Identificare, autorizzare, notarizzare, validare XXII Convegno Nazionale per Amministratori ed Operatori dei Servizi Demografici Il ruolo degli ufficiali di anagrafe, di stato civile ed elettorale in una Pubblica Amministrazione che cambia le.
Download ReportTranscript Identificare, autorizzare, notarizzare, validare XXII Convegno Nazionale per Amministratori ed Operatori dei Servizi Demografici Il ruolo degli ufficiali di anagrafe, di stato civile ed elettorale in una Pubblica Amministrazione che cambia le.
Identificare, autorizzare, notarizzare, validare XXII Convegno Nazionale per Amministratori ed Operatori dei Servizi Demografici Il ruolo degli ufficiali di anagrafe, di stato civile ed elettorale in una Pubblica Amministrazione che cambia le vere difese per business e comunicazione in Rete Gianni Utili Phone +39 02 68825.1 ACTALIS S.p.A. VIA T. TARAMELLI, 26 - 20124 MILANO www.actalis.it [email protected] Agenda La Società Nuovi scenari nella sicurezza informatica Infrastruttura di sicurezza PKI La Carta a Microprocessore L’offerta Certification Authority iscritta al pubblico elenco certificatori AIPA Un’iniziativa del mondo bancario e finanziario per la sicurezza informatica Le esperienze di sicurezza maturate a favore del sistema bancario e finanziario nelle aree dei sistemi di pagamento e dei servizi finanziari rappresentano il patrimonio di ACTALIS e una garanzia consolidata per Imprese, Istituzioni Pubbliche e Private, Enti Locali e Amministrazioni Centrali La Mission Progettare, realizzare e commercializzare sistemi, servizi e prodotti attinenti alla sicurezza informatica e alle tematiche della Firma Digitale (PKI - Public Key Infrastructure) a livello nazionale ed internazionale Il ruolo Actalis è Certificatore iscritto all’Elenco Pubblico dei Certificatori dal 28 Marzo 2002, e subentra a SIA ed SSB nel medesimo ruolo Le infrastrutture di PKI e i sistemi di certificazione di Actalis sono disponibili anche per lo sviluppo dei progetti per la Carta d’Identità Elettronica (C.I.E.) e per la Carta Nazionale dei Servizi (C.N.S.) La partecipazione ai “Tavoli di indirizzo” (ABI, Banca d’Italia, CIPA, Assocertificatori, GTA, Identrus) consente ad ACTALIS di offrire un contributo di conoscenza in un contesto normativo e tecnologico complesso e in forte evoluzione Le competenze Consolidate ed efficienti infrastrutture e tecnologie PKI Capacità di definire ed implementare sistemi di gestione per la sicurezza (ISMS - Information Security Management Systems) Gestione di adeguate metodologie di security assessment, risk analysis e risk management Risorse preparate per competenze e per conoscenza delle esigenze del Cliente e dei suoi processi ICT Progetti PKI: Identrus LLC - Le Banche per il B2B TM Identrus definisce uno standard per l’emissione di Certificati “cross border” nell’ambito dell’e-commerce B2B. Di fatto si crea un Sistema di PKI a livello internazionale per il Business to Business 7 fra le maggiori banche italiane aderiscono a Identrus, consorzio composto da 60 tra le maggiori banche mondiali, possono offrire alla clientela corporate nuovi servizi B2B con i più elevati livelli di sicurezza internazionali Actalis implementa le soluzioni PKI Identrus e gestisce in outsourcing il servizio alle banche che assumono il ruolo di Certificatore Identrus Progetti PKI: GTA - Le Banche per il B2C Global Trust Authority Definisce uno standard di matrice europea per l’emissione di Certificati “cross border” nell’ambito dell’e-commerce B2C. Di fatto si crea una PKI a livello internazionale per il Business to Consumer Actalis rileva il ruolo di SIA che con l’ABI è tra i soci fondatori. Actalis sarà la prima Certification Authority operativa di GTA a livello mondiale Progetti PKI : EMV La CA EMV è lo standard di sicurezza delle carte internazionali di pagamento a microcircuito I principali paesi esteri stanno migrando dalla banda magnetica al microcircuito Gran Bretagna, Francia, Spagna, Portogallo, Danimarca, - già operativi Germania, Svezia, Finlandia - progetti in sviluppo In Italia il progetto di migrazione è in fase di attivazione proprio in questi giorni con la fase di sperimentazione su 4 città campione Actalis rileva da SIA il ruolo di certificatore per il circuito Bancomat e PagoBancomat Dati di partenza Clienti nazionali oltre 150 Oltre 90 banche clienti Università Sanità Pubbliche Amministrazioni Centrali e Locali Imprese Clienti internazionali in Francia Polonia Oltre 800.000 certificati di firma digitale