Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
QUADERNO ISACA VENICE
Sicurezza Cibernetica Nazionale, la
consapevolezza delle Aziende nei Settori
Critici del Nord Est
Scenario e Linee guida per l’autovalutazione
Luca Moroni
Dr. Luca Moroni - Via Virtuosa
20 Novembre 2014

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
ISACA Venice Chapter è una associazione non profit costituita in Venezia nel
novembre 2011 da un gruppo di professionisti del Triveneto che operano nel
settore della Gestione e del Controllo dei Sistemi Informativi.
Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance,
Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le
certificazioni professionali sviluppate da ISACA©: CISA©, CISM©, CGEIT©,
CRISC©, COBIT5© Foundation (www.isaca.org/chapters5/venice).
ISACA (Information Systems Audit & Control Association) è una associazione
internazionale, indipendente e senza scopo di lucro.
Con oltre 100.000 associati a 200 Capitoli in più di 160 Paesi, ISACA è leader
mondiale nello sviluppo delle competenze certificate, nella promozione di
community professionali e nella formazione nei settori dell’assurance e
sicurezza del governo dell’impresa, della gestione dell’IT, dei rischi e della
compliance in ambito IT (www.isaca.org).
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Luca Moroni
Coordinatore di gruppi di Approfondimento per ISACA VENICE
Chapter
Quaderno n.1: Vulnerability Assessment e Penetration Test. Linee
guida per l’utente di verifiche di terze parti sulla sicurezza ICT.
Quaderno n.5: Sicurezza Cibernetica Nazionale, la consapevolezza
delle Aziende nei Settori Critici del Nord Est
Laureato in Informatica a Milano, Certificato CISA e ITIL V3 e
Certificazioni di settore
Membro di ISACA
Da 15 anni appassionato di Sicurezza Informatica a livello
professionale tenendo seminari nel Nord Est sull’argomento
Mi occupo di selezionare per i clienti le aziende fornitrici di tecnologie
informatiche in base alle loro competenze specifiche. Sono fautore da
sempre di aggregazioni di rete
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Ringrazio il Team per aver contribuito attivamente alla
realizzazione di questo QUADERNO
Dr. Luca Moroni - Via Virtuosa
Giuseppe Esposito CISA, PMP, LA 27001,
CSA-STAR, 22301, 9001, ITIL-V3 Foundation,
ISO2000 Foundation
Alessandro Guarino LA 27001
Pierlugi Sartori CISSP, CISM, CGEIT,
CRISC, MBCI
e
Il presidente del Capitolo Orillo Narduzzo per
la fiducia accordata

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Evento ISACA VENICE CHAPTER 3 Ottobre 2014 – Venezia
Intervento Dr. Marco Balduzzi (In)security of smart transportation at sea
The Automated identification System (AIS)
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
L’anno scorso avevamo fatto questa domanda:
Ha mai svolto delle analisi di sicurezza nel perimetro
interno?
Dove l’analisi è composta da una serie di processi che simulano le azioni
normalmente svolte da un dipendente e consulente nella rete interna.
Dr. Luca Moroni - Via Virtuosa
Il 57% non ha mai
svolto una analisi
interna o non ne
sente l’esigenza

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Ma se fosse una Azienda/Ente che un impatto
sulla vita sociale?
Dr. Luca Moroni - Via Virtuosa
Questa la ricordiamo tutti

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Cosa si intende per Infrastruttura Critica
Una infrastruttura viene considerata critica a
livello europeo se la sua compromissione avrebbe
un serio impatto sulla vita sociale dei cittadini,
cioè per esempio sulla salute, la sicurezza
fisica e logica o il benessere economico dei
cittadini, o sull’effettivo funzionamento dello
Stato; oppure potrebbe portare gravi conseguenze
sociali o altre drammatiche conseguenze per la
Dr. Luca Moroni - Via Virtuosa
comunità

