Nuovi trend e Norme ISO/UNI per IoT, Industria 4.0, Blockchain, Big Data e Certificazioni Privacy Relatpo

1. NUOVI TREND E NORME ISO/UNI
Blockchain, IoT, Big Data, Industry 4.0 e
certificazioni "Privacy"
Security Summit
Milano, 16 marzo 2017

2. Agenda e relatori
2
Introduzione su:
UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0
e IoT, norme su Blockchain
Norme su Big Data e
certificazioni "Privacy"

3. Agenda e relatori
3
Introduzione su:
UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0
e IoT, norme su Blockchain
Norme su Big Data e
certificazioni "Privacy"

4. Relatore
4
Domenico "Mimmo" SQUILLACE
 Presidente di UNINFO
 Coordinatore dei Presidenti degli Enti Federati UNI
 Membro di Giunta Esecutiva UNI
 Rappresentante Italiano in CEN/CENELEC BT WG 6 “ICT Standardization
Policy”
 Technical Relations Manager IBM Italia

5. 5
UNINFO e
gli Standard

6. 6
standard o Standard?

7. 7
Una Norma Tecnica è un documento
che descrive lo “stato dell’arte” di:
un bene, un servizio, un processo,
un sistema, ...
Sviluppato presso un Ente di
Normazione in maniera
trasparente e democratica,
approvato in maniera
consensuale ed adottato su
base volontaria.

8. 8
Chi sviluppa le
Norme Tecniche?

9. 9
Le Norme Tecniche
sono sviluppate da:
International Standard Setting Organizations
“All-others”
ISO
Telecommunication
ITU
Electrotechnical
IEC
European Standard Setting Organizations
CEN ETSICENELEC
National Standard Bodies
JTC/1

10. 10
Le Norme Tecniche
sono sviluppate da:
International Standard Setting Organizations
“All-others”
ISO
Telecommunication
ITU
Electrotechnical
IEC
European Standard Setting Organizations
CEN ETSICENELEC
National Standard Bodies
JTC/1
IETF&IEEE
W3C
Fora
Consorzi

11. 11
Gli Enti di Normazione
italiani sono:
CEI ed UNI

12. 12
UNICHIM
Chimica
CIG
Gas
CTI
Termotecnica
UNSIDER
Ferro e Metalli
UNIPLAST
Materie Plastiche
CUNA
Automobili
Quando si parla
di UNI si intende
il Sistema UNI

13. 13
UNICHIM
Chimica
CIG
Gas
UNINFO
Informatica
CTI
Termotecnica
UNSIDER
Ferro e Metalli
UNIPLAST
Materie Plastiche
CUNA
Automobili
UNINFO “fa”
gli Standard
per l’ICT

14. Perchè sono importanti?
14
Interoperabilità
Definizione univoca
Sicurezza prodotti
Economie di Scala

15. Perchè sono importanti?
15
1 Norma EN:
● equivale a 33 Norme Nazionali
● consente l’accesso ad un mercato
di 650 milioni di persone
Interoperabilità
Definizione univoca
Sicurezza prodotti
Economie di Scala

16. 16
I settori di attività
di UNINFO

17. 17
Informatica MedicaIngegneria del SW
eBSF
“Traffico”
“MPEG”
Automazione Ind.
Tecnologie Additive

18. 18
Blockchain
APNR-ICT
Profili Professionali
“Privacy”
“Tecnologie abilitanti per l’I4.0”
●JTC/1-WG 9 “Big Data”
●JTC/1-WG 10 “IoT”
●JTC/1-WG 11 “Smart City”
●JTC/1-SC 38 “Cloud”
Sicurezza informatica

19. 19
IoT
&
Industria 4.0

20. IoT: cioè?
20

21. IoT
21

22. 22
Oggetti interconnessi di
ogni tipo, forma e misura
come fanno a capirsi?

