche la scelta di un vendor PLC con know-how IT diventa vincente.
Ove possibile, anche STET ha testato ed aggiornato nuove versioni di firmware.

21. 10.10.2014 - Trento - ISACA VENICE Chapter
21
Case study “STET”
Isolamento impianti
La suddivisione della rete in diverse zone è uno degli elementi che posiziona la
rete di STET al di sopra della media di mercato.
Da tante reti singole, autonome, separate fisicamente si sta migrando ad una
unica grande rete dove la sicurezza non viene demandata alla separazione
fisica.
Tuttavia alcuni siti, con medesime tipologie di collegamento, erano raggruppati
sotto le stesse sottoreti ed erano raggiungibili l’uno dall’altro.
A seguito della sostituzione di alcuni apparati di rete ed alla corretta gestione
delle regole firewall è stato possibile separare ulteriormente le zone con la
logica 1-sito:1-subnet.
Questo permetterà di gestire centralmente le politiche di routing impedendo o
permettendo il traffico tra le varie zone.
Ogni sviluppo futuro terrà in considerazione questo modello di gestione.

22. 10.10.2014 - Trento - ISACA VENICE Chapter
22
Case study “STET”
I risultati nel
dettaglio

23. 10.10.2014 - Trento - ISACA VENICE Chapter
23
Case study “STET”
Rischi individuati

24. 10.10.2014 - Trento - ISACA VENICE Chapter
24
Case study “STET”
Difformità individuate

25. 10.10.2014 - Trento - ISACA VENICE Chapter
25
Case study “STET”
Posizione di mercato e desiderata

26. 10.10.2014 - Trento - ISACA VENICE Chapter
26
Case study “STET”
Remediation matrix (esempio)
Remediation
advice
Security type Gravità
(1-3)
Urgenza
(1-3)
Impatto
economico
(1-3)
Impatto
organizzativo
(1-3)
#1 Organization 1 1 0 1
#2 Organization 3 3 2 2
#3 Logical 2 3 2 2
#4 Physical 3 3 2 1
…

27. 10.10.2014 - Trento - ISACA VENICE Chapter
27
Case study “STET”
Attack Surface Security Metrics
Actual Security: 70,04 ravs
OSSTMM version 3.0

28. 10.10.2014 - Trento - ISACA VENICE Chapter
28
Case study “STET”
Esempio analisi puntuale dei siti (1/2)

29. 10.10.2014 - Trento - ISACA VENICE Chapter
29
Case study “STET”
Esempio analisi puntuale dei siti (2/2)

30. 10.10.2014 - Trento - ISACA VENICE Chapter
30
Case study “STET”
Conclusioni

31. 10.10.2014 - Trento - ISACA VENICE Chapter
31
Case study “STET”
Conclusioni
L’obiettivo nel breve medio termine è proseguire con gli investimenti nella
sicurezza ICT.
Durante l’anno 2015, al termine di un percorso che ha visto l’impegno di tutti i
settori aziendali nell’avvicinarsi agli standard desiderabili sopra esposti, verrà
pianificato un nuovo Vulnerability Assessment - Penetration Test per
evidenziare il delta.
Sempre durante il 2015 parte degli investimenti interesseranno anche un nuovo
progetto di Business Continuity e Disaster Recovery.

32. 10.10.2014 - Trento - ISACA VENICE Chapter
32
Case study “STET”
Riferimenti
 http://www.stetspa.it
 http://it.wikipedia.org/wiki/Infrastrutture_critiche
 http://www.isecom.org/research/osstmm.html
 http://attivissimo.blogspot.it/2014/08/trovare-le-chiavi-sotto-lo-zerbino-con.
html

33. 10.10.2014 - Trento - ISACA VENICE Chapter
33
Case study “STET”
Grazie per l’attenzione!

34. 10.10.2014 - Trento - ISACA VENICE Chapter
34
Case study “STET”
Sicurezza Cibernetica Nazionale:
consapevolezza e autovalutazione
Sponsor e
sostenitori di
ISACA VENICE
Chapter
Con il
patrocinio di
Organizzatori e
sponsor evento