Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa

Pagina creata da Serena Grimaldi
 
CONTINUA A LEGGERE
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Cybersecurity: la dimensione
       del problema
                 Gianluca Dini
  Dipartimento di Ingegneria dell’Informazione
               Università di Pisa
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Security
• Security si occupa di prevenire o rilevare comportamenti
  indesiderati

• La Security considera un
  avversario che attivamente e
  maliziosamente tenta di
  aggirare le misure di protezione
  in atto

Pisa, 27/10/2017        Cybesecurity: la dimensione del problema   2
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Data Breaches in U.S. (2016)
• Oct. 2009 – Dec 2016: 1798 data breaches
• 2012: violati 113 M record
  (35% popolazione)
             U.S. Dept. of Health and Human Services

• Total cost: US$6 Billion / yr
• Cost per hospital: US$2.1 Million / yr
             Verizon (2016)

Pisa, 27/10/2017                Cybesecurity: la dimensione del problema   3
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Data Breaches in other Countries (2016)
• UK: 232 violazioni
• AUSTRALIA: 3 milioni di record violati
• CANADA: 20K file di pazienti violati
• HONK KONG: 17K file violati
• CHINA: 6K video di neonati caricati su un website di
  video-sharing
• IT: ?
Pisa, 27/10/2017     Cybesecurity: la dimensione del problema   4
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Quella alla privacy non è l’unica minaccia
• CONFIDENZIALITÀ
      • rubare informazioni

• INTEGRITÀ
      • modificare le informazioni o la funzionalità

• DISPONIBILITÀ
      • negare l’accesso o il servizio

Pisa, 27/10/2017               Cybesecurity: la dimensione del problema   5
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Ransomware
• È un malware che limita l’accesso al
  sistema informatico infettato e
  richiede il pagamento di un riscatto
  per la rimozione del blocco.
• Alcune forme di questo malware
  crittografano i file sul disco del sistema
  mentre altre bloccano il sistema
  visualizzando messaggi che inducono
  l’utente a pagare.

Pisa, 27/10/2017             Cybesecurity: la dimensione del problema   6
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Ransomware
• CRYPTOLOCKER (2016)
• PETYA (2016)
• WANNACRY (2017)
• LOCKY (2017)

   • 16 NHS hospitals in UK
   • 70,000 dispositivi in 74 paesi

Pisa, 27/10/2017          Cybesecurity: la dimensione del problema   7
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Vettori di attacco

Pisa, 27/10/2017     Cybesecurity: la dimensione del problema   8
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Ospedale offre un’ampia superficie di attacco
• MEDJACK (medical device hijack) attacca dispositivi medici [2017]
          “A most clever wolf in very old sheep's clothing"

• Dispositivi affetti
      • Blood gas analyzer
      • Magnetic resonance imaging (MRI)
        system
      • Computerized tomogram (CT) scan,
      • X-ray machines
      • PACS
Pisa, 27/10/2017               Cybesecurity: la dimensione del problema   9
Cybersecurity: la dimensione del problema - Gianluca Dini Dipartimento di Ingegneria dell'Informazione Università di Pisa - Università di Pisa
Vulnerabilità
• Assenza di SW per la
  cyber-defense

• Utilizzo di SO obsoleti

• Difficoltà di patching

Pisa, 27/10/2017      Cybesecurity: la dimensione del problema   10
Implantable medical devices (IMD)
• È fantascienza…
      …vediamo se è vero

Pisa, 27/10/2017      Cybesecurity: la dimensione del problema   11
Vulnerabilità e sfide
                                                                                          Insulin pump
• Vulnerabilità                                                                         CGM
      • Comunicazioni insicure
             (Replay attack, Spoofing attack)
      • Reverse engineering
      • Analisi del codice
• Limiti per l’avversario
      • Open loop (per il momento…)
      • Short range (10-20 m)
• Sfide per la ricerca
      • Lightweight cryptography
                                                                       Jay Radcliffe, Hacking Medical Devices for Fun and
      • Security + Safety + Usability (M-MI)                           Insulin: Breaking the Human SCADA System, Def Con
                                                                       2011 (Youtube video)
Pisa, 27/10/2017                          Cybesecurity: la dimensione del problema                                      12
Perché un ospedale è un target perfetto?
• Svolge un’attività critica basata su
  informazioni aggiornate
• Limitata formazione del personale
• Budget limitato
• La superficie di attacco è ampia
• Cybersecurity è un nuovo requisito

Pisa, 27/10/2017        Cybesecurity: la dimensione del problema   13
È un problema diffuso nei sistemi smart

Pisa, 27/10/2017   Cybesecurity: la dimensione del problema   14
Alcune possibili soluzioni tecniche
• Defense in depth
• Backup
• White-listing
• Formazione del personale (consapevolezza)
• ...
• Sistema di gestione del rischio cyber

Pisa, 27/10/2017       Cybesecurity: la dimensione del problema   15
La risposta non è solo tecnologica
• Ricerca e tecnologia hanno risposte                                                Mercato

• Cybersecurity è un “market failure”

• Normativa
      • GDPR => Privacy by design                                       Ricerca &       Normativa
      • Quando la security by design?                                   Tecnologia

Pisa, 27/10/2017             Cybesecurity: la dimensione del problema                          16
Investimenti in cybersecurity
• IT:              150 M€
• FR:              1 G€
• DE:              1 G€
• UK:              3.2 G€
• U.S.:            150 G€

Pisa, 27/10/2017            Cybesecurity: la dimensione del problema   17
Framework Nazionale per la Cyber Security
• FNCS è uno strumento di auto-valutazione del
  rischio cyber
      • E’ una serie di “regole (generali) di buon senso” che
        le organizzazioni devono tenere in conto per
        verificare il loro rischio cyber
• FNCS non è uno standard (non è certificabile)
      • Permette di definire il proprio profilo attuale e il profilo
        target
      • Aiuta nella definizione della roadmap per passare dal
        profilo attuale al profilo target
• FNCS è basato sul Framework NIST per la Cyber
  Security http://www.cybersecurityframework.it/

Pisa, 27/10/2017                      Cybesecurity: la dimensione del problema   18
Grazie per l’attenzione!

                         Prof. Ing. Gianluca Dini
                         Dept. of Ingegneria dell’Informazione
                         Univ. of Pisa

                         Tel. 050 2217 549
                         Email: gianluca.dini@unipi.it

Pisa, 27/10/2017   Cybesecurity: la dimensione del problema      19
Puoi anche leggere