PalmSecure Roberto Cherubini Fujitsu Technology Solutions

La sicurezza nelle tue
mani: PalmSecure
Roberto Cherubini
Fujitsu Technology
Solutions
Evoluzione tecnologica…
Proliferazione di dispositivi di accesso:
- Cellulari
- Smartphone
- Tablet
- Notebook/Netbook
- Desktop
Sempre maggiore velocità di propagazione della tecnologia
“Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?”
Radio
38 anni
TV
13 anni
Internet
4 anni
iPod
3 anni
Ma anche:
- Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno
- 1 coppia su 8, sposata negli USA si è conosciuta via Social Web
- 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale,
- 95% di loro utilizza allo scopo Linkedin
1
Il ritmo ed il tasso di cambiamento
tecnologico sono veloci…
Accesso diversificato
Da una recente ricerca in USA sugli
impiegati:
- 37% usa tecnologia «do it yourself»
- 97% utilizza > 2 dispositivi
Diverse Apps
Nel 2015 il mercato
delle Mobile App
sarà di 38 Miliardi $
Diversi Dispositivi
Nel 2010 le vendite di Tablets e
smartphone hanno superato quelle dei PC
Nel 2015 ci saranno 1.1 miliardi di cellulari
e 300 milioni di tablets
Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011
2
…più veloci che mai…
APPS
ACCESSO
300 Miliardi di downloads di applicazioni
entro il 2016
52% delle società supporta impiegati
mobile/remote
L’80% delle applicazioni delle LOB sono
SaaS
Più del 30% della forza lavoro mondiale è
mobile
DEVICE
DEVICE
66% usa per lavoro 2 o più dispositivi
Nel 2014 si spediranno più dispositivi
Android che iOS
Entro il 2016 il 50% di tutti i dispositivi
non-PC saranno BYO
Previsioni di vendite e refresh costanti di
PC, anno su anno
Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011, IDC 2012
3
Impiegati ed utilizzo strumenti IT
4
Risposte tipiche al problema….
IGNORARLO!!
 Scarso controllo
 Mancanza di sicurezza e conformità
BLOCCARLO!!
 Forza lavoro scontenta
 IT visto come fonte di complessità
ACQUISIRE UNA SOLUZIONE AD HOC!!
 Incremento dei costi, scarsa scalabilità
 Gestione difficoltosa
5
Perchè parlare di sicurezza?
 Gestire gli accessi alle infrastrutture per:
 Lavoratori remoti e “mobile”
 Partners e clienti
 Collaboratori occasionali
 Rischi per la sicurezza:
Internet
 Dati
 Applicazioni
 Accessi alla rete
 Diffusione di informazioni
LAN
6
Da dove provengono le possibili minacce ?
Social
network
Furto
manomissione
Intrusioni
Controllo accessi
inadeguato
Danni
Uso non
autorizzato
Privato
Professionale
Virus
Password
ripetute
Keyloggers
Software
Spyware
Spam
Il confine tra privato e professionale non è più così definito
7
Alcuni esempi eclatanti…
Sicurezza informatica 2012: triplicati gli attacchi DDOS
Alla luce di questi dati non c’è da star tranquilli quando si è al Pc. Certo gli attacchi sono mirati
prevalentemente alle grandi istituzioni o aziende per via dei dati in esse contenuti ma i fenomeni di
furto d’identità o phishing sono in rapida ascesa come in generale la cyber criminalità. Questo
2013 come è stato confermato da più fronti vedrà inoltre la crescita dei fenomeni di cyber crime
rivolto al mondo mobile.
Privacy: informative di rischio per cloud e smartphone
Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso anno e accende i
riflettori su cloud e smartphone. La consapevolezza fondamentale per mitigare i rischi, ma un
ruolo chiave toccherebbe ai provider.
Server olandese lancia l'attacco più potente della storia
Il New York Times l'ha definito uno dei più grandi attacchi alla Rete della storia. Per altri è come una
guerra mondiale virtuale. mentre i più ottimisti lo paragonano a un'autostrada intasata.
8
Cosa interessa i ‘malintenzionati’?
 Violazione dei dati e furto di dati nelle imprese
 Furto di passwords, trasferimento
 Dimenticanza della smart card, furto, trasferimento
 Furto d’Identità
 Trattamenti medici non autorizzati treatments
 Accesso non autorizzato a locali/palazzi
 Servizi di “social welfare” non autorizzati
 Skimming, Frodi
 ATM manipolati
 e-banking manipolato
 Carte d’identità manipolate
 Hacking
 accessi, furto, manipolazione di dati personali e documenti
di enti governativi, autorità
9
Rischi connessi alla sicurezza
 Interruzione dei processi
 Effetti
 Downtime
 Perdita dei dati