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Quali sono i settori critici per l’Italia
• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e
di tutte le forme di energia, quali ad esempio il gas naturale
• Telecomunicazioni e telematica;
• Risorse idriche e gestione delle acque reflue;
• Agricoltura, produzione delle derrate alimentari e loro distribuzione;
• Sanità, ospedali e reti di servizi e interconnessione
• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei
carburanti e dei prodotti di prima necessitali
• Banche e servizi finanziari;
• Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate,
ordine pubblico);
• Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle
Emergenze.
• TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA
VITA
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Cyber minaccia per le Infrastrutture Critiche dell’Italia
9/3/2014: La "relazione sulla politica dell’Informazione per la Sicurezza -
2013”, presentata in Parlamento dalla Presidenza del Consiglio per la
prima volta pone al primo posto la Minaccia Cyber.
Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo
importante del piano di protezione nazionale, l’Italia vanta una delle più
alte percentuali in Europa di PIL prodotto da aziende medie, piccole e
micro-aziende, le quali detengono un patrimonio in termini di know-how.
Questo know-how è a rischio, come descrive la relazione. Per due motivi:
1) Vi è in grande numero di attori interessati ad appropriarsi di know-how
attraverso l’uso di strumenti Cyber
2) Le piccole e medie imprese sono di gran lunga meno protette delle
grandi aziende, di conseguenza la sottrazione di know-how avviene in
modo più semplice e invisibile.
http://www.agendadigitale.eu/infrastrutture/722_cybercrime-danneggia-il-sistema-italia-per-20-40-mld-annui.htm
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Le aziende appartenenti ai settori Critici nel Nord Est
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Dr. Luca Moroni - Via Virtuosa
Energia
telecomunicazioni
risorse idriche
filiera agroalimentare
sanita'
trasporto carburanti e beni prima necessita'
banche
foze dell'ordine
gestione delle emergenze

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica?
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla
sicurezza informatica?
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Uno scenario
Abbiamo preso i dati dal recente report CLUSIT 2014 e aggregando gli incidenti
informatici nei settori critici nel periodo 2011 – 2013. Li abbiamo inseriti in un modello
statistico per ipotizzare l’andamento nei prossimi anni. L’ipotesi peggiore potrebbe
prevedere quasi un raddoppio degli incidenti alla fine del 2014. Magari sull’onda dalla
crescita fatta segnare dai nuovi obiettivi. Oppure confermare una stabilizzazione
iniziata da Telecomunicazioni, Sanità ed Enti Governativi e Militari.
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una violazione di sicurezza informatica
di un elemento della sua infrastruttura potrebbe avere un effetto anche al di fuori della sua azienda?
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Lo scenario verso la fabbrica
• Norme: di origine UE centrate attorno alla Infrastrutture
Critiche e il loro controllo sempre più informatizzato
• L’Italia aggiunge anche la PMI
• Diffusione attacchi cibernetici a infrastrutture e impianti
• Principi applicabili a tutti, non solo alle IC designate:
• Approccio basato sulla gestione del rischio ed ad una sua
valutazione per capire il contesto in cui si trova l’azienda
• Se gli impianti usano tecnologie ICT sono soggetti agli
stessi rischi degli uffici e della sala server (vedi Stuxnet)
Dr. Luca Moroni - Via Virtuosa
Sorgente: BSI analysis about cyber security 2012

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
I Sistemi di Fabbrica – L’evoluzione della sicurezza
…..aziende medie, piccole
e micro-aziende, le quali
detengono un patrimonio
in termini di know-how…..
Dr. Luca Moroni - Via Virtuosa
IERI OGGI
ARCHITETTURA Collegamenti fisici
dedicati
Reti aperte su base IP
ADSL, USB, WIFI
TECNOLOGIA Sistemi proprietari con
protocolli specifici
Sistemi standard con
protocolli standard
INCIDENTI Scarsi In crescita rapida

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
I Sistemi di Fabbrica – L’evoluzione della sicurezza
Dr. Luca Moroni - Via Virtuosa
IERI OGGI
ARCHITETTURA Collegamenti fisici
dedicati
Reti aperte su base IP
ADSL, USB, WIFI
TECNOLOGIA Sistemi proprietari con
protocolli specifici
Sistemi standard con
protocolli standard
DATI USA: http://www.scadahacker.com/
INCIDENTI Scarsi In crescita rapida

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Le 10 minacce più insidiose nei sistemi IT di fabbrica
• Uso non autorizzato degli accessi remoti per la manutenzione (VNC)
• Attacchi Online attraverso la rete degli uffici
• Attacchi a dispositivi IT standard presenti nella rete di fabbrica
• Attacchi DDOS
• Errori umani e sabotaggi
• Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell
ecc…)
• Lettura e scrittura di comandi manipolabili perché non criptati (VPN)
• Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni
di Default)
• Violazioni agli apparati di rete
• Problemi tecnici e casualità (backup delle configurazioni)
Dr. Luca Moroni - Via Virtuosa
Sorgente: BSI analysis about cyber security 2012

