Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cybersecurity: la dimensione del problema Gianluca Dini Dipartimento di Ingegneria dell’Informazione Università di Pisa
Security • Security si occupa di prevenire o rilevare comportamenti indesiderati • La Security considera un avversario che attivamente e maliziosamente tenta di aggirare le misure di protezione in atto Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 2
Data Breaches in U.S. (2016) • Oct. 2009 – Dec 2016: 1798 data breaches • 2012: violati 113 M record (35% popolazione) U.S. Dept. of Health and Human Services • Total cost: US$6 Billion / yr • Cost per hospital: US$2.1 Million / yr Verizon (2016) Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 3
Data Breaches in other Countries (2016) • UK: 232 violazioni • AUSTRALIA: 3 milioni di record violati • CANADA: 20K file di pazienti violati • HONK KONG: 17K file violati • CHINA: 6K video di neonati caricati su un website di video-sharing • IT: ? Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 4
Quella alla privacy non è l’unica minaccia • CONFIDENZIALITÀ • rubare informazioni • INTEGRITÀ • modificare le informazioni o la funzionalità • DISPONIBILITÀ • negare l’accesso o il servizio Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 5
Ransomware • È un malware che limita l’accesso al sistema informatico infettato e richiede il pagamento di un riscatto per la rimozione del blocco. • Alcune forme di questo malware crittografano i file sul disco del sistema mentre altre bloccano il sistema visualizzando messaggi che inducono l’utente a pagare. Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 6
Ransomware • CRYPTOLOCKER (2016) • PETYA (2016) • WANNACRY (2017) • LOCKY (2017) • 16 NHS hospitals in UK • 70,000 dispositivi in 74 paesi Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 7
Ospedale offre un’ampia superficie di attacco • MEDJACK (medical device hijack) attacca dispositivi medici [2017] “A most clever wolf in very old sheep's clothing" • Dispositivi affetti • Blood gas analyzer • Magnetic resonance imaging (MRI) system • Computerized tomogram (CT) scan, • X-ray machines • PACS Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 9
Vulnerabilità • Assenza di SW per la cyber-defense • Utilizzo di SO obsoleti • Difficoltà di patching Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 10
Implantable medical devices (IMD) • È fantascienza… …vediamo se è vero Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 11
Vulnerabilità e sfide Insulin pump • Vulnerabilità CGM • Comunicazioni insicure (Replay attack, Spoofing attack) • Reverse engineering • Analisi del codice • Limiti per l’avversario • Open loop (per il momento…) • Short range (10-20 m) • Sfide per la ricerca • Lightweight cryptography Jay Radcliffe, Hacking Medical Devices for Fun and • Security + Safety + Usability (M-MI) Insulin: Breaking the Human SCADA System, Def Con 2011 (Youtube video) Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 12
Perché un ospedale è un target perfetto? • Svolge un’attività critica basata su informazioni aggiornate • Limitata formazione del personale • Budget limitato • La superficie di attacco è ampia • Cybersecurity è un nuovo requisito Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 13
È un problema diffuso nei sistemi smart Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 14
Alcune possibili soluzioni tecniche • Defense in depth • Backup • White-listing • Formazione del personale (consapevolezza) • ... • Sistema di gestione del rischio cyber Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 15
La risposta non è solo tecnologica • Ricerca e tecnologia hanno risposte Mercato • Cybersecurity è un “market failure” • Normativa • GDPR => Privacy by design Ricerca & Normativa • Quando la security by design? Tecnologia Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 16
Investimenti in cybersecurity • IT: 150 M€ • FR: 1 G€ • DE: 1 G€ • UK: 3.2 G€ • U.S.: 150 G€ Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 17
Framework Nazionale per la Cyber Security • FNCS è uno strumento di auto-valutazione del rischio cyber • E’ una serie di “regole (generali) di buon senso” che le organizzazioni devono tenere in conto per verificare il loro rischio cyber • FNCS non è uno standard (non è certificabile) • Permette di definire il proprio profilo attuale e il profilo target • Aiuta nella definizione della roadmap per passare dal profilo attuale al profilo target • FNCS è basato sul Framework NIST per la Cyber Security http://www.cybersecurityframework.it/ Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 18
Grazie per l’attenzione! Prof. Ing. Gianluca Dini Dept. of Ingegneria dell’Informazione Univ. of Pisa Tel. 050 2217 549 Email: gianluca.dini@unipi.it Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 19
Puoi anche leggere