La sicurezza nelle tue mani: PalmSecure Roberto Cherubini … Future 2013 Palm... · 2017-08-20 ·...
Transcript of La sicurezza nelle tue mani: PalmSecure Roberto Cherubini … Future 2013 Palm... · 2017-08-20 ·...
La sicurezza nelle tue
mani: PalmSecure
Roberto Cherubini
Fujitsu Technology
Solutions
1
Evoluzione tecnologica…
Proliferazione di dispositivi di accesso: - Cellulari
- Smartphone
- Tablet
- Notebook/Netbook
- Desktop
Sempre maggiore velocità di propagazione della tecnologia “Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?”
Radio
TV
Internet
iPod
Ma anche: - Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno - 1 coppia su 8, sposata negli USA si è conosciuta via Social Web - 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale, - 95% di loro utilizza allo scopo Linkedin
13 anni
4 anni
3 anni
38 anni
2
Accesso diversificato Da una recente ricerca in USA sugli
impiegati:
- 37% usa tecnologia «do it yourself»
- 97% utilizza > 2 dispositivi
Diverse Apps Nel 2015 il mercato
delle Mobile App
sarà di 38 Miliardi $
Diversi Dispositivi
Nel 2010 le vendite di Tablets e
smartphone hanno superato quelle dei PC
Nel 2015 ci saranno 1.1 miliardi di cellulari
e 300 milioni di tablets
Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011
Il ritmo ed il tasso di cambiamento tecnologico sono veloci…
3
…più veloci che mai…
DEVICE
66% usa per lavoro 2 o più dispositivi
Entro il 2016 il 50% di tutti i dispositivi
non-PC saranno BYO
DEVICE
Nel 2014 si spediranno più dispositivi
Android che iOS
Previsioni di vendite e refresh costanti di
PC, anno su anno
APPS
300 Miliardi di downloads di applicazioni
entro il 2016
L’80% delle applicazioni delle LOB sono
SaaS
ACCESSO
52% delle società supporta impiegati
mobile/remote
Più del 30% della forza lavoro mondiale è
mobile
Sources: Morgan Stanley 2011, Forrester 2010, Gartner 2011, Pew 2011, IDC 2012
4
Impiegati ed utilizzo strumenti IT
5
Risposte tipiche al problema….
IGNORARLO!!
Scarso controllo
Mancanza di sicurezza e conformità
BLOCCARLO!!
Forza lavoro scontenta
IT visto come fonte di complessità
ACQUISIRE UNA SOLUZIONE AD HOC!!
Incremento dei costi, scarsa scalabilità
Gestione difficoltosa
6
Perchè parlare di sicurezza?
Gestire gli accessi alle infrastrutture per:
Lavoratori remoti e “mobile”
Partners e clienti
Collaboratori occasionali
Rischi per la sicurezza:
Dati
Applicazioni
Accessi alla rete
Diffusione di informazioni
Internet
LAN
7
Da dove provengono le possibili minacce ?
Virus
Uso non
autorizzato
Social
network
Furto
manomissione
Danni
Intrusioni
Spam
Software
Password
ripetute
Controllo accessi inadeguato
Spyware
Keyloggers
Il confine tra privato e professionale non è più così definito
Privato
Professionale
8
Alcuni esempi eclatanti…
Server olandese lancia l'attacco più potente della storia Il New York Times l'ha definito uno dei più grandi attacchi alla Rete della storia. Per altri è come una
guerra mondiale virtuale. mentre i più ottimisti lo paragonano a un'autostrada intasata.
Sicurezza informatica 2012: triplicati gli attacchi DDOS Alla luce di questi dati non c’è da star tranquilli quando si è al Pc. Certo gli attacchi sono mirati
prevalentemente alle grandi istituzioni o aziende per via dei dati in esse contenuti ma i fenomeni di
furto d’identità o phishing sono in rapida ascesa come in generale la cyber criminalità. Questo
2013 come è stato confermato da più fronti vedrà inoltre la crescita dei fenomeni di cyber crime
rivolto al mondo mobile.
Privacy: informative di rischio per cloud e smartphone Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso anno e accende i
riflettori su cloud e smartphone. La consapevolezza fondamentale per mitigare i rischi, ma un
ruolo chiave toccherebbe ai provider.
9
Violazione dei dati e furto di dati nelle imprese
Furto di passwords, trasferimento
Dimenticanza della smart card, furto, trasferimento
Furto d’Identità
Trattamenti medici non autorizzati treatments
Accesso non autorizzato a locali/palazzi
Servizi di “social welfare” non autorizzati
Skimming, Frodi
ATM manipolati
e-banking manipolato
Carte d’identità manipolate
Hacking
accessi, furto, manipolazione di dati personali e documenti
di enti governativi, autorità
Cosa interessa i ‘malintenzionati’?
