Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
Network&Information Security Incidents Management
Conferenza nazionale Cyber Security Energia
Roma – CASD 24 settembre 2015
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
Il contesto di business di TERNA (TSO italiano) …
”Take appropriate technical and organisational measures to
appropriately manage the risks posed to security … ”
” That measures shall be taken to prevent and minimise the
impact of security incidents on networks and systems … ”
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
Le origini del cyber-risk …
Minacce [1]
(Threats)
Disastri naturali
Fuori servizio
Non compliance legali
Danni non intenzionali
Intercettazioni
Danni/perdite asset IT
Attività malevoli,
Abuse
Attacchi fisici deliberati
Guasti interni
Danni ambientali, incendio, allagamento, etc. che interessano aree tecniche ICT
(CED, server room, server farm) …
Perdite di devices/media, di informazioni, di integrità di informazioni, distruzioni
records …
Interruzioni internet e network, di servizi comuni di supporto, di energia, di
climatizzazione, di risorse …
Furto identità, DOS/DDOS, malware, social engineering
manipulations, impairment, damaging, misuse audit tools,
unauthorized access, badware, targeted attack
Conseguenze di man in the middle, session hijacking, war driving,
intercepting, eavesdropping, interferring, replay of messages
Info-sharing errato, leakage, uso/amministrazione errate, alterazioni non volute
di dati, progetto/realizzazione inadeguate …
Failure di apparato/sistema, malfunzionamenti, guasti o danneggiamenti di
servizi di provider …
Sabotaggio, vandalismo, furto, accesso fisico non autorizzato …
Sanzioni o perdite economiche per violazioni di leggi o di accordi contrattuali … A S
S E
T IC
T
V
Qualsiasi cosa in grado
di agire contro un asset
vulnerabile provocando
un danno
V
(V)ulnerabilità
[1] ENISA Threat Mind Map
V
V
V
V
V
V
V
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
CYBERSPACE
TSO: Almeno due domini tecnologici
Cyber-threat
Origini: Esterne
Vettori: Networks
Threat
Origini: Molteplici
Vettori: Molteplici
Threat Origini: Molteplici
Vettori: Moltepici
IT : information technologies
OT: operational technologies (ICS/IACS)
CT: communication technologies
ST: security technologies
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
Scenari temuti e studiati ovunque
EEI’s U.S/International Utility Cybersecurity Dialog – April 2015
http://www.lloyds.com/news-and-insight/risk-insight/library/society-and-security/business-blackout
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
Si parte da qui …
Sicurezza nel ciclo di vita dei progetti ICT
Network and Communications Security
Sicurezza nel ciclo di vita dei dipendenti e nei rapporti con Terzi
Incident Management
Uso sicuro delle risorse informative
Information Security FRAMEWORK
Controllo degli accessi logici
IT Asset Security (servers, workstations, other ICT platforms)
Sicurezza Fisica ed Ambientale
High
Level
Policy
Str
ate
gic
Guid
elin
es
Specific
Rule
s c
olle
ctions
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
INCIDENTE
riconosciuto
e
gestito
Prodromi di attacco
Atti ostili
Scenario ormai frequente …
un evento che causa un danno e/o richiede un’azione di
contenimento e/o una reazione da parte delle strutture
preposte.
A questo tipo di incidenti si applica l’intero processo di gestione
incidenti suddivisibile nelle fasi di rilevazione, analisi,
contenimento, eliminazione, ripristino e follow-up
attività “esplorative” non intrusive che
possono però preludere ad un
successivo attacco vero e proprio
azioni che cercano di pregiudicare
un aspetto qualunque dei servizi,
ma che sono contenute da
contromisure esistenti
Evento avverso
di Information
Security
TENTATIVO di ATTACCO Evento/i di sicurezza che non causano danni
e che non richiedono ulteriori azioni di
contenimento o reazioni, da registrare sia a
fini statistici che di valutazione minaccia.
L’evento è gestito “automaticamente” da
contromisure tecnologiche messe in atto per
diminuire i rischi di intrusione sui sistemi
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
8
Classificare l’evento è un passaggio “chiave” …
Misura qualitativa della gravità dell’incidente in termini di:
• gravità del danno prodotto o potenziale e/o
• entità del disservizio causato e/o
• quantità dei sistemi coinvolti
Indicazione relativa al blocco dei servizi o dei sistemi coinvolti, in
termini:
• bloccanti: servizi impattati compromessi e non attivi;
• non bloccanti: i servizi impattati comunque erogabili, anche se
con degrado di prestazioni e/o limitazioni di utilizzo.
Alta
Media
Bassa
Mapping su ASSET
di priorità
Criticità/Severità
Criticità/Severità
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
Safety e Gestione Criticità
Rischio sistema elettrico
Rischio frodi
Qual. fornitori
Osservatorio rischi
Information&network Security
Sicurezza Fisica
Rischio Mercato Elettrico
Sistemi IT
Enterprise
Sistemi
IT
Mercato
Sistemi
OT
AOT
CNC
Centri
Reti TLC
(NOC)
Terze
Parti IT
Non possiamo stare “soli” …
CERT
Nazional
e
CNAIPIC
DPC
VVF
F Forze
dell’ordine
e della
sicurezza
Altre IC EU
Altre IC nazionali
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
10
Tanti i momenti di collaborazione/cooperazione
Analisi e prevenzione
minacce in ingresso
Blocchi attività di rete in
uscita
Analisi
malware
Threat
discovery
Monitoraggio
traffico
Threat intelligence
Incident Handling
Azio
ne s
inerg
ica s
ui confini della
rete
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
11
Un rapporto che “matura” …
45 segnalazioni da CERT
(marzo-agosto15)
34 azioni di mitigazione …
Antivirus (blocco HASH) … 8
Blocco domini e/o IP su Proxy/FW … 12
Controllo area privata di Terna su sito CERT 4
Filtraggio su sistema Antispam … 5
Richieste aggiornamento SW … 3
Aggiornamento firme IPS … 2
Msg Abuse or “Suspicious activity from host with IP” … 8 (ultimi 30 g.)
Malware/Botnet … 4
Phishing … 2
Leak di credenziali da server ITA … 2
Compromissione WordPress … 1
Compromissioni server di aziende … 3
Vulnerabilità CISCO … 1
CIMBL … 32
Altri scambi non catalogati …
Divisione Corporate Affairs | Direzione Tutela Aziendale
I contenuti sono proprietà esclusiva di Terna SpA e sono protetti dalle vigenti norme nazionali ed internazionali in materia di tutela dei diritti di Proprietà
Intellettuale e/o Industriale. E' proibito l’utilizzo o la riproduzione, anche parziale, in ogni forma o mezzo, in mancanza di autorizzazione del proprietario.
ROMA, settembre 2015
Per la “digital resilience” di sistema
DIS
AISI AISE
DIS
NSC NISP CERT
naz
PCdM
CISR
Org CISR
CNAIPIC “IC” “IC” “IC” “IC”
“IC” Protocolli d’intesa
“Info-sharing” sicuro
Triage “omogeneo”
Requisiti minimi org.vi di SOC/CERT
Investimenti in formazione “collegiale”
“IC”
“IC”
“IC”
“IC”
Altri requisiti di settore
(es.CA, std procurement,
common criteria)
elettrico
gas
…
Rafforzamento
collaboration/cooperation/combined effort
pubblico-privato
Top Related