Impatto della trasformazione digitale sulla Cybersecurity - Paola Girdinio - Università degli Studi di Genova
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Impatto della trasformazione
digitale sulla Cybersecurity
Paola Girdinio – Università degli Studi di Genova
Infrastrutture critiche
Definizione del Gruppo di lavoro sulla Protezione delle IC (Dipartimento per l’innovazione e le
Tecnologie della Presidenza del Consiglio dei Ministri)
Complesso di reti e sistemi che includono industrie, istituzioni, e
strutture di distribuzione che, operando in modo sinergico, producono un
flusso continuato di merci e servizi essenziali per l’organizzazione, la
funzionalità e la stabilità economica di un moderno paese industrializzato
e la cui distruzione o temporanea indisponibilità può indurre un impatto
debilitante sull’economia, la vita quotidiana o le capacità di difesa di un
paese.
Con questa definizione si evidenzia l’aspetto di network e sistemico e
che l’aspetto critico non è tanto nel valore del singolo componente,
quanto piuttosto nella sua valenza sistemica
2
Leve che spingono integrazione CI e aspetti negativi per la
sicurezza
Social Economical Technological Political
Many actors with Integration No geographical
clashing intetersts contiguity
Interdependencies Domino effect Global threats
Le diverse infrastrutture risultano sempre più strettamente interdipendenti al punto
che qualunque guasto, di natura accidentale o dolosa, può facilmente propagarsi
ed amplificarsi attraverso di esse fino da affliggere utenti remoti, sia dal punto di
vista geografico che logico, rispetto all’origine del malfunzionamento
3
Third millenium socio-techno scenario
Monitorimg System
Before 2000
Infrastructure vertically
Financial Services
Health Care
Electric Power Net
Telecomunication
integrated, i.e
Telecomunication
Public Utilities
Public Utilities
Financial Services autonomous system
with limited contact
points
Health Care
After 2000 Cyberspace
Infrastructure
integrated,
interdependency with
share a common
framework: the
cyberspace
Interdipendenze tra infrastrutture critiche
(Fonte: Progetto Quick-scan)
5
La trasformazione digitale
Dati e connettività come abilitatori chiave
Quasi il 90% delle società ha
almeno pianificato la Alla base della trasformazione digitale delle società ci sono dati e
trasformazione digitale1 connettività come abilitatori fondamentali
Ha iniziato la trasformazione digitale?
Non ancora pianificata
11%
Performance Data skills Insight
Pianificato, testato,
implementato Il 57% degli Executives
11% Il 71% degli
89% +30%
Le società lnsights-
driven hanno una
crescita media
71%
Executives dichiara
che più del 50% delle
proprie decisioni di 57%
dichiara che entro il
prossimo anno i data
analytics basati su IoT
annuale >30% business è guidato da aumenteranno le
analytics capacità di decision
making
1. Percentuale calcolata su un panel di 1535 CxOs (Corporate Executive) e decision maker provenienti da aziende localizzate in 16 stati.
Fonte: Fujitsu 2018, Forrester 2018, Forbes 2017, elaborazione A.T. Kearney
I dati generati stanno crescendo in maniera
esponenziale, guidati da M2M, IoT e productivity data
CAGR
2017-25
Generazione dati per tipologia (ZB, 2015-25; CAGR, 2017-25) 160
58% Embedded: dati creati da dispositivi
24% come machine-to-machine e IoT.
125
18% Productivity data: file su PC e
41%
26% 100 server, file di registro e metadati
25%
12%
22%
80
9% 25% 21% Non Entertainment: immagini/video
63
24%
non a scopo di intrattenimento (es.