Proprietà intellettuale
Documenti „strategici“
 Perdita di tempo
 Perdita di denaro
 Perdita di business
€

Problemi finanziari

Valore delle azioni

Relazioni con fornitori/clienti
 IT come opportunità per gestione
dei rischi
 Rischi per la sicurezza minacciano
vantaggi offerti da IT
 Immagine danneggiata

Reputazione e confidenza dei clienti
 Insolvenza
La sicurezza (o la sua mancanza) è un problema da affrontare
10
Le preoccupazioni circa la sicurezza
Rating System 1-5
Perdita dei dati
4,1
Accesso non autorizzato a dati societari
(confidenziali)
4,0
Accesso non autorizzato alle reti aziendali
4,0
Furto dispositivi
3,9
3,8
Virus, worms
*Network Specialist; 2009
11
Aumento dei costi per la sicurezza
Incremento dei costi legati a furti o smarrimento dei notebook aziendali
Unità
rubate
1,750k
Il valore medio di un laptop “perso” è di $49,246.
Average total
per reporting
company was $4.8
Questo valore è basato su 7 componenti
dicosts
costo:
sostituzione,
million per data breach
1,250k
(2006 Annual
Study:perdita
The cost of datadi
breach,
Ponemon Institute, 2007
individuazione, giudiziario,
violazione
dati,
proprietà
1,350k
intellettuale, perdita produttività e legale, spese di consulenza e
1,000k
normative.
750k
1,500k
750k
Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009
> 600k
500k
2003
2005
2007
12
2009
Anni
Quanto valgono i Vs dati personali?
Ai cybercriminali i dati personali fruttano circa 400€
 Una patente “taroccata” costa fino a 200 euro
 Gli estremi di un conto corrente fino a 180 euro.
 Nuova identità viene circa 250 euro tramite siti Internet dedicati alla
compravendita di documenti falsi.
(siti raggiungibili facilmente tramite i normali motori di ricerca….)
 Spesso sono gli stessi utenti a “facilitare” il lavoro a chi,
per professione (!?), si occupa del furto di identità.
 Da una ricerca recente emerge che spesso, in modo
molto disinvolto, si forniscono i propri dati personali:
- l'82,5% fornisce liberamente il proprio nome e cognome,
- il 59% ci aggiunge la data di nascita,
- il 48% il proprio indirizzo
- il 33% completa il tutto con il numero del cellulare.
13
Identity management
Obiettivi della sicurezza IT
 Confidenzialità (privacy)
 Nessun accesso all’informazione senza
autorizzazione
 Integrità
 Nessuna alterazione dell’informazione senza
autorizzazione
Dati
e
Servizi
Disponibilità
 Disponibilità
 Assicurare accesso all’informazione agli utenti
autorizzati quando la richiedono
 Prevent Denial of Service
La sicurezza riguarda il triangolo CID
14
Triangolo CID
Livello di Sicurezza
Audit-proof Protection
Data Protection
• HDD Password
• Software- based Encryption
• Hardware-based Encryption
Access Protection
System Protection
• Kensington
• Intrusion Detection
• Advanced Theft Protection
• EraseDisk
• Password
• Biometrics
• SmartCard
• BIOS
• SSO
• TPM
15
Accesso – Il logon dell’utente è sicuro?
 Molti sistemi di sicurezza si basano su password “segrete”
 Necessità di ricordare molteplici password
 PWD spesso ripetitive o semplici da ricordare
(admin/admin, data di nascita, nome della moglie/marito…)
 I Social contengono molto spesso i dati con cui ricostruire le PWD
 L’accesso ad applicazioni (soprattutto WEB) richiede come Login una
MAIL = un parametro di sicurezza in meno
 Se costretto ad usare password “complicate” l’utente, tende ad
annotarla (e la conserva in cassetti, attaccata a monitor, tastiere…)
 Device Mobili conservano al loro interno le PWD di accesso a tutte le
nostre attività – o almeno a quelle accessibili da tali devices
16
Best Practice e Policy per le Password
 Cambiare le passwords predefinite
 Uso di “Strong passwords”
 Sintassi