23. 23
Usando degli standard
o
degli Standard
in maniera “pragmatica”

24. standard e Standard per IoT
24
Healthcare
Home/Building
Manufacturing
Industry
Automation
Vehicular
Transportation
Energy
Cities
Wearables
Farming
Agrifood
Telecommunication

25. standard e Standard per IoT
25

26. 26
Internet of Things
oppure
Internet of Unsecure Things?

27. 92% of Internet of Things
developers agree with the
statement that “Security is
going to be more an issue
in the future”
In 2020, spending on
Security related solutions
and services will account
for 6% of the total
spending on Internet of
Things.

29. Tech Insight: Hacking The
Nest Thermostat
– Dark Reading, Aug 2014
Philips Hue Light Bulbs Are Highly
Hackable
– Gizmodo, Aug 2013
Hackers Remotely Kill a Jeep on the
Highway.
– Wired, July 2015
100,000 Refrigerators and other
home appliances hacked to perform
cyber attack
– The Guardian, Feb 2013
Millions of Kwikset Smartkey Locks Vulnerable to
Hacking, Say Researchers– Wired, Aug 2013

30. Common IoT Vulnerabilities
No transmission encryption
(e.g, plain HTTP)
Weak encryption
Simple username/password
Backdoor accounts
No firmware integrity checks

31. How can you solve the Security & Privacy
threat?
Build security in: foundational elements of functional product
Identity & access management
 User @ mobile device / web interface
 Machine-to-machine identity & trust
Encryption / privacy
 At rest—stored data, on device, in the cloud
 In motion—on the network, end-to-end
 In action—in memory (think RAM scrapers)
Trusted OS / firmware
 At provisioning, inc supply chain
 In operation, reset to trusted image
 Over-the-air updates
Analytics
 Relevant, granular, and useful events

32. Relazione tra Industria 4.0 e IoT
32

33. Un po’ di storia
33

34. Un po’ di storia
34
Industrie 4.0
(Germania)
Manufacture
de Future
(Francia)
Smart
Manufacturing
(USA)

35. Cosa è, dunque, I4.0?
35
Industry 4.0 describes a new, emerging structure in which manufacturing and logistics systems in
the form of Cyber -Physical Production Systems (CPPS) intensively use the globally available
information and communications network for an extensively automated exchange of information
and in which production and business processes are matched.
Un Sistema di Sistemi

36. Cosa è, dunque, I4.0?
36
Industry 4.0 can be regarded as an additional
level of integration on the basis of the existing
structures, which is itself the basis of the newly
emerging structure and thus creates the new
quality. Furthermore, increasing networking of
previously extensively autonomous systems is
expected in the course of Industry 4.0.
Un Sistema di Sistemi

37. Tecnologie abilitanti per I4.0
37

38. Agenda e relatori
38
Introduzione su:
UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su
Industry 4.0 e IoT, norme su
Blockchain
Norme su Big Data e
certificazioni "Privacy"

39. Relatore
39
Luciano QUARTARONE
 Lead Auditor 27001, ITIL
 Membro del CT 510 di UNINFO "Sicurezza"
 Senior Information Security consultant at BL4CKSWAN S.r.l.

40. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
40
Industry 4.0 è un termine spesso usato per riferirsi al processo di gestione della
produzione e della catena manifatturiera.
Il termine si riferisce anche alla quarta rivoluzione industriale
(Smart Manufacturing).

41. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
41
The Internet of things (IoT) is the inter-networking of physical devices, vehicles (also
referred to as "connected devices" and "smart devices"), buildings, and other
items—embedded with electronics, software, sensors, actuators, and network
connectivity that enable these objects to collect and exchange data
(Brown, Eric (13 September 2016). "Who Needs the Internet of Things?". Linux.com. Retrieved 23 October 2016.
Brown, Eric (20 September 2016). "21 Open Source Projects for IoT". Linux.com. Retrieved 23 October 2016
Internet of Things Global Standards Initiative". ITU. Retrieved 26 June 2015)

42. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
42
• Industry 4.0
• IoT
• Security 4.0 ?

43. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
43
… alcuni dati …
47% delle organizzazioni non ha ancora messo in atto nessuna
azione per tutelarsi
41% sta valutando azioni
13% ha policy di security by design (monitoraggio, credenziali,
pratiche di programmazione…)
10% utilizza soluzioni specifiche
9% rilevazione dati nel perimetro aziendale
5% per la gestione di dati raccolti da oggetti smart.
Fonte: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano

44. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
44
software
(applicativo, OS,
firmware)
Hardware
Network
Quali aspetti, proprietà e dimensioni di «information Security» occorre monitorare
per far si che una grande potenzialità non si trasformi in una grande minaccia?

45. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
45
…dipende da dove sono e dove/come sono connesso…
Quali aspetti, proprietà e dimensioni di «information Security» occorre monitorare
per far si che una grande potenzialità si trasformi in una grande minaccia?

46. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
46
… ad esempio …
Per la dimensione «network» in ambito industriale:
Verificare che il dispositivo sia dietro ad un router/firewall e che:
• Non sia assegnato un IP pubblico al dispositivo, in modo che non sia raggiungibile
direttamente da internet e non sia indicizzato dai motori di ricercar IoT
• Qualora sia richiesta una connessione in ingress da internet, implementare delle
adeguate regole di port forwarding.
• Qualora sia richiesta una connessione verso l’Esterno, implementare adeguate
regole di firewalling in modo da consentire solole connessioni necessarie
• Qualora il dospositivo debba dialogare con altri nodi sulla rete locale, verificare che
siano richiesti IP statici.

47. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
47
… alcuni dati…
Fonte: Politecnico di Milano:
46%
dei consumatori dichiara di voler acquistare in futuro uno
o più oggetti intelligenti per la casa, con focus su
Sicurezza e Risparmio Energetico.
69% l’interfaccia di gestione preferita per la gestione
di questi oggetti è un’App su smartphone

48. Aspetti di sicurezza delle informazioni per
Industry 4.0 e IoT
48
… ricapitoliamo…
L’industry 4.0, fonda il suo potenziale sulla tecnologia IoT che, in quanto
ecosistema connesso, che pubblica e consuma dati pubblicati da altri
(dispositivi), richiede una particolare attenzione nella gestione della
sicurezzza delle informazioni scambiate, poichè il “threat modeling” che
normalmente ci figuriamo per il nostro sistema informativo aziendale, è
certamente amplificato.

49. Norme internazionali e Blockchain
49
A Blockchain is a distributed, decentralized transaction ledger, saved by each node in
the network, which is owned, maintained and updated by each node. It’s a peer-to-
peer system. No central authority manages the transaction flow.
PwC
A Blockchain is an open, distributed ledger that can record transactions between
two parties efficiently and in a verifiable and permanent way. The ledger itself can
also be programmed to trigger transactions automatically.
(Iansiti, Marco; Lakhani, Karim R. (January 2017). "The Truth About Blockchain". Harvard Business Review. Harvard University)

50. Norme internazionali e Blockchain
50
… alcune considerazioni
Il termine Blockchain sottolinea anche come le informazioni siano trattate,
hashate ed aggiunte sequenzialmente ed in modo non modificabile al
registro elettronico.

51. Norme internazionali e Blockchain
51
… su quali pilastri si fonda?

52. Norme internazionali e Blockchain
52
… su quali pilastri si fonda?
Un registro elettronico è un insieme di dati
digitali replicati, condivisi e sincronizzati e
geografaicamente diffusi, attraverso più siti
(location), nazioni e/o istituzioni

53. Norme internazionali e Blockchain
53
… su quali pilastri si fonda?
Mentre alcune tecnologie come I Bitcoin sono
permissionless, molte infrastrutture legacy
sono permissioned.
Fra le discussioni in corso, sta creando un
ampio divario di posizioni la controversa
questione riguardante l’integrazione di registry
distribuiti con sistemi legacy.

