PalmSecure Roberto Cherubini Fujitsu Technology Solutions
Transcript
PalmSecure Roberto Cherubini Fujitsu Technology Solutions
La sicurezza nelle tue mani: PalmSecure Roberto Cherubini Fujitsu Technology Solutions Evoluzione tecnologica… Proliferazione di dispositivi di accesso: - Cellulari - Smartphone - Tablet - Notebook/Netbook - Desktop Sempre maggiore velocità di propagazione della tecnologia “Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?” Radio 38 anni TV 13 anni Internet 4 anni iPod 3 anni Ma anche: - Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno - 1 coppia su 8, sposata negli USA si è conosciuta via Social Web - 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale, - 95% di loro utilizza allo scopo Linkedin 1 Il ritmo ed il tasso di cambiamento tecnologico sono veloci… Accesso diversificato Da una recente ricerca in USA sugli impiegati: - 37% usa tecnologia «do it yourself» - 97% utilizza > 2 dispositivi Diverse Apps Nel 2015 il mercato delle Mobile App sarà di 38 Miliardi $ Diversi Dispositivi Nel 2010 le vendite di Tablets e smartphone hanno superato quelle dei PC Nel 2015 ci saranno 1.1 miliardi di cellulari e 300 milioni di tablets Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011 2 …più veloci che mai… APPS ACCESSO 300 Miliardi di downloads di applicazioni entro il 2016 52% delle società supporta impiegati mobile/remote L’80% delle applicazioni delle LOB sono SaaS Più del 30% della forza lavoro mondiale è mobile DEVICE DEVICE 66% usa per lavoro 2 o più dispositivi Nel 2014 si spediranno più dispositivi Android che iOS Entro il 2016 il 50% di tutti i dispositivi non-PC saranno BYO Previsioni di vendite e refresh costanti di PC, anno su anno Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011, IDC 2012 3 Impiegati ed utilizzo strumenti IT 4 Risposte tipiche al problema…. IGNORARLO!! Scarso controllo Mancanza di sicurezza e conformità BLOCCARLO!! Forza lavoro scontenta IT visto come fonte di complessità ACQUISIRE UNA SOLUZIONE AD HOC!! Incremento dei costi, scarsa scalabilità Gestione difficoltosa 5 Perchè parlare di sicurezza? Gestire gli accessi alle infrastrutture per: Lavoratori remoti e “mobile” Partners e clienti Collaboratori occasionali Rischi per la sicurezza: Internet Dati Applicazioni Accessi alla rete Diffusione di informazioni LAN 6 Da dove provengono le possibili minacce ? Social network Furto manomissione Intrusioni Controllo accessi inadeguato Danni Uso non autorizzato Privato Professionale Virus Password ripetute Keyloggers Software Spyware Spam Il confine tra privato e professionale non è più così definito 7 Alcuni esempi eclatanti… Sicurezza informatica 2012: triplicati gli attacchi DDOS Alla luce di questi dati non c’è da star tranquilli quando si è al Pc. Certo gli attacchi sono mirati prevalentemente alle grandi istituzioni o aziende per via dei dati in esse contenuti ma i fenomeni di furto d’identità o phishing sono in rapida ascesa come in generale la cyber criminalità. Questo 2013 come è stato confermato da più fronti vedrà inoltre la crescita dei fenomeni di cyber crime rivolto al mondo mobile. Privacy: informative di rischio per cloud e smartphone Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso anno e accende i riflettori su cloud e smartphone. La consapevolezza fondamentale per mitigare i rischi, ma un ruolo chiave toccherebbe ai provider. Server olandese lancia l'attacco più potente della storia Il New York Times l'ha definito uno dei più grandi attacchi alla Rete della storia. Per altri è come una guerra mondiale virtuale. mentre i più ottimisti lo paragonano a un'autostrada intasata. 