8% 26%
53 29% video sorveglianza)
9% 24% 28%
42
37 7% 19%
35%
8% 17%
25 14% 35% Entertainment
22 33%
38% 17%
10% 4% 35%
14 12%
35% 31% 26%
1% 41% 37%
29% 12% 33% 33%
49% 43% 43% 34%
58% 45%
2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025
Nel 2025 si prevedono oltre 75 Mld di dispositivi connessi
Fonte: IDC (2017), IHS (2016), elaborazione A.T. Kearney
Nelle Utilities, unità IoT e spesa in Big Data crescono
in maniera esponenziale
CAGR
Unità IoT installate globalmente dalle Utilities Spesa globale delle Utilities nei Big Data (’17-’20)
(Milioni di unità, 2015 - 2020) (Mln $, 2015 - 2020)
Hadoop NoSQL
1.128 Big Data Integration Data Virtualization 271
+23% +21%
925 229 62
46%
46
186 29%
754 53
32
607 152 42 20%
18
128 20 33
15
482 11 24
102 19
13
381 12
3
9
11
8
138
125 12%
109
89 97
80
2015 2016 2017 2018 2019 2020 2015 2016 2017 2018 2019 2020
1. Non include Enterprise Data Warehouse, In-memory Data fabric
Fonte: Gartner (2016), Forrester (2016), elaborazione A. T. Kearney
Tutte le aziende sono soggette ad attacchi cyber
con un costo medio crescente
% di società che hanno subìto Costo medio per azienda Costo medio per azienda degli attacchi
attacchi delle seguenti tipologie1 per tipo di attacco ($M, ($M, annualizzato) 1
annualizzato) 1
14
Malware 2,4 1st
$11,7M
Phishing 1,3 5th 12
Attacchi da web 2,0 2nd $9,5M
10
Malicious Code 1,3 6th $7,6M $7,7M
8 $7,2M
Botnets 0,4 9th
6 23%
Devices rubati 0,9 7th Crescita del costo
4 medio nell’ultimo
Denial of services 1,6 3rd
anno
Malicious Insiders 1,4 4th 2
Ransomware 0,5 8th
0
0% 20% 40% 60% 80% 100% 2013 2014 2015 2016 2017
2017 2016
1. Percentuali e valori basate su un campione di 2.182 interviste effettuate in 254 aziende e in sette paesi (Australia, Francia, Germania, Italia, Giappone, Regno Unito e Stati Uniti). I costi sono stati calcolati facendo una media
di quanto le società hanno speso nelle 4 settimane successive ad un attacco cyber e annualizzati
Fonte: Ponemon Institute (2017), Cost of Cyber Crime Study
Cyber Security, big data e cloud sono le soluzioni più
adottate dalle aziende
Tasso di adozione delle soluzioni tecnologiche principali da Tasso di adozione delle soluzioni tecnologiche per settore2
parte delle società1
Retail Finance Utility Automotive
Cyber Security 69% 74% 72% 70% 57%
Big Data 67%
66% 73% 63% 55%
Cloud 60%
62% 65% 66% 57%
Artificial 56%
Intelligence 52% 48% 61% 71%
50%
3D Printing 37% 32% 45% 66%
1. Percentuali basate su un campione di 1.000 interviste effettuate a senior IT e business decision makers di società con >1.000 dipendenti e >500 mln $ di fatturato
2. Percentuali basate su survey condotte su un panel di senior IT e business leaders dei rispettivi settori (115 retail,113 finance,102 utilities, 110 automotive)
Fonte: Infosys «How enterprises are steering through digital disruption»; Infosys Digital Outlook Bank, Automotive, Retail; elaborazione A.T. KearneyGli attacchi cyber crescono in maniera esponenziale
Stuxnet 3$Mln rubati Presi di mira i Media,
tramite spear Aeroporti e Trasporti di Facebook: attacchi
Primo attacco importante mirato 15$Mln phishing Russia ed altri Paesi
all’Industrial Control System (SCADA) costo di riparazione 20K dispositivi informatici che
Infettati 900K europei
38K macchine infettate (22K residenti in router di utenti criptati (hit colpiscono fino a 50 M
Iran) finali per diverse Chernobyl) utenti
ore DDoS
Data Breach
Ransomware Compromessi 10
Informazioni rimosse o PETYA
sovrascritte sui dischi APT Mln di dispositivi
1Mld di account IoT Ransomware