venduti ad oggi che confermano la leadership acquisita sul mercato domestico Agenda La Società Nuovi scenari nella sicurezza informatica Infrastruttura di sicurezza PKI La Carta a Microprocessore L’offerta Alcuni dati: rapporto OCI 2001 Secondo l’Osservatorio Criminalità ICT in Italia Dati 3° Rapporto OCI 2001 Campione di 200 aziende ed Enti Pubblici soci di FTI • • • • • • • • • 78% ha subito contaminazione da virus 41% ha subito furto di apparati contenenti dati 26% ha avuto saturazione di risorse 10% ha avuto accessi non autorizzati alle informazioni 12% ha subito uso non autorizzato degli elaboratori 08% ha subito traffico illegale di materiale 08% ha avuto Trojan horses 08% ha subito accesso e modifiche non autorizzate ai dati 04% ha subito frodi tramite computer Gli attacchi dall’esterno superano quelli dall’interno 73% contro il 27% Alcuni dati: rapporto CSI-FBI 2001 Il rapporto U.S.A. “Issues and Trends:2001 CSI / FBI Computer Crime and Security Survey” effettuato su 538 enti nel 2000 94% ha subito contaminazione da virus 85% ha subito furti di lap-top, info, frodi, sabotaggi 38% ha avuto “denial of services” (78% per i siti EC) 98% ha riscontrato uso improprio o abuso degli accessi ad Internet (pornografia, pirateria, software etc.). 40% ha rilevato penetrazione del sistema dall’esterno 186 intervistati hanno valutato perdite economiche complessive pari a 377 milioni di dollari (265 milioni nel 1999) Gli attacchi dall’esterno continuano a crescere rispetto a quelli interni: 70% contro il 30% L’insicurezza percepita worldwide secondo Lo sviluppo verso Internet e più in generale l’online è la principale causa percepita di “insicurezza” 90% 80% 70% 34% 60% 36% 39% 50% 33% 34% 34% 33% 22% 40% 30% 52% 39% 20% 34% 36% Svil. Org. Acc. remoto 34% 31% 31% 32% 10% 0% Internet Intranet Causa molto importante Extranet VPN Causa importante Collab. eCommWorking OLB Il perché delle Frodi Motivazioni attacchi OCI 2001 dati in % 36 40 35 30 25 20 15 10 5 0 22 17 12 Vandalismo Furto Spionaggio Dimostrativa Sabotaggio informatica Frode informazioni 7 4 Secondo l’Osservatorio Criminalità ICT in Italia Dati 3° Rapporto OCI 2001 Le paure delle aziende italiane Attacchi temuti Uso non autorizzato Altre frodi 8% 9% Furto dati 8% Accesso non autorizzato 14% Furto Apparati 7% Modalità non autorizzate 11% Saturazione risorse 10% Troyan horses 9% Virus 24% Secondo l’Osservatorio Criminalità ICT in Italia Dati 3° Rapporto OCI 2001 Il mercato mondiale della sicurezza secondo Crescita del mercato della Sicurezza IT per segmento (in miliardi di dollari USA) da 12,5 miliardi nel 2000 a circa 41,5 miliardi nel 2005 $20 $18 $16 $14 $12 $10 $8 $6 $4 $2 $0 Software Hardware Servizi 50% 39% 48% 34% 18% 11% 2000 2005 Il mercato italiano secondo In Italia la domanda cresce da $260.000 nel 2000 a ca. $1.500.000 nel 2005 700 Totale Software 600 Totale Hardware 500 Totale servizi di sicurezza 400 300 200 100 0 2000 2001 2002 2003 2004 2005 Agenda La Società Nuovi scenari nella sicurezza informatica Infrastruttura di sicurezza PKI La Carta a Microprocessore L’offerta PKI Public Key Infrastructure Infrastruttura di sicurezza Public Key Infrastructure (PKI) Una tecnologia a sostegno delle nuove opportunità offerte dall’ e-business La sicurezza: l’esigenza Identificazione degli interlocutori Sicurezza delle transazioni La sicurezza: le garanzie Autenticazione: il destinatario della transazione è certo dell’identità del mittente Integrità: il destinatario può verificare con certezza che il contenuto della transazione non sia stato alterato Non Ripudio: il mittente non può negare di avere eseguito la transazione Privacy: l’informazione è cifrata e solo chi possiede la chiave di decodifica può leggerla Le tecniche di sicurezza basate su chiavi di crittografia Autenticazione Privacy Integrità NonRipudio UserID/pwd Crittografia simmetrica (DES) Crittografia asimmetrica (RSA) La complessità e la sicurezza crescono proporzionalmente alla quantità di servizi richiesti Ci sono molti aspetti da considerare… per costruire una soluzione e-business sicura Politiche di gestione Firma digitale Smart card, Accesso remoto Politiche di amministrazione Certification Authority Proxy server Rilevamento delle intrusioni Applicazioni sicure Firewall/VPN I benefici della PKI Crea un ambiente sicuro per clienti, fornitori e partner fornendo gli elementi di sicurezza per il commercio, la comunicazione e l’accesso alle informazioni Minimizza i rischi connessi con lo