Lettere, numeri, caratteri speciali

Case-sensitive

Lunghezza minima
 Non usare il salvataggio automatico
 Cambiare regolarmente

Durata massima

Ciclo (o storia delle password), riutilizzo
 Attenzione ad annotare le password!!
 Differenti apps –> differenti passwords!!
Definire la politica di password appropriata
17
Autenticazione – vari livelli
 Conosco
 Password / PIN
 Possiedo
 Chip card, token (1-time password)
 Certificato
 Sono
 Biometrico (e.g. fingerprint, palm vein)
 Autenticazione Multifattore
 Combinazione di alcuni metodi
 Qualcosa che conosce e che possiede
 Incremento del livello di sicurezza
Verifica dell’identità
18
Policy di accesso ed utilizzo
 Bloccare l'accesso ai luoghi di lavoro
 Utilizzo dello screen saver quando si lascia il
dispositivo incustodito
 Dopo il periodo di inattività
 Durata dipende dal livello di rischio per la sicurezza
 Sbloccare l’accesso tramite password
 Bloccare l’account dopo un dato numero di
tentativi
 Sblocco dell’account
 Manualmente a carico dell’admin
 Automaticamente dopo una durata definita
19
Certificati
 Utilizzato in aggiunta a user name e password
 Per alcune apps o processi di logon
 Generati dal server di authentication authority
nel DC
 Memorizzato in forma criptata

Integrto nel browser

In ben definita posizione nell’OS

SmartCard (es. Pagamenti,…)
 Rinnovo ciclico (es. annuale)
 Se i dispositivi sono più di uno, il certificato
dovrebbe essere installato più volte

Applicabile solo per certificati software

Certificati HW solo per il rispettivo dispositivo HW
20
Controllo d’accesso per PC stand-alone
 Password di BIOS

Autenticazione Pre-boot

Nessun boot per utenti non autorizzati da
dispositivi esterni (per copiare HDD)
 Logon al Sistema Operativo

User account e password

SmartCard

Biometrics

Any combination (multi-factor)
21
PalmSecure – Biometric Technology
E’ tempo per una soluzione Biometrica!
L’utilizzo della soluzione biometrica non è più una questione di “PERCHE’?”
ma diviene sempre più una questione di “QUALE?”,
“DOVE?”
e
“QUANDO?”
22
Perchè e quale soluzione biometrica?
 Perché?






Sicurezza combinata con convenienza
Autenticazione reale
Social security
Accesso veloce e facile
Mantenimento della privacy
Riduzione del costo e del workflow
 Quale soluzione biometrica?