rigidi di 35K-50K compromessi Botnet
Worm workstation
57 Mln di Dati Rubati 1,5 Mln di dati di
Personali rubati persone dal database sulla
salute di Singapore
Data Breach
Shamoon Data Breach
Data Breach
2010 2011 2012 2013 2014 2015 2016 2017 2018
Ransomware Data Breach
Malware toolkit Data Breach Data
Data Breach Trojan Breach
145Mln di utenti L’attacco a British Airways
Data Breach
potenzialmente compromette più di 380K
Tagliata la WANNACRY
impattati pagamenti con carta
corrente a 200K dispositivi
centinaia di Attacco alla rete elettrica criptati in 150 Security Bug
83 Mln di migliaia di case ucraina che ha privato Paesi
9 Mln di ID account per varie ore in dell’elettricità una parte di Impatti su quasi tutti i
compromessi compromessi Ucraina Kiev per un'ora processori prodotti negli
ultimi venti anniSi evolvono sia le minacce cyber che le tecniche di difesa e
risposta
Opportunistics
CPU BUG
THREATS
PHISHING RANSOM
Attacks
SPAM BOTS WARE
TROJANS
APTs MOBILE
SPYWARE DDoS ROOTKIT THREATS
VIRUS
ZERO DAYS
IoT
THREATS Focused
1990 2000 2010 Oggi
Proactive
Defense
URL INTELLIGENCE
ANTIVIRUS FILTERING WHITELISTING
DATA LOSS
ANTISPAM FILTERING BEHAVIOURAL INFO SHARING
ANTI
MALWARE ANALYSIS
HEURISTICS
CYBER SECURITY
12
BY DESIGN
ReactiveAl giorno d'oggi,
un utente
malintenzionato
non ha bisogno di
essere un abile
hacker.
Può facilmente
acquistare hacking
capabilities ‘as a
Service’ sul dark
web.
13Le evoluzioni regolatorie mettono al centro la Cyber Security
Estratto quadro normativo generale Cyber Security
Differenti Standard, Regolamenti e Leggi esistenti ed emergenti in 42 Paesi
Federal Law 187
Federazione Russa
Royal Decree D. Lgs 65/2018
NERC CIP v6 Attua la direttiva NIS in Italia a partire da giugno 2018
12/2018 Spagna Italia
Nord America
Recente evoluzione dello scenario normativo Selezione
Notificare alle autorità
Gli operatori di Adottare misure Usare misure per
CSIRT1 & NIS2 gli
servizi essenziali e tec./org. per prevenire
incidenti impattanti
NIS Directive fornitori di servizi gestire i rischi di l'impatto degli
sulla continuità del
Acuerdo 788 2016/1148/CE digitali devono: rete incidenti di rete
servizio
Colombia
Limiti a
General Data Regole su Descrizione norme in
trattamento
Protection Regulation informazione caso di violazione dei
GDPR automatizzato di
prevede: e il consenso dati
dati personali
EU 679 2016
Cyber Security Act è Creare un quadro europeo per la
Rafforzare
una proposta di certificazione della sicurezza
Europea Nazionale In preparazione ruolo
Cyber Sec. Act Regolamento il cui informatica dei prodotti ICT e dei
dell’ENISA3
(proposta EU) obiettivo sarà: servizi digitali
1. Computer Security Incident Response Team
2. Network and Information Security
3. Agenzia UE per la sicurezza delle reti e dell’informazione Il Miglioramento della Cyber Security come priorità per gli operatori europei di servizi essenzialiLa convergenza IT / OT / IoT offre opportunità ma aumenta
anche i rischi cyber
Obiettivo: Confidentiality (=Data Protection) Obiettivo: Availability (=Safe Operation)
Confidentiality Availability
IT
Integrity
Integrity
Availability
OT
Confidentiality
Priorità OT
Priorità IT
IoT
Consumer & Industrial (Industry 4.0)
Obiettivo: Connectivity
2 driver principali
Real time data Low costCambiamento del paradigma del mondo dell'energia elettrica
Cambiamento del paradigma energia da:
Poche grandi centrali con confine definito a generazione distribuita
Towards Smart Grid/City
Electric systems completely interconnected
