Fujitsu - ICT Security Day

Fujitsu :
La tutela delle informazioni
end-to-end al tempo della “ubiquity”
Ing. Roberto Cherubini
IT Architect - Fujitsu Technology Solutions
[email protected]
Chieti, 1 ottobre 2011
Copyright 2011 FUJITSU
Fujitsu
Business Segments:
Technology Solutions
Ubiquitous Solutions
Device Solutions
3rd largest
IT services player
Business philosophy:
Think Global, Act Local
Established:
Employees:
Revenue:
R&D
investment:
June 1935
172,000
US$ 50B
US$ 2.5B
2
Copyright 2011 FUJITSU
Evoluzione tecnologica…
Proliferazione di dispositivi di accesso:
- Cellulari
- Smartphone
- Tablet
- Notebook/Netbook
- Desktop
Sempre maggiore velocità di propagazione della tecnologia
“Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?”
Radio
TV
Internet
iPod
38 anni
13 anni
4 anni
3 anni
Ed anche:
- Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno
- 1 coppia su 8, sposata negli USA si è conosciuta via Social Web
- 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale,
95% di loro utilizza allo scopo Linkedin
3
Copyright 2011 FUJITSU
Da dove provengono le possibili minacce
Theft & Lost
Social
Engineering
Intrusion
Insufficient
Access
Control
Damage
Viruses
Unauthorized
Use
Ci affliggono sia
come privati che
come aziende
Unsafe
Passwords
Keyloggers
Software
Modification
Spyware
Spam
Sicurezza e Gestione
4
Copyright 2011 FUJITSU
Alcuni recenti fatti
The Sun, dati in fuga
Trafugati migliaia di dati personali, appartenenti ad altrettanti lettori del quotidiano di
News International. Una ritorsione contro gli errori di Murdoch. Non è chiaro se la
mano sia ancora di LulzSec…
Antisec colpisce ancora in Italia - Bucata per la seconda volta xxxxx
L'italiana xxxx, azienda che gestisce diversi sistemi informatici per la difesa, il
controllo del traffico aereo e i trasporti, è finita per la seconda volta in tre
giorni nel mirino della crew di hacktivisti di AntiSec.
72 nazioni sotto attacco. McAfee rivela una massiccia
azione durata cinque anni
Agenzie governative, imprese, associazioni. Persino il Comitato
Olimpico. Un soggetto statale dietro gli attacchi.
Privacy: informative di rischio per cloud e smartphone
Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso
anno e accende i riflettori su cloud e smartphone. La consapevolezza
fondamentale per mitigare i rischi, ma un ruolo chiave toccherebbe ai
provider.
5
Copyright 2011 FUJITSU
Le preoccupazioni circa la sicurezza
Rating System 1-5
Perdita dei dati
Accesso non autorizzato a dati societari
(confidenziali)
Accesso non autorizzato alle reti aziendali
Furto dispositivi
Virus, worms
*Network Specialist; 2009
6
Copyright 2011 FUJITSU
Rischi connessi alla sicurezza
Mantenete i vostri „segreti“…
 Interruzione dei processi
 Downtime
 Perdita dei dati
 Proprietà intellettuale
 Documenti „strategici“
€
 Perdita di tempo
 Perdita di denaro
 Perdita di business
 Effetti
 Problemi finanziari
 Valore delle azioni
 Relazioni con
fornitori/clienti
 IT come opportunità per
gestione dei rischi
 Immagine danneggiata
 Reputazione e confidenza dei clienti
 Insolvenza
La sicurezza è uno dei problemi in cima alla lista degli IT managers
7
Copyright 2011 FUJITSU
Aumento dei costi per la sicurezza
Incremento dei costi legati a furti o smarrimento dei notebook aziendali
Unità
rubate
1,750k
1,500k
The average value of a lost
laptop is $49,246.
Average total costs per reporting company was $4.8
This value is based on seven cost components:
millionreplacement
per data breach cost,
(2006 Annual Study: The cost of data breach, Ponemon Institute, 2007
1,250k
detection,
forensics, data breach, lost intellectual property costs, lost
1,350k
productivity and legal, consulting
and regulatory expenses.
1,000k
Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009
750k
750k
> 600k
500k
2003
2005
2007
8
2009
Anni
Copyright 2011 FUJITSU
Quanto valgono i Vs dati personali?
Ai cybercriminali i dati personali fruttano circa 400€
Una patente “taroccata” costa fino a 200 euro
 Gli estremi di un conto corrente fino a 180 euro.