10
Interruzione dei processi
Downtime
Perdita dei dati Proprietà intellettuale
Documenti „strategici“
Perdita di tempo
Perdita di denaro
Perdita di business
Immagine danneggiata Reputazione e confidenza dei clienti
Insolvenza
Effetti
Problemi finanziari
Valore delle azioni
Relazioni con fornitori/clienti
IT come opportunità per gestione
dei rischi
Rischi per la sicurezza minacciano
vantaggi offerti da IT
Rischi connessi alla sicurezza
€
La sicurezza (o la sua mancanza) è un problema da affrontare
11
Le preoccupazioni circa la sicurezza
Furto dispositivi
Perdita dei dati
Accesso non autorizzato a dati societari (confidenziali)
Virus, worms
Accesso non autorizzato alle reti aziendali
4,1
4,0
4,0
3,9
3,8
Rating System 1-5
*Network Specialist; 2009
12
Aumento dei costi per la sicurezza
2003 2005 2007 2009
500k
750k
1,000k
1,250k
1,500k
1,750k
> 600k
750k
1,350k
Average total costs per reporting company was $4.8
million per data breach (2006 Annual Study: The cost of data breach, Ponemon Institute, 2007
Unità
rubate
Anni
Incremento dei costi legati a furti o smarrimento dei notebook aziendali
Il valore medio di un laptop “perso” è di $49,246.
Questo valore è basato su 7 componenti di costo: sostituzione,
individuazione, giudiziario, violazione dati, perdita di proprietà
intellettuale, perdita produttività e legale, spese di consulenza e
normative. Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009
13
Quanto valgono i Vs dati personali?
Ai cybercriminali i dati personali fruttano circa 400€
Una patente “taroccata” costa fino a 200 euro Gli estremi di un conto corrente fino a 180 euro.
Nuova identità viene circa 250 euro tramite siti Internet dedicati alla compravendita di documenti falsi. (siti raggiungibili facilmente tramite i normali motori di ricerca….)
Spesso sono gli stessi utenti a “facilitare” il lavoro a chi, per professione (!?), si occupa del furto di identità. Da una ricerca recente emerge che spesso, in modo molto disinvolto, si forniscono i propri dati personali:
- l'82,5% fornisce liberamente il proprio nome e cognome, - il 59% ci aggiunge la data di nascita, - il 48% il proprio indirizzo - il 33% completa il tutto con il numero del cellulare.
Identity management
14
Obiettivi della sicurezza IT
Confidenzialità (privacy)
Nessun accesso all’informazione senza
autorizzazione
Integrità
Nessuna alterazione dell’informazione senza
autorizzazione
Disponibilità
Assicurare accesso all’informazione agli utenti
autorizzati quando la richiedono
Prevent Denial of Service
Dati
e
Servizi
Disponibilità
Triangolo CID
La sicurezza riguarda il triangolo CID
15
Livello di Sicurezza
Audit-proof Protection
Data Protection
Access Protection
System Protection
• Password
• Biometrics
• SmartCard
• BIOS
• SSO
• TPM
• HDD Password
• Software- based Encryption
• Hardware-based Encryption
• Advanced Theft Protection
• EraseDisk
• Kensington
• Intrusion Detection
16
Accesso – Il logon dell’utente è sicuro?
Molti sistemi di sicurezza si basano su password “segrete”
Necessità di ricordare molteplici password
PWD spesso ripetitive o semplici da ricordare
(admin/admin, data di nascita, nome della moglie/marito…)
I Social contengono molto spesso i dati con cui ricostruire le PWD
L’accesso ad applicazioni (soprattutto WEB) richiede come Login una
MAIL = un parametro di sicurezza in meno
Se costretto ad usare password “complicate” l’utente, tende ad
annotarla (e la conserva in cassetti, attaccata a monitor, tastiere…)
Device Mobili conservano al loro interno le PWD di accesso a tutte le
nostre attività – o almeno a quelle accessibili da tali devices
17
Best Practice e Policy per le Password
Cambiare le passwords predefinite
Uso di “Strong passwords”
Sintassi
Lettere, numeri, caratteri speciali
Case-sensitive
Lunghezza minima
Non usare il salvataggio automatico
Cambiare regolarmente
Durata massima
Ciclo (o storia delle password), riutilizzo
Attenzione ad annotare le password!!
Differenti apps –> differenti passwords!!