8 Cosa interessa i ‘malintenzionati’? Violazione dei dati e furto di dati nelle imprese Furto di passwords, trasferimento Dimenticanza della smart card, furto, trasferimento Furto d’Identità Trattamenti medici non autorizzati treatments Accesso non autorizzato a locali/palazzi Servizi di “social welfare” non autorizzati Skimming, Frodi ATM manipolati e-banking manipolato Carte d’identità manipolate Hacking accessi, furto, manipolazione di dati personali e documenti di enti governativi, autorità 9 Rischi connessi alla sicurezza Interruzione dei processi Effetti Downtime Perdita dei dati Proprietà intellettuale Documenti „strategici“ Perdita di tempo Perdita di denaro Perdita di business € Problemi finanziari Valore delle azioni Relazioni con fornitori/clienti IT come opportunità per gestione dei rischi Rischi per la sicurezza minacciano vantaggi offerti da IT Immagine danneggiata Reputazione e confidenza dei clienti Insolvenza La sicurezza (o la sua mancanza) è un problema da affrontare 10 Le preoccupazioni circa la sicurezza Rating System 1-5 Perdita dei dati 4,1 Accesso non autorizzato a dati societari (confidenziali) 4,0 Accesso non autorizzato alle reti aziendali 4,0 Furto dispositivi 3,9 3,8 Virus, worms *Network Specialist; 2009 11 Aumento dei costi per la sicurezza Incremento dei costi legati a furti o smarrimento dei notebook aziendali Unità rubate 1,750k Il valore medio di un laptop “perso” è di $49,246. Average total per reporting company was $4.8 Questo valore è basato su 7 componenti dicosts costo: sostituzione, million per data breach 1,250k (2006 Annual Study:perdita The cost of datadi breach, Ponemon Institute, 2007 individuazione, giudiziario, violazione dati, proprietà 1,350k intellettuale, perdita produttività e legale, spese di consulenza e 1,000k normative. 750k 1,500k 750k Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009 > 600k 500k 2003 2005 2007 12 2009 Anni Quanto valgono i Vs dati personali? Ai cybercriminali i dati personali fruttano circa 400€ Una patente “taroccata” costa fino a 200 euro Gli estremi di un conto corrente fino a 180 euro. Nuova identità viene circa 250 euro tramite siti Internet dedicati alla compravendita di documenti falsi. (siti raggiungibili facilmente tramite i normali motori di ricerca….) Spesso sono gli stessi utenti a “facilitare” il lavoro a chi, per professione (!?), si occupa del furto di identità. Da una ricerca recente emerge che spesso, in modo molto disinvolto, si forniscono i propri dati personali: - l'82,5% fornisce liberamente il proprio nome e cognome, - il 59% ci aggiunge la data di nascita, - il 48% il proprio indirizzo - il 33% completa il tutto con il numero del cellulare. 13 Identity management Obiettivi della sicurezza IT Confidenzialità (privacy) Nessun accesso all’informazione senza autorizzazione Integrità Nessuna alterazione dell’informazione senza autorizzazione Dati e Servizi Disponibilità Disponibilità Assicurare accesso all’informazione agli utenti autorizzati quando la richiedono Prevent Denial of Service La sicurezza riguarda il triangolo CID 14 Triangolo CID Livello di Sicurezza Audit-proof Protection Data Protection • HDD Password • Software- based Encryption • Hardware-based Encryption Access Protection System Protection • Kensington • Intrusion Detection • Advanced Theft Protection • EraseDisk • Password • Biometrics • SmartCard • BIOS • SSO • TPM 15 Accesso – Il logon dell’utente è sicuro? Molti sistemi di sicurezza si basano su password “segrete” Necessità di ricordare molteplici password PWD spesso ripetitive o semplici da ricordare (admin/admin, data di nascita, nome della moglie/marito…) I Social contengono molto spesso i dati con cui ricostruire le PWD L’accesso ad applicazioni (soprattutto WEB) richiede come Login una MAIL = un parametro di sicurezza in meno Se costretto ad usare password “complicate” l’utente, tende ad annotarla (e la conserva in cassetti, attaccata a monitor, tastiere…) Device Mobili conservano al loro interno le PWD di accesso a tutte le nostre attività – o almeno a quelle accessibili da tali devices 16 Best Practice e Policy per le Password Cambiare le passwords predefinite Uso di “Strong passwords” Sintassi Lettere, numeri, caratteri speciali Case-sensitive Lunghezza minima Non usare il salvataggio automatico Cambiare regolarmente Durata massima Ciclo (o storia delle password), riutilizzo Attenzione ad annotare le password!! Differenti apps –> differenti passwords!! Definire la politica di password