Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cybersecurity: la dimensione
del problema
Gianluca Dini
Dipartimento di Ingegneria dell’Informazione
Università di Pisa
Security • Security si occupa di prevenire o rilevare comportamenti indesiderati • La Security considera un avversario che attivamente e maliziosamente tenta di aggirare le misure di protezione in atto Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 2
Data Breaches in U.S. (2016)
• Oct. 2009 – Dec 2016: 1798 data breaches
• 2012: violati 113 M record
(35% popolazione)
U.S. Dept. of Health and Human Services
• Total cost: US$6 Billion / yr
• Cost per hospital: US$2.1 Million / yr
Verizon (2016)
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 3
Data Breaches in other Countries (2016) • UK: 232 violazioni • AUSTRALIA: 3 milioni di record violati • CANADA: 20K file di pazienti violati • HONK KONG: 17K file violati • CHINA: 6K video di neonati caricati su un website di video-sharing • IT: ? Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 4
Quella alla privacy non è l’unica minaccia
• CONFIDENZIALITÀ
• rubare informazioni
• INTEGRITÀ
• modificare le informazioni o la funzionalità
• DISPONIBILITÀ
• negare l’accesso o il servizio
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 5
Ransomware • È un malware che limita l’accesso al sistema informatico infettato e richiede il pagamento di un riscatto per la rimozione del blocco. • Alcune forme di questo malware crittografano i file sul disco del sistema mentre altre bloccano il sistema visualizzando messaggi che inducono l’utente a pagare. Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 6
Ransomware • CRYPTOLOCKER (2016) • PETYA (2016) • WANNACRY (2017) • LOCKY (2017) • 16 NHS hospitals in UK • 70,000 dispositivi in 74 paesi Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 7
Vettori di attacco Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 8
Ospedale offre un’ampia superficie di attacco
• MEDJACK (medical device hijack) attacca dispositivi medici [2017]
“A most clever wolf in very old sheep's clothing"
• Dispositivi affetti
• Blood gas analyzer
• Magnetic resonance imaging (MRI)
system
• Computerized tomogram (CT) scan,
• X-ray machines
• PACS
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 9
Vulnerabilità • Assenza di SW per la cyber-defense • Utilizzo di SO obsoleti • Difficoltà di patching Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 10
Implantable medical devices (IMD)
• È fantascienza…
…vediamo se è vero
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 11Vulnerabilità e sfide
Insulin pump
• Vulnerabilità CGM
• Comunicazioni insicure
(Replay attack, Spoofing attack)
• Reverse engineering
• Analisi del codice
• Limiti per l’avversario
• Open loop (per il momento…)
• Short range (10-20 m)
• Sfide per la ricerca
• Lightweight cryptography
Jay Radcliffe, Hacking Medical Devices for Fun and
• Security + Safety + Usability (M-MI) Insulin: Breaking the Human SCADA System, Def Con
2011 (Youtube video)
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 12Perché un ospedale è un target perfetto? • Svolge un’attività critica basata su informazioni aggiornate • Limitata formazione del personale • Budget limitato • La superficie di attacco è ampia • Cybersecurity è un nuovo requisito Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 13
È un problema diffuso nei sistemi smart Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 14
Alcune possibili soluzioni tecniche • Defense in depth • Backup • White-listing • Formazione del personale (consapevolezza) • ... • Sistema di gestione del rischio cyber Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 15
La risposta non è solo tecnologica
• Ricerca e tecnologia hanno risposte Mercato
• Cybersecurity è un “market failure”
• Normativa
• GDPR => Privacy by design Ricerca & Normativa
• Quando la security by design? Tecnologia
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 16Investimenti in cybersecurity • IT: 150 M€ • FR: 1 G€ • DE: 1 G€ • UK: 3.2 G€ • U.S.: 150 G€ Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 17
Framework Nazionale per la Cyber Security
• FNCS è uno strumento di auto-valutazione del
rischio cyber
• E’ una serie di “regole (generali) di buon senso” che
le organizzazioni devono tenere in conto per
verificare il loro rischio cyber
• FNCS non è uno standard (non è certificabile)
• Permette di definire il proprio profilo attuale e il profilo
target
• Aiuta nella definizione della roadmap per passare dal
profilo attuale al profilo target
• FNCS è basato sul Framework NIST per la Cyber
Security http://www.cybersecurityframework.it/
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 18Grazie per l’attenzione!
Prof. Ing. Gianluca Dini
Dept. of Ingegneria dell’Informazione
Univ. of Pisa
Tel. 050 2217 549
Email: gianluca.dini@unipi.it
Pisa, 27/10/2017 Cybesecurity: la dimensione del problema 19Puoi anche leggere