svolgere attività commerciali su una rete pubblica IP (Internet) Gli utenti e gli sviluppatori di applicazioni e-commerce e e-business possono concentrarsi sulle proprie attività, senza doversi direttamente preoccupare di tecnologie complesse come la crittografia, la gestione di chiavi e certificati… Minori costi di sviluppo e gestione delle applicazioni: PKI fornisce un’infrastruttura di sicurezza comune La Certification Authority: la base di una PKI In generale, la CA è l’entità che garantisce l’intero ciclo di vita dei certificati digitali – emissione – sospensione – revoca Certification Authority (CA): la terza parte fidata (third- trust- party) Quali caratteristiche deve possedere la CA? • Ruolo riconosciuto • Rispetto dei criteri di sicurezza dichiarati • Risorse adeguate umane finanziarie tecnologiche Know-how • Trasparenza e garanzia dei livelli di servizio Certification Authority (CA): la terza parte fidata (third- trust - party ) Esempi di CA tradizionali Prefettura (passaporti) Ministero dei trasporti/ufficio motorizzazione civile (patente di guida) Uffici Anagrafici (carta d’identità) Certification Authority (CA) Trust Trust Thirdparty trust Cos’è un certificato? Certificato tradizionale identità dell’ente emittente identità dell’utente validità verifica l’identità tramite fotografia e firma Certificato digitale identità dell’ente emittente identità dell’utente validità verifica l’identità tramite la chiave di cifratura appropriata Dove sono contenuti i certificati? Le esigenze applicative Autenticazione La firma digitale è riconducibile in modo certo ad un soggetto ben preciso Autorizzazione E’ necessario che quel soggetto sia autorizzato a firmare! Mario Rossi, AD dell’azienda Pinko, può firmare una richiesta d’ordine di valore superiore a X milioni Il signor Mario Rossi può firmare il contratto di acquisto della sua nuova casa Il processo di autenticazione Il processo di autorizzazione si basa sull’identità del soggetto si basa invece sui poteri (attribute) del soggetto: ruolo, mansioni, rango, privilegi e abilitazioni L'uso regolare di un certificato (inalterabile e permanente) permette la verifica degli “attribute” del firmatario in un qualunque momento posteriore alla firma. AA: Attribute Authority Assegna i poteri (attribute) a chi spettano, procedendo d’ufficio; non è necessariamente un ente “trusted” per i dipendenti di un’azienda, la AA non può essere che l’azienda stessa per i clienti di un servizio, la AA non può essere che l’erogatore del servizio per gli appartenenti ad un ordine professionale, la AA non può essere che l’ordine professionale stesso Un nuovo certificato per gestire i poteri Si potrebbe usare il certificato di firma (sfruttando ad esempio le estensioni) ma in pratica non conviene farlo: i poteri di un soggetto sono temporanei mentre la sua identità è permanente nel caso più generale, i poteri non è opportuno che siano amministrati dallo stesso ente (la CA) che rilascia i certificati delle chiavi pubbliche …nel microchip Potranno risiedere anche i certificati di attributo per la gestione dei poteri Sinergia con il servizio di Digital Time Stamping Naturalmente, per la verifica dei poteri è importante un riferimento temporale affidabile Quindi (anzi, a maggiore ragione) è necessario un servizio di marcatura temporale Una firma digitale completa, quindi, dovrebbe sempre includere: Pubblic Key Certificate (PKC) + Attribute Certificate (AC) + Time Stamp (TS) Ruoli principali delle Authority Infrastruttura di emissione RA Registration Authority CA Certification Authority Infrastruttura di validazione VA Validation Authority Infrastruttura di supporto AA Attribute Authority TSA Time Stamping Authority Agenda La Società Nuovi scenari nella sicurezza informatica Infrastruttura di sicurezza PKI La Carta a Microprocessore L’offerta Cos’è una carta a microprocessore? Viene chiamata anche Smart Card (carta intelligente) e ci si riferisce generalmente ad una carta di plastica, delle dimensioni di una normale carta di credito, che contiene un microprocessore ed una memoria integrati; poiché priva di batteria, tastiera e display per funzionare deve essere inserita in un dispositivo di lettura. Un uso tipico è quello di chiave elettronica, in cui il possesso della carta e la conoscenza di un codice permettono l’accesso a determinate risorse. Cos’è una smart card? Una Smart Card conserva ed elabora informazioni mediante un circuito elettronico, un chip, integrato al suo interno che le permette