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Ufficio IT e Controllo di Fabbrica – Colloquio difficile
Dr. Luca Moroni - Via Virtuosa
Devo prepararmi
ad aggiornare!
Che problema
c’è? Funziona e
non si tocca
PER ME CONTA DI PIU’
LA PROTEZIONE DELLA
COMUNICAZIONE
PER ME CONTA DI PIU’
LA DISPONIBILITA’
PROBLEMA!
Gianni Stefano

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Ufficio IT e Controllo di Fabbrica – Esigenze diverse
Fabbrica Requisiti di Sicurezza Ufficio IT
Disponibilità, Integrità, Confidenziailità Priorità della Sicurezza Confidenziailità, Integrità, Disponibilità
h24x365g
(Riavvio non possibile)
Dr. Luca Moroni - Via Virtuosa
Disponibilità Normalmente orario ufficio 8h
(Riavvio possibile)
Nel peggiore dei casi molto seri,
possibili anche vittime
Danni per l’Azienda Perdita di Denaro
Violazione Privacy
10 - 20 Anni Longevità 3-5 Anni
Risposte in Real Time Tempi di risposta Non importante
Dipende dal Produttore Mediamente
lunghi (una volta ogni 1~4 Anni)
Tempo medio di Update Frequenti e Regolari
Ufficio Produzione e Automazione Gestione a carico di Ufficio CED
Differenti Standard / definiti a livello di
Nazione
Standard di Sicurezza Standard Internazionali
Apparati (Attrezzature, Prodotti)
Servizi (Conitnuità)
Obiettivo della Sicurezza Protezione delle informazioni

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
DOMANDA: Quali di questi elementi della Sicurezza Informatica, che sono diventati
rilevanti in relazione alle nuove tecnologie, non ha mai preso in considerazione?
Sistemi di Automazione Industriale (PLC, DCS, etc..)
Furto di informazioni in formato elettronico dall'esterno
Furto di informazioni in formato elettronico dall'interno
Cloud/Outsourcing
® Gruppo di Lavoro 2013 Isaca Venezia
Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est
Indagine svolta su 55 aziende
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
ROI per un attaccante Dove creo più
Dr. Luca Moroni - Via Virtuosa
danni e magari
posso ricattare
una azienda
PER ME CONTA DI PIU’
LA PROTEZIONE DELLA
COMUNICAZIONE
PER ME CONTA DI PIU’
LA DISPONIBILITA’