54. Norme internazionali e Blockchain
54
… su quali pilastri si fonda?
Esistono diverse tipologie di Registri Elettronici
e Blockchain è solo un tipo…
… altri esempi sono Ethereum, Ripple,
Hyperledger, MultiChain, Eris ed alter
implementazioni “private”

55. Norme internazionali e Blockchain
55
… su quali pilastri si fonda?
…una volta “consorziati” tutti I registi
beneficeranno dall’interoperabilità con gli altri
registri.

56. Norme internazionali e Blockchain
56
… da che punto iniziamo?
Ad oggi non esiste uno standard ne una norma pubblicata, ma possiamo
certamente dire quali proprietà dobbiamo tenere in considerazione nel
voler standardizzare i Blockchain…
… terminologia, privacy, governance, interoperabilità, sicurezza, rischi.

57. Norma Titolo
ISO 20022 Financial services -- Universal financial industry message scheme
ISO/IEC 17788 Information technology -- Cloud computing Overview and vocabulary
ISO/IEC 17789 Information technology -- Cloud computing -- Reference architecture
ISO/IEC 18384 Reference Architecture for Service Oriented Architecture (SOA RA) -- Part 1:
Terminology and concepts for SOA
ISO 19086 Information technology -- Cloud computing -- Service level agreement (SLA)
framework
ISO/IEC 2700 Information Technology – Security Techniques
ISO 31000 Risk Management – Principles and Guidelines
ISO 10962 Securities and related financial instruments -- Classification of financial instruments
ISO 6166 Securities and related financial instruments -- International securities identification
numbering system
Norme internazionali e Blockchain
57
… relazioni con altri standard?

58. Norme internazionali e Blockchain
58
… dove usiamo Blockchain?
Moody ha stilato una graduatoria dei 25 principali use-case di Blockchain:
Financial Corporates Governments Cross-industry
Internation payments Supply chain
management
Record management Financial management &
accounting
Capital markets Healtcare Identity management Shareholder’s voting
Trade finance Real estate Voting Record management
Regulatory compliance &
audit
Media Taxes Cybersecurity
Anti-money laudering &
know your customer
Energy Government & non-
profit trasparency
Big Data
Insurance Legislation, compliance
& regulatory oversight
Data storage
P2P transactions IoT

59. Norme internazionali e Blockchain
59
… dove arriveremo?
Probabilmente è ancora troppo presto per prevedere come le cose si
evolveranno le cose, ma se pensiamo all’evoluzione del web possiamo fare
qualche ipotesi.
Sicuramente standard e protocolli comuni sono un MUST HAVE.
In secondo luogo, l’utilizzo della rete richiede l'interoperabilità.
Occorre avere il tempo di raggiungere un consenso su questioni chiave
prima che gli standard e protocolli, in fase di definizione, siano utilizzabili.

60. Agenda e relatori
60
Introduzione su:
UNINFO, Industry 4.0 e IoT
Aspetti di sicurezza su Industry 4.0
e IoT, norme su Blockchain
Norme su Big Data e
certificazioni "Privacy"

61. Relatore
61
Fabio GUASCONI
 Direttivo di UNINFO
 Presidente del CT 510 di UNINFO "Sicurezza"
 Membro del CT 526 di UNINFO "APNR"
 Direttivo CLUSIT
 CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
 Partner e co-founder BL4CKSWAN S.r.l.

62. Big Data Interoperability Framework,
pubblicato nel 2015
- Volume 1, Definitions
- Volume 2, Taxonomies
- Volume 3, Use Cases and General Requirements
- Volume 4, Security and Privacy
- Volume 5, Architectures White Paper Survey
- Volume 6, Reference Architecture
- Volume 7, Standards Roadmap
Norme sui Big Data: NIST SP 1500
62

63. Eredita elementi da CSA Big Data Working Group Top 10 Challenges in Big
Data Security and Privacy
11 casi d'uso per scenari nei settori:
 Retail / Marketing (3)
 Healthcare (3)
 Cybersecurity (1)
 Government (2)
 Aviation (1)
 Maritime transportation (1)
Norme sui Big Data: NIST SP 1500
63