Quella con i migliori livelli di FAR / FRR / FTA / FTE
La meno sensibile all’influenza di fattori ambientali
Applicabilità prossima al 100%
La più igienica
Che rispetta completamente i criteri dei processi di autenticazione
Utilizzo indipendente dall’età dell’utilizzatore
23
Confronto Autenticazione - Precisione
Alto
False Acceptance Rate (FAR)
& False Rejection Rate Comparison (FRR)
Praticità
Face
recognition
Voice
pattern
Palm vein
Authentication Method
Signature
FAR (%) =
If FRR (%) =
~ 1.3
~ 2.6
~ 0.01
~ 0.3
Fingerprint
~ 0.001
~ 0.1
Finger vein
~ 0.0001
~ 0.01
Iris/Retina
~ 0.0001
~ 0.01
< 0.00008
~ 0.01
Face recognition
Iris/Retina
Voice pattern
Finger vein
Fingerprint
Basso
Basso
Accuratezza
Fujitsu Palm vein
Alto
Lo scanner Palmvein di Fujitsu è la tecnologia più accurata e più pratica.
24
Palm Vein – Vantaggi dell‘autenticazione
Elevata sicurezza & Permanenza
– vantaggi delle vene
 Nascoste sotto la pelle
difficile falsificazione
1
Elevata accuratezza – vantaggi
del palmo rispetto al dito
2
Elevata accettazione
 Soluzione molto igienica nessun contatto
 Uniche, anche tra gemelli identici
 I pattern Palm Vein sono
complessi. Più di 5 milioni di punti
di riferimento
 Nessun cambiamento.
Rimangono le stesse per tutta la
vita
 Nel palmo vi sono vene più
spesse di quelle delle dita –
identificazione facilitata
 Pattern biometrico nascosto
all’interno del corpo (privacy)
 Rilevabili solo quando scorre il
sangue
 Le vene del palmo sono insensibili
rispetto l’ambiente (temperature
fredde, graffi, uso di creme)
25
 Utilizzo facile ed intuitivo
3
PalmSecure - Prodotti
Value
for Buyers
1. PalmSecure è una tecnologia di sensori biometrici, che utilizza
l’unicità del pattern delle vene del palmo per svolgere
l‘autenticazione degli individui con elevato grado di sicurezza
2. I sensori PalmSecure possono essere usati per
 Soluzioni di controllo accesso fisico
 Soluzioni di controllo accesso logico
 Soluzioni di controllo accesso di dispositivi
Sensori OEM
PalmSecure
Soluzioni
PalmSecure per
Log In/SSO
3. Le soluzioni basate su PalmSecure sono principalmente usate
nei seguenti segmenti di mercato
 Sanità
 Banche
 PA
 Imprese
 Dettaglio
 Industrie
4. Sono disponibili soluzioni pronte all’uso così come soluzioni
per OEM e System Integrator
Tastiere
PalmSecure per
Log In/SSO
Notebook/Tablet
PalmSecure
(BTO planned)
Nuove soluzioni PS
 Rilevazione presenze
 Accesso a dispositivi
 Controllo d‘accesso fisico
26
Ampia gamma di applicazione
27
Controllo accesso Fisico
In questo esempio, un data center è dotato di sistemi di controllo degli accessi fisici con diversi
livelli di sicurezza. La biometria viene utilizzata nella zona di più elevata sicurezza.
28
Casi reali– ambito finanziario
 Alcuni costruttori di ATM stanno già offrendo ATM biometrici sulla base della domanda da parte delle banche
 Utilizzo di dati biometrici nel bancomat / VTMS è già una realtà
 In Sud America, Asia, Medio Oriente il numero di utenti di ATMs/VTMs biometrici sta aumentando notevolmente
• Tokyo Mitsubishi Bank
• Ogaki Kyoritsu Bank
• SuragaBank 119%
119%
121%
124%Bank
• Ziraat
127%
•Vakif Bank
• IS Bank
• Bradesco Bank
• Garanti Bank
• Sparkasse (pilots)
• Deutsche Bank (pilots)
• Santander Bank (pilots)
29
ATM - Operazione senza card
30
Casi reali – Mercato sanità
 Attualmente il maggior progetto al mondo sulla sanità nazionale
 Turkish SGK ha deciso di utilizare PalmSecure per identificare i pazienti
 Registrazione biometrica di ca. 80 milioni di cittadini Turchi entro il 2017
 Oltre 150.000 sensori
sparsi in 81 città,
migliaia di ospedali
statali, privati, cliniche e
farmacie
31
Alcuni ulteriori casi PalmSecure…
Pubblica amministrazione /
Enterprise / Industria
 Vienna Airport
 Indian Railways
 Lockeed Martin
 Turkish National ID card project
 Portugese Telecom Datacenter
 EasyGym healthclubs
 TDS Datacenter
 Baseler Insurance
32
Rilevazione presenze e controllo accessi
 Imprese, autorità, industrie stanno sempre più utilizzando soluzioni di controllo accessi
biometrico per interi palazzi, stanze o per il log in a infrastrutture IT o per l’accesso a
stabilimenti produttivi
 Ora, queste applicazioni possono essere combinate anche con soluzioni biometriche di
rilevazione delle presenze
 Chi può entrare? Dove? A che ora?
119%
119%
121%
 Combinazione di controllo accessi
fisico/logico
124%
e rilevazione 127%
presenze dal costo contenuto
 Controllo accessi log in /SSO pilotato da
un middleware per la rilevazione delle presenze
centralizzato
33
Casi reali – Controllo accessi aeroporto
 >50.000 impiegati e staff di servizio
 Template biometrici su smartcard Legic
 250 access point sicuri
 Altri aeroporti in valutazione
34
Ricapitolando…
35
Raccomandazioni - come procedere
 Considerare la sicurezza in tutti i progetti
 Definire gli obiettivi di sicurezza e le misure appropriate
 Effettuare un Assessment

Legislazione, Contratti

Requisiti Cliente, Competition

Valori da proteggere (Esperienze, segreti commerciali, dati personali)

Possibili danni
 Redigere un Piano d’Azione
 Definire le Responsabilità

Personale permanente, reparto, tutti

Delegati
 Documentare e Comunicare
 Evitare la complessità per gli utenti
 Effettuare check regolari sulla sicurezza
36
Il contributo di Fujitsu
 Workplace systems

Caratteristiche di sicurezza integrate

Accessori
 Stretta partnership con i principali vendor
di software di sicurezza
 One-stop shop:

Server e Storage certificati

Dispositivi di accesso

Servizi End-to-End

Partnerhip
 Varie opzioni per scegliere il giusto
livello di sicurezza
 Servizi certificati ISO 27001
 Lunga e comprovata esperienza
37
In conclusione…
 La sicurezza non comporta (per forza)
elevati investimenti!

Il costo di un incidente di sicurezza (violazione dei
requisiti di conformità) può rivelarsi molto maggiore
 La centralizzazione del desktop può
incrementare la sicurezza
 Fattori di successo:

Buonsenso

Procedure organizzative ben definite

Personale affidabile e ben informato

Eliminare la complessità per gli utenti finali
Dati
e
Servizi
Disponibilità
 La sicurezza non è mai una condizione
statica, ma un processo in corso
Fujitsu - Your Partner of Choice
for IT Security
 Fujitsu può essere il VS partner di riferimento
38
Grazie della Vs attenzione
“the key is your hand”
39
40