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Ma se stiamo parlando di questo
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
E’ richiesta maggiore responsabilità
la Comunità Europea invita le industrie a riflettere sui modi per
responsabilizzare amministratori delegati e le commissioni sulla
sicurezza informatica. Questa indicazione del livello di sicurezza
informatica diventerà un valore per l’azienda come indicatore di
affidabilità in particolare per le aziende considerate critiche.
Concetti come “IT Security by Design” prevedono di incorporare la
sicurezza informatica in tutte le fasi e aspetti, dalla progettazione
delle strutture, alla costruzione fino alla messa in produzione.
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Il nostro contributo: uno strumento di autovalutazione
Abbiamo creato 5 check list, una per ognuna delle cinque
aree di processi in cui viene scomposta la gestione della
continuità operativa per una Infrastruttura Critica.
1. Misure preventive
2. Revisione della gestione della crisi
3. Gestione della crisi vera e propria
4. Follow-up (successivo alla crisi)
5. Esercitazioni
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Il nostro contributo: uno strumento di autovalutazione
Prima check list: Misure preventive
Le misure preventive riguardano i processi relativi alla prevenzione degli
eventi disastrosi.
Esempio
Area “misure preventive”, sez. “Information Technology”:
1.7.3.2 I dati critici sono memorizzati in posti diversi?
(Si verifica la disponibilità di backup dislocati in molteplici luoghi)
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Il nostro contributo: uno strumento di autovalutazione
Seconda check list: Revisione della gestione della crisi
La revisione della gestione della crisi riguarda la preparazione dell’ambiente
aziendale in modo che ci sia una efficace risposta alle situazioni disastrose.
Esempio
Area “Revisione della gestione della crisi”, sez. “Informazioni richieste ed
archivi”
2.1.5.3 Gli archivi necessari sono tutti a portata di mano?
(Si verifica la disponibilità degli archivi necessari per la gestione della crisi)
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Il nostro contributo: uno strumento di autovalutazione
Terza check list: Gestione della crisi vera e propria
La gestione della crisi vera e propria comprende i processi necessari a
contenere le conseguenze di un evento disastroso quando quest’ultimo
accade.
Esempio
Area “Gestione della crisi vera e propria”, sez. “Trattamento di dati critici ed
archivi”
3.2.9.1 I supporti e gli archivi critici sono sempre tenuti in contenitori a prova
di incendio e allagamento?
(si verifica l’efficacia delle misure di protezione di archivi e supporti durante
un evento disastroso)
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Il nostro contributo: uno strumento di autovalutazione
Quarta check list: Follow-up (successivo alla crisi)
Il follow-up permette di ricavare gli elementi di miglioramento del sistema di
gestione dalla diretta esperienza nella gestione di un evento disastroso.
Esempio
Area “Follow-up”:
4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature?
(solo quando la crisi sia avvenuta davvero, si opera un controllo sulle
attrezzature danneggiate. Il follow up serve per migliorare il sistema
dall’esperienza diretta di una crisi.)
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Il nostro contributo: uno strumento di autovalutazione
Quinta check list: Esercitazioni
Le esercitazioni sono i test di risposta agli eventi disastrosi.
Esempio
Area “Esercitazioni”, sez. ” Generalità”:
5.1.3 I canali di comunicazione interna ed esterna sono testati?
(Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad
affrontare la possibile crisi. I canali di comunicazione sono una delle
infrastrutture necessarie per una buona gestione degli eventi disastrosi)
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Conclusioni
Giustamente l’Europa e l’Italia devono imporre una gestione
normata del problema e devono supportare le aziende nei
costi di gestione. Standard riconosciuti, come la norma ISO
27001 o COBIT, vengono scarsamente adottati dalle aziende
italiane proprio perché non percepiti come valore. Alcuni
settori critici come quello bancario stanno già adottando
normative standard di sicurezza cybernetica.
La nostra Check List può fornire delle indicazioni ad un
auditor ma non può esulare una azienda critica
dall’affrontare una analisi più specifica del contesto di
sicurezza cybernetica in cui si trova.
La fabbrica è l’anello più debole della sicurezza informatica
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Work In Progress Via Virtuosa: Analisi del rischio informatico nell’area
Nord Est
Da 1 anno stiamo conducendo una ricerca e una analisi sul profilo di rischio sulla
sicurezza informatica nelle aziende del Nord Est su un campione che è attualmente
Dr. Luca Moroni - Via Virtuosa
di 60 di aziende.
Lo studio ha come obiettivo quello di definire una Base Line per le aziende del
territorio aggregando i dati raccolti su un campione 100 Aziende che si prefigge di
fotografare il territorio del Nord Est e l’esposizione al rischio informatico.
Se siete interessati, compilate il questionario per individuare come siete posizionati

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Work In Progress Via Virtuosa: Analisi del rischio informatico nell’area
Nord Est
Metodologia di “ENISA 2008 - Determining Your Organization’s
Information Risk Assessment and Management”
Dr. Luca Moroni - Via Virtuosa
In 15 Domande
Identifica l’esposizione:
•Come risultato del modello di business dell'organizzazione
•Come risultato delle minacce
•Come risultato delle vulnerabilità.
Identifica l’impatto:
•Come risultato di requisiti legali e normativi
dell'organizzazione
•Come risultato della perdita di informazioni riservatezza,
integrità e disponibilità
•Come risultato dell'uso dei sistemi informativi a supporto
dei processi aziendali

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
LUCA! Sei sempre catastrofico….. Fantascienza
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Ah beh….Non sono problemi per i sistemi di controllo delle
nostre piccole aziende
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
LUCA! Ma si dai…. Non è un fenomeno del nostro
territorio
Jesolo 17 maggio 2013 (100Km da qui)
http://www.youtube.com/watch?feature=player_detailpage&v=VIqQyk_NNQY
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Domande
Dr. Luca Moroni - Via Virtuosa

Sicurezza Cibernetica, la consapevolezza delle
Aziende nei Settori Critici e Produttivi del Nord Est
Dr. Luca Moroni - Via Virtuosa
Grazie!
l.moroni@viavirtuosa.it
PER SCARICARE IL QUADERNO
http://www.isaca.org/chapters5/Venice/Benefits/Documents/ISACA_VENICE_QUADERNI_05_INFRA_CRITICHE.pdf