Definire la politica di password appropriata
18
Autenticazione – vari livelli
Conosco
Password / PIN
Possiedo
Chip card, token (1-time password)
Certificato
Sono
Biometrico (e.g. fingerprint, palm vein)
Autenticazione Multifattore
Combinazione di alcuni metodi
Qualcosa che conosce e che possiede
Incremento del livello di sicurezza
Verifica dell’identità
19
Policy di accesso ed utilizzo
Bloccare l'accesso ai luoghi di lavoro
Utilizzo dello screen saver quando si lascia il
dispositivo incustodito
Dopo il periodo di inattività
Durata dipende dal livello di rischio per la sicurezza
Sbloccare l’accesso tramite password
Bloccare l’account dopo un dato numero di
tentativi
Sblocco dell’account
Manualmente a carico dell’admin
Automaticamente dopo una durata definita
20
Certificati
Utilizzato in aggiunta a user name e password
Per alcune apps o processi di logon
Generati dal server di authentication authority
nel DC
Memorizzato in forma criptata
Integrto nel browser
In ben definita posizione nell’OS
SmartCard (es. Pagamenti,…)
Rinnovo ciclico (es. annuale)
Se i dispositivi sono più di uno, il certificato
dovrebbe essere installato più volte
Applicabile solo per certificati software
Certificati HW solo per il rispettivo dispositivo HW
21
Controllo d’accesso per PC stand-alone
Password di BIOS
Autenticazione Pre-boot
Nessun boot per utenti non autorizzati da
dispositivi esterni (per copiare HDD)
Logon al Sistema Operativo
User account e password
SmartCard
Biometrics
Any combination (multi-factor)
22
PalmSecure – Biometric Technology
L’utilizzo della soluzione biometrica non è più una questione di “PERCHE’?”
ma diviene sempre più una questione di “QUALE?”,
“DOVE?”
e
“QUANDO?”
E’ tempo per una soluzione Biometrica!
23
Perché? Sicurezza combinata con convenienza
Autenticazione reale
Social security
Accesso veloce e facile
Mantenimento della privacy
Riduzione del costo e del workflow
Quale soluzione biometrica? Quella con i migliori livelli di FAR / FRR / FTA / FTE
La meno sensibile all’influenza di fattori ambientali
Applicabilità prossima al 100%
La più igienica
Che rispetta completamente i criteri dei processi di autenticazione
Utilizzo indipendente dall’età dell’utilizzatore
Perchè e quale soluzione biometrica?
24
False Acceptance Rate (FAR)
& False Rejection Rate Comparison (FRR)
Lo scanner Palmvein di Fujitsu è la tecnologia più accurata e più pratica.
Authentication Method FAR (%) = If FRR (%) =
Face recognition ~ 1.3 ~ 2.6
Voice pattern ~ 0.01 ~ 0.3
Fingerprint ~ 0.001 ~ 0.1
Finger vein ~ 0.0001 ~ 0.01
Iris/Retina ~ 0.0001 ~ 0.01
Fujitsu Palm vein < 0.00008 ~ 0.01 Accuratezza
Pra
ticit
à
Face
recognition
Fingerprint
Palm vein
Alto
Alto Basso
Voice
pattern
Signature
Iris/Retina
Finger vein
Basso
Confronto Autenticazione - Precisione
25
Palm Vein – Vantaggi dell‘autenticazione
Elevata sicurezza & Permanenza
– vantaggi delle vene
Nascoste sotto la pelle
difficile falsificazione
Uniche, anche tra gemelli identici
Nessun cambiamento.
Rimangono le stesse per tutta la
vita
Rilevabili solo quando scorre il
sangue
Elevata accettazione
Soluzione molto igienica -
nessun contatto
Utilizzo facile ed intuitivo
Pattern biometrico nascosto
all’interno del corpo (privacy)
Elevata accuratezza – vantaggi
del palmo rispetto al dito
I pattern Palm Vein sono
complessi. Più di 5 milioni di punti
di riferimento
Nel palmo vi sono vene più
spesse di quelle delle dita –
identificazione facilitata
Le vene del palmo sono insensibili
rispetto l’ambiente (temperature
fredde, graffi, uso di creme)
1 3 2
26
PalmSecure - Prodotti
Value for Buyers 1. PalmSecure è una tecnologia di sensori biometrici, che utilizza
l’unicità del pattern delle vene del palmo per svolgere
l‘autenticazione degli individui con elevato grado di sicurezza
2. I sensori PalmSecure possono essere usati per
Soluzioni di controllo accesso fisico
Soluzioni di controllo accesso logico
Soluzioni di controllo accesso di dispositivi
3. Le soluzioni basate su PalmSecure sono principalmente usate
nei seguenti segmenti di mercato
Sanità
PA
Dettaglio
4. Sono disponibili soluzioni pronte all’uso così come soluzioni
per OEM e System Integrator
Banche
Imprese
Industrie
Sensori OEM
PalmSecure
Soluzioni
PalmSecure per
Log In/SSO
Tastiere
PalmSecure per
Log In/SSO
Notebook/Tablet
PalmSecure
(BTO planned)
Rilevazione presenze
Accesso a dispositivi
Controllo d‘accesso fisico
Nuove soluzioni PS
27
Ampia gamma di applicazione
28
Controllo accesso Fisico
In questo esempio, un data center è dotato di sistemi di controllo degli accessi fisici con diversi
livelli di sicurezza. La biometria viene utilizzata nella zona di più elevata sicurezza.
