Fine Vita di XP e CNI - Il punto di vista di un

system integrator di Cyber Security

Angeloluca BARBA

L’opportunita’ digitale

• L’adozione di infrastrutture digitali su larga scala

e’ un’opportunita’ per tutti gli attori pubblici e

privati del sistema paese

• Le catene del valore si spostano sempre piu’

sul digitale anche in settori economici

tradizionali ( es. Turismo)

• Il digitale rappresenta una rivoluzione

nell’erogazione dei servizi al cittadino dalla

salute all’amministrazione, dalla sicurezza alla

mobilita’ (es. Agenda Digitale)

• Applicazioni sempre piu’ connesse

• Nuovi servizi, benefici con riduzione dei costi

© C

op

yri

gh

t S

ele

x E

S S

.p.A

20

14

All

rig

hts

rese

rve

d

Source: Peter Hinssen, the new normal, media NV, 2010

Siamo qui

La “Relazione annuale sulla politica dell’informazione

per la sicurezza” del SIS

© C

op

yri

gh

t S

ele

x E

S S

.p.A

20

14

All

rig

hts

rese

rve

d

• “l’attività informativa è stata dunque ampliata secondo una nozione di sicurezza

nazionale che incorpora la competitività, la crescita economica e la

connessa coesione sociale fra i beni essenziali da difendere, partendo da una

prioritaria individuazione – condivisa con le Amministrazioni centrali rappresentate nel CISR –

dei settori strategici del Sistema Paese.»

• «Pur costituendo la protezione delle infrastrutture critiche informatizzate

target prioritario per l’intelligence, atteso che un’aggressione alle stesse è

potenzialmente in grado di danneggiare o paralizzare il funzionamento dei gangli vitali dello

Stato, il monitoraggio informativo svolto nel corso del 2013 ha consentito di rilevare come la

concentrazione degli eventi cibernetici di maggior rilievo si sia tradotta in un significativo

incremento di attività intrusive finalizzate all’acquisizione di

informazioni sensibili e alla sottrazione di know-how pregiato. Ciò in

danno del patrimonio informativo di enti governativi, militari, ambasciate, centri di ricerca, nonchè

di società operanti nei settori aerospaziale, della difesa e dell’energia, anche di fonte alternative.

Alcune esperienze dal passato….

4

© C

op

yri

gh

t S

ele

x E

S S

.p.A

20

14

All

rig

hts

rese

rve

d

• Windows NT su sistemi critici certificati ITSEC/CC

− Hardware Shortage

− Software Shortage

− Skill Shortage

− Porting

Ed è stato un passaggio molto meno invasivo!

• SCO Open Server su sistemi fortemente integrati con HW proprietario

− Hardware Shortage

− Software Shortage

− Skill Shortage

− Portabilità su altri sistemi

…qualche pezza…

5

© C

op

yri

gh

t S

ele

x E

S S

.p.A

20

14

All

rig

hts

rese

rve

d

• Archeologia/Spare parts

− Mai cercato un disk array compatibile NT4.0 nel 2010 ?

• Virtualizzazione/Isolamento

• Programmi di supporto

− Microsoft ha ancora un supporto per XP

• Porting !

− E’ uno UNIX lo ricompili! %&$@@@@!!!!

− E il testing ? La certificazione ? La messa in campo ? Il training ?

… e qualche considerazione generale

6

© C

op

yri

gh

t S

ele

x E

S S

.p.A

20

14

All

rig

hts

rese

rve

d

• Pianificare, pianificare, pianificare

− Pianificare in fase di offerta/acquisizione

− Pianificare in fase di esecuzione

− Pianificare ora !

• Cambiamento culturale

− Il software è ovunque non si può ignorare

− Internet of Things

− Cyber Security come l’Assicurazione Qualità : una necessità imprescindibile

− Qualità del prodotto : bisogna chiedere

− Qualità del Servizio

• Partnership : serve un partner affidabile che accompagni l’organizzazione

giorno per giorno

Protezione delle IC

Risk Analysis

Self appraisal

Il life-cycle della Protezione delle IC e le relative capacità tecnologiche necessarie

ID & Designation

PreventionProtection,

Preview

Indication & Warning

Mitigation Response Reconstruction

PDCA (plan, do,

check, act)

Threat assessment

Crisi emergente

o in atto: riconoscimento stato di crisi

Circoscrizione del

problema per arginarne il dilagare

Mobilitazione squadre di reazione

Gestione della

crisi e risoluzione

Ritorno allo

status quo

Ripristino regime

Pre Event Post Event

Principali competenze

Contesto delle Minacce e Pianificazione

Continuità operativa e QoS

Governance della Sicurezza (inclusa Sicurezza Organizzativa)

Sicurezza Fisica e Cyber Security

Training e Formazione

© Copyright Selex ES S.p.A 2014 All rights reserved 7

L’approccio SELEX ES : gli standard come chiave

8

© C

op

yri

gh

t S

ele

x E

S S

.p.A

20

14

All

rig

hts

rese

rve

d

ASSESSMENT, DESIGN AND

REVIEW IDENTIFICATION

COMPREHENSIVE

PROTECTION

SECURITY MANAGEMENT

ICS /SCADA Specific Intelligent

Protection Technologies

DATA & NETWORK

CYBER INTELLIGENCE

M/490 Mandate

www.cyspa.eu

Angeloluca BARBA

angeloluca.barba@selex-es.com

Via Laurentina 760

00143 Roma – Italia

www. selex-es.com

Grazie per l’attenzione!