For the Power plants and energy sector the
and able to provide add value services to
medieval castle paradigm (the good guys in,
customers and improve QoS/reliability of the
the bad guys out) is no more efficient
electric system (balance of the grid,
optimization of energy flow etc)
16Il cambio di paradigma nel settore energetico
DA… …A
L arge S mall
L egacy S mart
L ocalized • Grandi impianti di
generazione
• Piccoli produttori di
energia rinnovabile che
S ocial
• Applicazioni e dati condividono elettricità
L imited centralizzati peer-to-peer
• Applicazioni e dati aperti e
S ustainable
distribuiti
Vendita di servizi Ecosistema di servizi
distribuitiL’evoluzione digitale sta cambiando il ruolo dell’ICT
La percezione degli attacchi cyber sta crescendo nel settore assicurativo
◼ La sicurezza informatica sta crescendo nella
lista top 10 dei rischi aziendali globali secondo
l’Allianz Risk Barometer.
◼ Più del 53% degli attacchi informatici sono condotti
su infrastrutture critiche come elettricità, acqua,
petrolio e gas. Il 75% su aziende industriali
◼ Molte di queste infrastrutture sono state
progettate resilienti, ma non sono state
progettate pensando alla cyber security.
18Cyber Security by Design
Approccio proattivo alla Cyber Security dalle prime fasi del ciclo di vita di una soluzione
Ha l’obiettivo di garantire l’adozione dei principi di Cyber Security fin dalle prime fasi e durante l’intero ciclo di
vita delle soluzioni IT/OT/IoT e delle infrastrutture
Esempio del ciclo di vita di una soluzione
Cyber Security inclusa
Vendor selection Analysis and Development & Deployment
Requirement Implement.
Definition
Strategy Architecture Testing &
Definition and & Design Integration
Planning
Response managers coinvolti durante l’intero ciclo di vita della soluzioneQuesta evoluzione richiede da parte dei manager una migliore consapevolezza di come il
panorama di minacce cyber possa compromettere il business e l’erogazione del servizio
Electricity Sector Worldwide Cyber Security Threat Landscape
Periodo Attività ▪ 2011 - 2017 ▪ Energy grid e production company e fornitori di soluzioni
Esempi di Threat
industriali, includendo ICS
Actor: Dragonfly / Obiettivi
Energetic Bear Gruppo dell’est Europa con focus primario su ▪ 84 nazioni colpite, tra le principali US, Spagna, Francia,
Descrizione Italia, Germania, Turchia e Polonia
sabotaggi e spionaggio
Shamoon Attack - Saudi BlackEnergy Power Grid in Ransomware Attack - DDOS Attack - DYN Domain
Aramco Ucraina Utility1, Michigan USA Name System
Attaccant
Attaccante Cutting Sword of Justice Attaccante Sconosciuto Attaccante Sconosciuto Sconosciuto
e
Data Data Data Data
Scoperta
Agosto 2012 Scoperta
Dicembre 2015 Scoperta
Aprile 2016 Scoperta
Ottobre 2016
Esempi:
Motivo Sabotaggio Politico Motivo Sabotaggio Politico Motivo Finanziario (Ransom) Motivo Vandalismo
Incidenti di
Cyber Security
Significanti
▪ 35,000 hard drives ▪ Preso controllo di HMI, ▪ Attacco spear phishing ▪ DDOS attack da “decine
parzialmente / SCADA, backup power e con inoculazione di di millioni” di IoT device
totalmente distrutti sistemi telefonici malware infetti da malare
Impact Impact Impact Impact
▪ Servizi IT offline ▪ 230,00 residenti offline ▪ Fermo auto-imposto di ▪ Amazon, PayPal, Twitter,
per ore (best case) o tutti I sistemi aziendali Netflix, Spotify e altri off-
▪ 5 mesi per full recovery giorni (worst case) per due settimane line per diverse ore
1) Lansing Board of Water and Light, Lansing, Michigan USAVerso l’Osservatorio Nazionale su Cyber Sistemi Energetici……..