appropriata 17 Autenticazione – vari livelli Conosco Password / PIN Possiedo Chip card, token (1-time password) Certificato Sono Biometrico (e.g. fingerprint, palm vein) Autenticazione Multifattore Combinazione di alcuni metodi Qualcosa che conosce e che possiede Incremento del livello di sicurezza Verifica dell’identità 18 Policy di accesso ed utilizzo Bloccare l'accesso ai luoghi di lavoro Utilizzo dello screen saver quando si lascia il dispositivo incustodito Dopo il periodo di inattività Durata dipende dal livello di rischio per la sicurezza Sbloccare l’accesso tramite password Bloccare l’account dopo un dato numero di tentativi Sblocco dell’account Manualmente a carico dell’admin Automaticamente dopo una durata definita 19 Certificati Utilizzato in aggiunta a user name e password Per alcune apps o processi di logon Generati dal server di authentication authority nel DC Memorizzato in forma criptata Integrto nel browser In ben definita posizione nell’OS SmartCard (es. Pagamenti,…) Rinnovo ciclico (es. annuale) Se i dispositivi sono più di uno, il certificato dovrebbe essere installato più volte Applicabile solo per certificati software Certificati HW solo per il rispettivo dispositivo HW 20 Controllo d’accesso per PC stand-alone Password di BIOS Autenticazione Pre-boot Nessun boot per utenti non autorizzati da dispositivi esterni (per copiare HDD) Logon al Sistema Operativo User account e password SmartCard Biometrics Any combination (multi-factor) 21 PalmSecure – Biometric Technology E’ tempo per una soluzione Biometrica! L’utilizzo della soluzione biometrica non è più una questione di “PERCHE’?” ma diviene sempre più una questione di “QUALE?”, “DOVE?” e “QUANDO?” 22 Perchè e quale soluzione biometrica? Perché? Sicurezza combinata con convenienza Autenticazione reale Social security Accesso veloce e facile Mantenimento della privacy Riduzione del costo e del workflow Quale soluzione biometrica? Quella con i migliori livelli di FAR / FRR / FTA / FTE La meno sensibile all’influenza di fattori ambientali Applicabilità prossima al 100% La più igienica Che rispetta completamente i criteri dei processi di autenticazione Utilizzo indipendente dall’età dell’utilizzatore 23 Confronto Autenticazione - Precisione Alto False Acceptance Rate (FAR) & False Rejection Rate Comparison (FRR) Praticità Face recognition Voice pattern Palm vein Authentication Method Signature FAR (%) = If FRR (%) = ~ 1.3 ~ 2.6 ~ 0.01 ~ 0.3 Fingerprint ~ 0.001 ~ 0.1 Finger vein ~ 0.0001 ~ 0.01 Iris/Retina ~ 0.0001 ~ 0.01 < 0.00008 ~ 0.01 Face recognition Iris/Retina Voice pattern Finger vein Fingerprint Basso Basso Accuratezza Fujitsu Palm vein Alto Lo scanner Palmvein di Fujitsu è la tecnologia più accurata e più pratica. 24 Palm Vein – Vantaggi dell‘autenticazione Elevata sicurezza & Permanenza – vantaggi delle vene Nascoste sotto la pelle difficile falsificazione 1 Elevata accuratezza – vantaggi del palmo rispetto al dito 2 Elevata accettazione Soluzione molto igienica nessun contatto Uniche, anche tra gemelli identici I pattern Palm Vein sono complessi. Più di 5 milioni di punti di riferimento Nessun cambiamento. Rimangono le stesse per tutta la vita Nel palmo vi sono vene più spesse di quelle delle dita – identificazione facilitata Pattern biometrico nascosto all’interno del corpo (privacy) Rilevabili solo quando scorre il sangue Le vene del palmo sono insensibili rispetto l’ambiente (temperature fredde, graffi, uso di creme) 25 Utilizzo facile ed intuitivo 3 PalmSecure - Prodotti Value for Buyers 1. PalmSecure è una tecnologia di sensori biometrici, che utilizza l’unicità del pattern delle vene del palmo per svolgere l‘autenticazione degli individui con elevato grado di sicurezza 2. I sensori PalmSecure possono essere usati per Soluzioni di controllo accesso fisico Soluzioni di controllo accesso logico Soluzioni di controllo accesso di dispositivi Sensori OEM PalmSecure Soluzioni PalmSecure per Log In/SSO 3. Le soluzioni basate su PalmSecure sono principalmente usate nei seguenti segmenti di mercato Sanità Banche PA Imprese Dettaglio Industrie 4. Sono disponibili soluzioni pronte all’uso così come soluzioni per OEM e System Integrator Tastiere PalmSecure per Log In/SSO Notebook/Tablet PalmSecure (BTO planned) Nuove soluzioni PS Rilevazione presenze Accesso a dispositivi Controllo d‘accesso fisico 26 Ampia gamma di applicazione 27 Controllo accesso Fisico In questo esempio, un data center è dotato di sistemi di controllo degli accessi fisici con diversi livelli di sicurezza. La biometria viene utilizzata nella zona di più elevata sicurezza. 