29
Casi reali– ambito finanziario
127% 124%
121% 119%
119%
• Tokyo Mitsubishi Bank
• Ogaki Kyoritsu Bank
• SuragaBank
• Ziraat Bank
• IS Bank
• Garanti Bank
Alcuni costruttori di ATM stanno già offrendo ATM biometrici sulla base della domanda da parte delle banche
Utilizzo di dati biometrici nel bancomat / VTMS è già una realtà
In Sud America, Asia, Medio Oriente il numero di utenti di ATMs/VTMs biometrici sta aumentando notevolmente
•Vakif Bank
• Bradesco Bank
• Sparkasse (pilots)
• Deutsche Bank (pilots)
• Santander Bank (pilots)
30
ATM - Operazione senza card
31
Casi reali – Mercato sanità
Oltre 150.000 sensori
sparsi in 81 città,
migliaia di ospedali
statali, privati, cliniche e
farmacie
Attualmente il maggior progetto al mondo sulla sanità nazionale
Turkish SGK ha deciso di utilizare PalmSecure per identificare i pazienti
Registrazione biometrica di ca. 80 milioni di cittadini Turchi entro il 2017
32
Pubblica amministrazione /
Enterprise / Industria
Vienna Airport
Indian Railways
Lockeed Martin
Turkish National ID card project
Portugese Telecom Datacenter
EasyGym healthclubs
TDS Datacenter
Baseler Insurance
Alcuni ulteriori casi PalmSecure…
33
Rilevazione presenze e controllo accessi
127%
124%
121%
119%
119%
Imprese, autorità, industrie stanno sempre più utilizzando soluzioni di controllo accessi
biometrico per interi palazzi, stanze o per il log in a infrastrutture IT o per l’accesso a
stabilimenti produttivi
Ora, queste applicazioni possono essere combinate anche con soluzioni biometriche di
rilevazione delle presenze
Chi può entrare? Dove? A che ora?
Combinazione di controllo accessi fisico/logico
e rilevazione presenze dal costo contenuto
Controllo accessi log in /SSO pilotato da
un middleware per la rilevazione delle presenze
centralizzato
34
Casi reali – Controllo accessi aeroporto
>50.000 impiegati e staff di servizio
Template biometrici su smartcard Legic
250 access point sicuri
Altri aeroporti in valutazione
35
Ricapitolando…
36
Raccomandazioni - come procedere
Considerare la sicurezza in tutti i progetti
Definire gli obiettivi di sicurezza e le misure appropriate
Effettuare un Assessment
Legislazione, Contratti
Requisiti Cliente, Competition
Valori da proteggere (Esperienze, segreti commerciali, dati personali)
Possibili danni
Redigere un Piano d’Azione
Definire le Responsabilità
Personale permanente, reparto, tutti
Delegati
Documentare e Comunicare
Evitare la complessità per gli utenti
Effettuare check regolari sulla sicurezza
37
Il contributo di Fujitsu
Workplace systems
Caratteristiche di sicurezza integrate
Accessori
Stretta partnership con i principali vendor
di software di sicurezza
One-stop shop:
Server e Storage certificati
Dispositivi di accesso
Servizi End-to-End
Partnerhip
Varie opzioni per scegliere il giusto
livello di sicurezza
Servizi certificati ISO 27001
Lunga e comprovata esperienza
38
In conclusione…
La sicurezza non comporta (per forza)
elevati investimenti!
Il costo di un incidente di sicurezza (violazione dei
requisiti di conformità) può rivelarsi molto maggiore
La centralizzazione del desktop può
incrementare la sicurezza
Fattori di successo:
Buonsenso
Procedure organizzative ben definite
Personale affidabile e ben informato
Eliminare la complessità per gli utenti finali
La sicurezza non è mai una condizione
statica, ma un processo in corso
Fujitsu può essere il VS partner di riferimento Fujitsu - Your Partner of Choice
for IT Security
Dati
e
Servizi
Disponibilità
39
Grazie della Vs attenzione
“the key is your hand”
40