❑ Le aziende leader nel settore energetico sempre di più considerano gli attacchi cyber come
un attacco alla continuità di servizio.
❑ Dal 2018 le sole industrie del settore oil and gas potrebbero investire circa $1.87 bilion ogni
anno sulla Cybersecurity.
❑ Nonostante ciò c’è ancora una limitata informazione condivisa tra industria e gli altri attori
con competenza cyber
→ Migliorare l’informazione, condividere ‘best practices’ contribuirebbe ad una maggiore
consapevolezza dell’impatto dei rischi cyber nelle aziende energetiche e nel settore
energetico nel suo insieme.
→ Il settore deve adottare un approccio sistemico e valutare il problema attraverso l’intera
‘supply chain’, per migliorare i sistemi di protezione e limitare qualsiasi possibile effetto
domino che potrebbe essere causato dal un guasto in un’area della catena di valore.
21I principi normativi, ed in particolare la partnership pubblico-privato e il coinvolgimento del
mondo universitario, hanno quindi ispirato la creazione dell’Osservatorio
Osservatorio Nazionale per la Cyber Security delle Reti Elettriche
L’osservatorio Nazionale per la Cyber Security, Resilienza e Business Continuity delle Reti Elettriche ha il fine di sviluppare uno
VISION strumento che consenta una gestione unificata della cyber security, di promuovere e realizzare iniziative di collaborazione, scambio
informazioni e di ricerca nel settore delle reti per l’Energia Elettrica attraverso il coinvolgimento di partner pubblici e privati.
Il tavolo di lavoro permanente che si è formato dal 2015 ad oggi svolge le proprie attività in modo esteso a
tutte le Infrastrutture Critiche Elettriche Nazionali ed a tutti i livelli del sistema nazionale Generazione,
Trasmissione e Distribuzione(AT/MT/Bt) con un occhio di riguardo ai nuovi assetti di Cyber Security della
moderna rete Nazionale che presenta sempre più nodi di Generazione Green nonché alle moderne Smart-
Grid/Micro-Grid (Generazione Distribuita).
STRUTTURA
Il tavolo di lavoro dell’Osservatorio vanta numerose collaborazioni e contributi, a partire dalla Scuola
Politecnica di Ingegneria dell’Università di Genova, ad i maggiori player nazionali dell’energia elettrica con
capofila ENEL S.p.A. ed a seguire ANSALDO-Energia S.p.A., TERNA S.p.A., IREN S.p.A. ed altri operatori
che nel frattempo stanno entrando nel gruppo. A questi si uniscono i maggiori produttori di sistemi e
prodotti a supporto delle reti stesse come Leonardo, Kaspersky, Siemens, ABB ed altri.
Contatti con le aziende e con enti che operano sul territorio nazionale; Pantaray, Intellium-Deloitte, MAPS
group, GCSEC.23
https://circie.unige.it/LINEE_GUIDA_CYBER_ELETTRICO.pdf
Conclusioni
Tutti stakeholders devono lavorare insieme
1. Fattori tecnici e fattori
umani.
2. Condivisione delle
informazioni su rischio
cyber. Governi Associazioni industriali
3. Risk assessment an
quantification.
4. Sviluppo di standards e
best practices. Settori finanziari e assicurativi
Industrie High Tech Industrie Energetiche
25Puoi anche leggere