28 Casi reali– ambito finanziario Alcuni costruttori di ATM stanno già offrendo ATM biometrici sulla base della domanda da parte delle banche Utilizzo di dati biometrici nel bancomat / VTMS è già una realtà In Sud America, Asia, Medio Oriente il numero di utenti di ATMs/VTMs biometrici sta aumentando notevolmente • Tokyo Mitsubishi Bank • Ogaki Kyoritsu Bank • SuragaBank 119% 119% 121% 124%Bank • Ziraat 127% •Vakif Bank • IS Bank • Bradesco Bank • Garanti Bank • Sparkasse (pilots) • Deutsche Bank (pilots) • Santander Bank (pilots) 29 ATM - Operazione senza card 30 Casi reali – Mercato sanità Attualmente il maggior progetto al mondo sulla sanità nazionale Turkish SGK ha deciso di utilizare PalmSecure per identificare i pazienti Registrazione biometrica di ca. 80 milioni di cittadini Turchi entro il 2017 Oltre 150.000 sensori sparsi in 81 città, migliaia di ospedali statali, privati, cliniche e farmacie 31 Alcuni ulteriori casi PalmSecure… Pubblica amministrazione / Enterprise / Industria Vienna Airport Indian Railways Lockeed Martin Turkish National ID card project Portugese Telecom Datacenter EasyGym healthclubs TDS Datacenter Baseler Insurance 32 Rilevazione presenze e controllo accessi Imprese, autorità, industrie stanno sempre più utilizzando soluzioni di controllo accessi biometrico per interi palazzi, stanze o per il log in a infrastrutture IT o per l’accesso a stabilimenti produttivi Ora, queste applicazioni possono essere combinate anche con soluzioni biometriche di rilevazione delle presenze Chi può entrare? Dove? A che ora? 119% 119% 121% Combinazione di controllo accessi fisico/logico 124% e rilevazione 127% presenze dal costo contenuto Controllo accessi log in /SSO pilotato da un middleware per la rilevazione delle presenze centralizzato 33 Casi reali – Controllo accessi aeroporto >50.000 impiegati e staff di servizio Template biometrici su smartcard Legic 250 access point sicuri Altri aeroporti in valutazione 34 Ricapitolando… 35 Raccomandazioni - come procedere Considerare la sicurezza in tutti i progetti Definire gli obiettivi di sicurezza e le misure appropriate Effettuare un Assessment Legislazione, Contratti Requisiti Cliente, Competition Valori da proteggere (Esperienze, segreti commerciali, dati personali) Possibili danni Redigere un Piano d’Azione Definire le Responsabilità Personale permanente, reparto, tutti Delegati Documentare e Comunicare Evitare la complessità per gli utenti Effettuare check regolari sulla sicurezza 36 Il contributo di Fujitsu Workplace systems Caratteristiche di sicurezza integrate Accessori Stretta partnership con i principali vendor di software di sicurezza One-stop shop: Server e Storage certificati Dispositivi di accesso Servizi End-to-End Partnerhip Varie opzioni per scegliere il giusto livello di sicurezza Servizi certificati ISO 27001 Lunga e comprovata esperienza 37 In conclusione… La sicurezza non comporta (per forza) elevati investimenti! Il costo di un incidente di sicurezza (violazione dei requisiti di conformità) può rivelarsi molto maggiore La centralizzazione del desktop può incrementare la sicurezza Fattori di successo: Buonsenso Procedure organizzative ben definite Personale affidabile e ben informato Eliminare la complessità per gli utenti finali Dati e Servizi Disponibilità La sicurezza non è mai una condizione statica, ma un processo in corso Fujitsu - Your Partner of Choice for IT Security Fujitsu può essere il VS partner di riferimento 38 Grazie della Vs attenzione “the key is your hand” 39 40