 Nuova identità viene circa 250 euro tramite siti Internet dedicati alla
compravendita di documenti falsi.
(siti raggiungibili facilmente tramite i normali motori di ricerca….)
 Spesso sono gli stessi utenti a “facilitare” il lavoro a chi,
per professione (!?), si occupa del furto di identità.
 Da una ricerca recente emerge che spesso, in modo
molto disinvolto, si forniscono i propri dati personali:
Identity management
- l'82,5% fornisce liberamente il proprio nome e cognome,
- il 59% ci aggiunge la data di nascita,
- il 48% il proprio indirizzo
- il 33% completa il tutto con il numero del cellulare.
9
Copyright 2011 FUJITSU
Cancellazione sicura dei dati: un obbligo non recepito…
In Italia il tema della cancellazione sicura dei dati, sebbene regolato da vincoli
normativi e di legge è ancora poco sentito.
 81% del campione preso in esame non provvede ad una
cancellazione sicura dei propri dati
 11% del campione non ha nemmeno l'idea di quale sia
il tipo di cancellazione adottata in azienda.
Data Management
Quindi solo l'8% delle aziende, già provvede ad una cancellazione sicura e affidabile
dei dati al termine del loro ciclo di vita.
Eppure:
 normativa privacy (D.Lgs 197/2003) e provvedimento del Garante per la Privacy
in materia di Raee e di sicurezza dei dati personali prevedono che i dispositivi
digitali sui quali possono essere archiviate informazioni personali anche sensibili
DEBBANO ESSERE COMPLETAMENTE CANCELLATI prima di poter essere
smaltiti, riciclati, riutilizzati o donati.
 l'omessa cancellazione dei dati rappresenta una violazione di legge sanzionata
penalmente e civilmente.
10
Copyright 2011 FUJITSU
Metodi più utilizzati per la cancellazione
Le poche aziende virtuose che già provvedono alla cancellazione
sicura utilizzano prevalentemente:
 la sovrascrittura (67% dei casi),
 la demagnetizzazione (20% dei casi)
 la punzonatura o la deformazione meccanica (13% dei casi)
Data Management
11
Copyright 2011 FUJITSU
Accesso – Il logon dell’utente è sicuro?
 Molti sistemi di sicurezza si basano su password “segrete”.
 Necessità di ricordare molteplici password
 Le password spesso sono estremamente facili (admin/admin, data di
nascita, nome della moglie/marito…)
 85% delle password possono essere facilmente scoperte
 Se costretto ad usare password “complicate” l’utente, tende ad annotarla
(e la conserva in cassetti, attaccata a monitor, tastiere…)
 Spesso le password sono condivise
con altri utenti / colleghi
12
Copyright 2011 FUJITSU
Gestire le sfide della sicurezza
Protezione in
remoto
Protezione fisica
Advanced Theft Protection
System tracking
Remote lock
Remote wipe
Anti-theft protection
Sensitizing users
Protezione in
locale
Access control
Data protection
Secure communication
System recovery
13
Copyright 2011 FUJITSU
Livello di Sicurezza
Audit-proof Protection
• Advanced Theft Protection
• EraseDisk
Data Protection
• HDD Password
• Software- based Encryption
• Hardware-based Encryption
Access Protection
System Protection
• Kensington
• Intrusion Detection
• Password
• Biometrics
• SmartCard
• BIOS
• SSO
• TPM
14
Copyright 2011 FUJITSU
Sicurezza: Diversi Sistemi
 Password su disco fisso
 Password su Bios
 Kensington Lock
 Lettore Impronte digitali
 Smart Card Reader
 Password sistema operativo
 VPN
 Pin code
 Intrusion switch (desktops)
Invia una segnalazione al sistema di system management,
se e quando il cabinet viene aperto
 Component change alert
15
Copyright 2011 FUJITSU
Protezione per accesso a dati ed applicazioni
 Accesso ristretto ad informazioni protette ai soli autorizzati
 Autenticazione
 Qualcosa che l’utente conosce
(password)
 Qualcosa che fa parte dell’utente
(dati biometrici, fingerprint, palm vein, iride, voce, viso)
 Qualcosa che l’utente possiede
(chip card, token, smartCard, security token)
 Strong Authentication
 Combinazione di due o più fattori di autenticazione
(es: qualcosa che l’utente possiede + qualcosa che conosce)
 Encryption
 Ovvero rendere inutilizzabile l’informazione ad
utenti non autorizzati
16
Copyright 2011 FUJITSU
Accesso: Diversi Metodi
Ease of use
very high
high
SmartCard
PIN
middle
low
Password
Cryptography
very low
Security
very low
low
middle
high
17
very high
Copyright 2011 FUJITSU
Accesso: TPM
 Modulo TPM
Chip montato sulla motherboard dei PC
 Core della TPA (Trusted Platform Architecture)
 Chiave di criptazione protetta sul silicio
• Unica e connessa ad uno specifico dispositivo
• A prova di manomissione
• Gerarchia delle chiavi
• Sicura archiviazione delle chiavi per cifrare e decifrare i dati
sul disco rigido
 Elementi chiave
• Generatore di numeri casuali per la generazione della chiave
• Memoria non-volatile per la chiave
• Supporto di Microsoft® BitLocker
18
Copyright 2011 FUJITSU
Dati: Cifratura dei dati
 Esistono differenti modi per cifrare i dati:
 Cifratura Software-based
 Cifratura di tutto il disco
 Software-based Encryption (ISV Product)
 Beneficio: indipendente dall’hardware
 Svantaggi:
• Impatto sulle performance del sistema
• L’installazione iniziale può richiedere 2 o più ore
 Full Disk Encryption
 Benefici:
• Minimo impatto sulle performance
• Dati sempre ed automaticamente cifrati
• La password dell’hard disk come dato nel BIOS
19
Copyright 2011 FUJITSU
ETERNUS: Controllo dei dati sensibili mediante
cifratura
???