64. Big data reference architecture
lavori iniziati nel 2016
— Part 1: Framework and application process (ISO/IEC TR 20547-1)
— Part 2: Use cases and derived requirements (ISO/IEC TR 20547-2)
— Part 3: Reference architecture (ISO/IEC 20547-3)
— Part 4: Security and privacy fabric (ISO/IEC 20547-4)
— Part 5: Standards roadmap (ISO/IEC TR 20547-5)
Norme sui Big Data: ISO/IEC 20547
64
ISO/IEC JTC 1 SC 27 WG 4

65. Norme sui Big Data: ISO/IEC 20547-4 WD1
65
• Structure of document
• Big data security and privacy challenges
Overview
• Architecture, security, privacy
Big data reference architecture security & privacy
• Roles & related activities for big data security and privacy
• System orchestrator, data provider, data consumer, application
provider
Big data reference architecture user view
Big data reference architecture function view
Big data reference architecture fabric view
• Security & privacy issues, use cases, guidelines, security &
privacy controls
Annexes
ISO/IEC 27001/2
ISO/IEC 29100
ISO/IEC JTC 1/SC 27
SD16 Information
security library (ISL)
CSA Big Data
Security &
Privacy Handbook

66. Norme sui Big Data: ISO/IEC 20547-4 WD1
66
D.2 Security controls
D.2.1 Confidentiality
D.2.2 Authentication
D.2.3 System health
D.2.4 Device and application registration
D.2.5 Identity and access management
D.2.6 Data governance
D.2.7 Infrastructure management
D.2.8 Risk and accountability
...
D.2.10 Application layer identity
D.2.11 Business risk model
...
D.2.19 Encryption and key management
D.2.20 End Point Input Validation
D.2.21 End user layer identity management
D.2.22 Forensics
D.3 Privacy controls
D.3.1 Data life cycle management
D.3.2 Privacy risk management
D.3.3 Identity management
D.3.4 User consent management
D.3.5 Compliance
...
D.3.9 Data anonymization,
pseudonymization
D.3.10 Privacy preserving computation
D.3.11 Data provenance
D.3.12 Privacy policy enhancement
D.3.13 Consent management mechanism

67. Definendo i profili processionali per la sicurezza delle informazioni (ora UNI
11621-4:2016) "avanzava" il profilo del DPO ai sensi dell'allora proposta di
regolamento europeo in materia di trattamento e protezione dei dati
personali.
Coscienti dell'estensione non comprensiva del framework e-CF sulla materia
si sono quindi coinvolte, oltre alla CT "Sicurezza Informatica" di UNINFO,
anche:
 CT UNI "Sicurezza della società e del cittadino"
 CT UNI "Servizi"
Profili professionali per trattamento e
protezione dei dati personali
67

68. Profili professionali per trattamento e
protezione dei dati personali
68
e-CF Framework v. 3.0
Competenze informatiche / non informatiche
Elementi di creazione
del GdL
e-Competence (40)
Conoscenze (m)
Aree e-Competence (5)
Competenze
Livelli (5)
Dim. 1
Dim. 2
Dim. 3
Dim. 4 Abilità (n) ConoscenzeAbilità

69. Profili professionali per trattamento e
protezione dei dati personali
69
Top
Management
Audit
Linee di
Business
Specialista
Privacy
Manager
Privacy
Esempio di organizzazione basata sui profili della norma
DPO
Valutatore
Privacy

70. • Figura professionale attualmente non regolamentata dalle leggi italiane.
• Non sarà designato secondo criteri vincolanti (PA, large scale of
monitoring / special categories data)
• Molti Titolari lo nomineranno per sgravarsi di responsabilità
• Potrà essere un soggetto terzo
• Non esiste un Ordine Professionale specifico a garanzia della qualità delle
attività svolte dal singolo professionista
• Sul mercato fioriscono attualmente corsi, master, percorsi e certificazioni
in materia, che sono però slegate da ogni schema riconosciuto di
certificazione del personale
• Vi saranno nomine a DPO per soggetti molto diversi tra loro per
collocazione aziendale e competenze
Considerazioni sul DPO
70