molteplici funzioni. Così avere una smart card è come avere un PC nel portafoglio. Le caratteristiche principali di una carta intelligente Le caratteristiche principali di una carta intelligente sono: PROGRAMMABILITÀ: la presenza di un microprocessore, generalmente a 8-bit, permette alla carta di assumere un ruolo attivo nel processo d’interazione con il mondo esterno SICUREZZA: possibilità di immagazzinare informazioni riservate accessibili solo alla carta stessa e modificabili dall’esterno solo con chiavi numeriche, ad esempio PIN (numero d’identificazione personale) MOBILITÀ: la carta è facilmente trasportabile date le sue ridotte dimensioni Esistono diversi tipi di Carte con forma identica ma con differenti caratteristiche funzionali I motivi della crescita continua dell’utilizzo delle Smart Card: Hanno dimostrato di essere più affidabili delle carte magnetiche; Possono conservare fino a 100 (e più) volte le informazioni di una carta magnetica; Riducono drasticamente la manomissione e la contraffazione attraverso robusti meccanismi di sicurezza; Possono eseguire molteplici funzioni in svariati range di applicazioni. I maggiori benefici offerti dalle Smart Card La possibilità di molteplici applicazioni diverse con un'unica carta sicura: • Un più efficace controllo delle spese: • credito, debito, contante elettronico, fornitura di biglietti, identificazione sicura, patente di guida, registrazioni sanitarie la riduzione delle frodi, meno "carta" e l'eliminazione della necessità di compilare moduli con perdite di tempo Una ampia gamma di canali per effettuare i pagamenti: • il telefono, il cellulare, la TV interattiva e internet In cosa si differenzia la smart card dalle carte a banda magnetica? Le attuali card a banda magnetica possono registrare poche informazioni. Una smart card registra fino a 80 volte più informazioni di una carta a banda magnetica. Può perfino "prendere decisioni" grazie a una autonoma capacità elaborativa. Campi d’impiego della Smart Card: Telefonia Firma Digitale E-banking E-commerce TV digitale Sanità Pubblica Amministrazione Scenari applicativi delle smart cards Area Pagamenti Carte di Credito e di Debito Area Sicurezza Firma Digitale Area Telefonia Area P.A. C.I.E. C.N.S. Agenda La Società Nuovi scenari nella sicurezza informatica Infrastruttura di sicurezza PKI La Carta a Microprocessore L’offerta Il mercato di riferimento Banche Compagnie Assicurative Istituzioni Pubbliche e Private Imprese commerciali e industriali Amministrazioni Centrali e Locali L’OFFERTA Consulenza e Formazione Servizi di certificazione Prodotti per la firma digitale L’OFFERTA - CONSULENZA E FORMAZIONE CONSULENZA Check-up sicurezza ICT Risk Analysis Risk Assessment Vulnerability Assesment Preparazione alla certificazione Politica di sicurezza Organizzazione per la sicurezza Controllo e classificazione delle risorse Sicurezza del personale Sicurezza materiale ed ambientale Gestione operativa e comunicazione Controllo degli accessi Sviluppo e manutenzione dei sistemi Gestione della Business Continuity Conformità Realizzazione progetti di sicurezza Studio Progettazione Soluzioni ad hoc L’OFFERTA - CONSULENZA E FORMAZIONE FORMAZIONE Corsi in House Strumenti multimediali di e-learning CD-Rom Siti Web L’OFFERTA - SERVIZI DI CERTIFICAZIONE Emissione certificati Validation Authority Notarizzazione Attribute Authority Internazionali Registration Authority Identrus B2B GTA: B2C Nazionali Firma Digitale Qualificata Firma digitale UE EMV: per Issuer carte di debito SSL (client/server) S/MIME VPN/IPSEC CODE Signing Certificati con profili custom Interattiva Batch Validazione OCSP Archiviazione Marcatura temporale Qualifiche, procure e poteri operativi Cariche temporanee / permanenti Privilegi, capacità L’OFFERTA - PRODOTTI PER LA FIRMA DIGITALE Prodotti periferici Prodotti centrali Suite Modular Security System AS 2.0 SIP (Secure International Payment) SDP (Secure Domestic Payment) Dispositivi Ellips Java Toolkit Ellips Enhanced Toolkit Ellips Personal Kit Smartcard Javacard Lettori di smartcard Token USB L’OFFERTA - PRODOTTI PER LA FIRMA DIGITALE Prodotti Centrali MODULAR SECURITY SYSTEM AS 2.0 E.U. Qualificata SIP SDP EMV L’OFFERTA - PRODOTTI PER LA FIRMA DIGITALE Prodotti Periferici Ellips Java Toolkit Ellips Enhanced Toolkit Suite Ellips Personal Kit My C++ Application Java Applet Wrapper C++ My Java Application Java Library Per sviluppatori Java Applet Java Library File Protector Java Library Per l’utente finale