Mettere
picturona e 3 /
4 messaggi
positivi da
ricordare
???
???
LUN cifrate
???
???
???
123
123
123
LUN non cifrate
123
123
123
 Metodo di cifratura basato su protocollo standard (AES)
 Massima protezione in caso di accesso fraudolento ai dati
 I dati sensibili sono sicuri anche in caso di swap del disco a causa di fault/furto
 Protezione dei dati anche in caso di rinnovo tecnologico
20
20
Copyright 2011 FUJITSU
EraseDisk
 Funzionalità:
 Cancella i dischi senza alcuna possibilità di recupero ed utilizzo fraudolento
dei dati (i dischi SSD non possono essere cancellati in modo sicuro)
 Integrato nel BIOS  Nessun sistema operativo o DVD necessario
 Report di verifica (su USB key) disponibile per conferma dell’avvenuta cancellazione con
successo
 Scopo:
 Evitare la perdita di dati critici quando:
• Si eliminano i sistemi
• Si vendono i sistemi agli impiegati, o per operazioni di re-marketing
• Si riassegnano sistemi all’interno dell’azienda
 Protezione dell’ambiente: riutilizzo del disco vs sua distruzione fisica
 EraseDisk è una caratteristica unica di Fujitsu (implementata nel
UEFI-BIOS) (patent pending)
 Consente la cancellazione dei dati per proprio conto
 Riduzione costi (nessun software aggiuntivo; nessuna necessità di servizi di società terze)
21
Copyright 2011 FUJITSU
Erase Disk – Algoritmo di cancellazione
 EraseDisk offre quattro opzioni di cancellazione, dalla “fast” (con un ciclo di
cancellazione) alla “very secure” (con 35 cicli di cancellazione):
 Zero Pattern (1 passaggio)
 German BSI/VSITR (7 passaggi)
 DoD 5220.22-M ECE (7 passaggi)
 Guttmann (35 passaggi)
 Il report attestante la completa cancellazione del disco, valido come documento
allo scopo di “audit proof”, può essere conservato, copiandolo su supporto
esterno (drive USB).
 Abilita l’utilizzatore ad essere conforme con leggi e regolamentazioni correnti,
quali:
•EU 95/46/EG (EU);
•BDSG (GER);
•Basel II (EU);
•HIPAA (US);
•Sarbanes-Oxley (US);
•Gramm-Leach-Bliley (US)
22
Copyright 2011 FUJITSU
Fujitsu Advanced Theft Protection
 Track it!
 Controlla e traccia gli asset
 Resiste alle manomissioni
 Genera allarmi
 Erase it!
 Cancella i dati sensibili da remoto
 Distrugge automaticamente i dati sensibili
3 notebook rubati
su 4 sono recuperati
!!!
 Crea log validi ai fini di audit
 Disable it!
 Rende il notebook inutilizzabile
 Utilizza comandi remoti o trigger automatici
basati su timer
 Sblocca facilmente il notebook qualora
venga recuperato
 Recover it!
 Consente di avvisare la polizia e recuperare
l’oggetto rubato (3 notebook rubati su 4
vengono recuperati)
23
Copyright 2011 FUJITSU
Copyright 2011 FUJITSU