71. Il WP 29 ha pubblicato in dicembre 2016 delle "Guidelines on Data Protection
Officers" che entrano ulteriormente in dettaglio circa quanto esplicitato negli
articoli precedenti, fornendo anche esempi di applicazione.
Per quanto riguarda le competenze del DPO, i punti cardine sono:
1) The required level of expertise is not strictly defined but it must be
commensurate with the sensitivity, complexity and amount of data an
organisation processes
2) DPOs should have expertise in national and European data protection laws and
practices and an in-depth understanding of the GDPR
3) Knowledge of the business sector and of the organisation of the controller is
useful. The DPO should also have sufficient understanding of the processing
operations carried out, as well as the information systems, and data security and
data protection needs of the controller.
Considerazioni sul DPO
71

72. Percorso di certificazione
72
Mantenimento e rinnovo
Valutazione delle competenze e certificazione delle competenze
Apprendimento informale (esperienza lavorativa)
Apprendimento non formale (formazione professionale)
Apprendimento formale (istruzione)
Requisitiminimidiaccesso

73. • Art. 24 Responsabilità del titolare del trattamento, 3) L'adesione ai codici di
condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui
all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto
degli obblighi del titolare del trattamento.
• Art. 25 Protezione dei dati fin dalla progettazione e protezione per
impostazione predefinita, 3) Un meccanismo di certificazione approvato ai
sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la
conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
• Art. 28 Responsabile del trattamento, 5) L'adesione da parte del responsabile
del trattamento a un codice di condotta approvato di cui all'articolo 40 o a un
meccanismo di certificazione approvato di cui all'articolo 42 può essere
utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai
paragrafi 1 e 4 del presente articolo.
• Art. 32 Sicurezza del trattamento, 3) L'adesione a un codice di condotta
approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato
di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la
conformità ai requisiti di cui al paragrafo 1 del presente articolo.
• ... ed è anche inclusa tra i criteri da valutare per determinare le sanzioni ...
Perchè una certificazione nel GDPR?
73

74. Quale mercato oggi
74
Label CNIL
~ 30 certificazioni
est. 2011, Francia
Prodotti e servizi
ePrivacyseal
~ 20 certificazioni
est. 2011, Germania
Prodotti e servizi
Leader di un mercato ad oggi non maturo di "privacy seals"
Privacy Mark
~ 20.000 certificazioni
est. 1998, Giappone
PMS
EuroPriSe
~ 60 certificazioni
est. 2008, Germania
PMS

75. Possibili strade future
75
L'aspetto più interessante è che queste strade non sono esclusive tra loro ...
potrebbero quindi crearsi scenari misti o che si sovrappongono nel tempo
coesistendo e rendendo ancora più complessa l'adozione da parte del mercato.
1)1) Proliferazione di
schemi proprietari /
nazionali
• ISDPC 10003:2015 di
Pharmasoft
2) Imposizione di
uno schema
centralizzato
europeo
• Comitato
• Commissione
3) Adozione di uno
schema
internazionale
• ISO/IEC 27552

76. Possibili strade future
76
ISO/IEC 27552
Enhancement to
ISO/IEC 27001 for
privacy
management

77. 77
Contatti e ringraziamenti
UNINFO
http://www.uninfo.it/
uninfo@uninfo.it
Corso Trento 13 - 10129 Torino
Tel. +39 011501027 - Fax +39 011501837
Relatori:
Domenico SQUILLACE
mimmo_squillace@it.ibm.com
Luciano QUARTARONE
luciano.quartarone@bl4ckswan.com
Fabio GUASCONI
fabio.guasconi@bl4ckswan.com
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit