Vuoi un Software amico?

Cybersecurity as a Friend

Mettere al sicuro dipendenti e clienti dai rischi legati a un attacco informatico è oggigiorno una responsabilità. Sicurezza fisica, gestione di informazioni sensibili, Business Continuity sono solo alcuni dei rischi che grazie al nostro Metodo è possibile circoscrivere.

Gli amici si proteggono a vicenda, e questo è quello che facciamo: aiutiamo le aziende ad assicurare i propri valori nel tempo, costruendo porte pronte ad aprirsi per accogliere gli invitati ma ben chiuse per respingere chi non è il benvenuto.

Baule

Un amico pensa alla
tua sicurezza

Cybersecurity significa

  • Essere a norma con tutte le normative di sicurezza (vedi le normative)
  • Implementare una strategia di Cybersecurity
  • Assicurare l’incolumità di dipendenti e clienti (Safety)
  • Proteggere impianti e sistemi industriali (IT/OT Security)
  • Garantire la Business Continuity (produttività)
  • Difendere dati sensibili e personali
  • Tutelare la reputazione aziendale

Un amico ti fa
aprire gli occhi

Sottovalutare il rischio è più comodo…

La mia azienda è piccola, non rischia di subire attacchi informatici.

Safety e Security: le definizioni

Safety: Libertà dall'occorrenza di rischi che non sono tollerabili. La Safety protegge l'uomo dalle “cose”, ovvero da eventi di natura accidentale legati all'ambiente che ci circonda.

Security: Condizione delle risorse di un sistema di essere libere da accesso non autorizzato e da modifiche non autorizzate o accidentali, da distruzione o perdita. La Security protegge le “cose” (dati, beni,…) dall’uomo, ovvero da azioni volontarie di natura malevola da lui causate.

Schema

Il contesto normativo

Requisiti essenziali di sicurezza e di tutela della salute

1.1 – Considerazioni generali / 1.1.2 – Principi di integrazione della sicurezza
c) In sede di progettazione e di costruzione della macchina, nonché all'atto della redazione delle istruzioni il fabbricante, o il suo mandatario, deve prendere in considerazione non solo l'uso previsto della macchina, ma anche l'uso scorretto ragionevolmente prevedibile.

1.2 – Sistemi di comando / 1.2.1 – Sicurezza ed affidabilità dei sistemi di comando I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, errori della logica del sistema di comando non creino situazioni pericolose.

Particolare attenzione richiede quanto segue:
la macchina non deve avviarsi in modo inatteso, i parametri della macchina non devono cambiare in modo incontrollato, quando tale cambiamento può portare a situazioni pericolose, non deve essere impedito l'arresto della macchina, se l'ordine di arresto è già stato dato

La serie di norme 62443 è stata sviluppata congiuntamente dal Comitato ISA99 e dal Comitato IEC TC65WG10 ed è dedicata alla necessità di progettare ed integrare una CyberSecurity robusta e resiliente nel sistemi industriali di controllo (ICS).

Gli obiettivi della serie 62443:

  • Migliorare Safety, disponibilità, integrità e confidenzialità dei sistemi utilizzati per l'automazione industriale e il controllo di processo.
  • Fornire dei criteri oggettivi per implementare l'adeguato livello di Security nei sistemi industriali di controllo e gestione dei processi.

Lo standard minimo emanato dal governo svizzero è destinato a fornitori e operatori di infrastrutture critiche e non: è concepito come un manuale contenente le linee guida per la sicurezza informatica con particolare attenzione ai concetti di “identificazione”, “rilevazione”, “protezione”, “risposta” e “recupero”. Questo provvedimento punta ad aumentare la consapevlezza dei rischi legati alle minacce informatiche e ai furti di dati presso le piccole e medie imprese.


Un amico ti avverte
dei pericoli

Cosa succede nella realtà?

In poco più di un anno sono stati danneggiati quasi 2 miliardi di file contenenti dati personali e sensibili di altra tipologia – Ernst & Young

Ogni giorno si parla di “attacchi informatici”. Ma le implicazioni sono altrettanto chiare?

  • L’impianto di approvvigionamento energetico di un ospedale viene attaccato… il funzionamento dei macchinari ospedalieri è a rischio e di conseguenza la vita dei suoi pazienti!
  • Indirizzi e dati sensibili di un istituto finanziario vengono sottratti. La sicurezza delle persone e la reputazione aziendale sono minacciate!

Il nostro obiettivo è creare strategie di Cybersecurity in grado di preservare i valori aziendali.


Un amico ti
rende sicuro

Come ti aiutiamo? Ecco il Metodo Goodcode

Ogni imprenditore ha la responsabilità di proteggere attività e dipendenti dalle minacce informatiche che incombono sulla propria azienda. Il metodo assicura ai clienti un supporto costante per garantire: Sicurezza fisica, gestione di informazioni sensibili e Business Continuity.

Analisi
Analisi, modellizzazione logico-funzionale del sistema, zonizzazione e classificazione degli assets per criticità.

Valutazione del rischio
Valutazione del rischio e definizione dei livelli di Security.

Ottimizzazione
Prove sperimentali per verifica degli assets, progettazione e implementazione delle eventuali misure correttive.

Didattica
Formazione del personale in materia di regolamenti e sull’uso degli strumenti informatici per evitare i rischi che derivano da un uso improprio.


Un amico sta
al tuo fianco

Cybersecurity as a Service

Come ogni sfida tra il Bene e il Male che si rispetti, anche quella contro il crimine informatico non ha una fine e si rinnova di giorno in giorno. Per questo abbiamo pensato a un servizio continuativo basato sull’implementazione di una strategia di lungo periodo: Cybersecurity as a Service.


Un amico ci
mette la faccia

Esperienza e collaborazioni

I professionisti che mettiamo in campo per i nostri clienti sono veri esperti di Cybersecurity, e lo dimostrano le Partnership di livello internazionale costruite in questi anni, tra le quali quella col Bureau Veritas, leader mondiale nei servizi di ispezione, verifica di conformità agli standard di Safety e Security e certificazione.

Paolo Domenighetti

Paolo Domenighetti

Laureatosi in Software Engineering all’Università della Svizzera Italiana, Paolo Domenighetti ha diretto una società di consulenza IT dal 2010 al 2015 per poi decidere, quello stesso anno, di mettere a frutto la passione e le competenze maturate nel Software Development fondando Goodcode. Esperto di Cybersecurity e crittografia, collabora a stretto contatto col Bureau Veritas.

Massimo Bianchini

Massimo Bianchini

Ingegnere meccanico appassionato di robotica e automazione, Massimo Bianchini è stato direttore operativo di Apave SudEurope Italia, player mondiale della sicurezza e certificazione. Nel 1997 ha avviato la sua attività di consulenza in validazione eCommissioning di impianti di produzione, sicurezza funzionale ed infine cybersecurity industriale. Dal 2018 è partner di Bureau Veritas Italia.

Bureau Veritas si avvale del metodo poposto da Paolo Domenighetti e Massimo Bianchini per offrire consulenze in ambito Cybersecurity


Un amico ti aiuta
a capire

Cybersecurity in pillole

A seguire qualche parola chiave e approfondimento che troverai sicuramente interessante per comprendere meglio il tema della Cybersecurity.

Requisiti essenziali di sicurezza e di tutela della salute

1.1 – Considerazioni generali / 1.1.2 – Principi di integrazione della sicurezza
c) In sede di progettazione e di costruzione della macchina, nonché all'atto della redazione delle istruzioni il fabbricante, o il suo mandatario, deve prendere in considerazione non solo l'uso previsto della macchina, ma anche l'uso scorretto ragionevolmente prevedibile.

1.2 – Sistemi di comando / 1.2.1 – Sicurezza ed affidabilità dei sistemi di comando I sistemi di comando devono essere progettati e costruiti in modo da evitare l'insorgere di situazioni pericolose. In ogni caso essi devono essere progettati e costruiti in modo tale che: un'avaria nell'hardware o nel software del sistema di comando non crei situazioni pericolose, errori della logica del sistema di comando non creino situazioni pericolose.

Particolare attenzione richiede quanto segue:
la macchina non deve avviarsi in modo inatteso, i parametri della macchina non devono cambiare in modo incontrollato, quando tale cambiamento può portare a situazioni pericolose, non deve essere impedito l'arresto della macchina, se l'ordine di arresto è già stato dato

La serie di norme 62443 è stata sviluppata congiuntamente dal Comitato ISA99 e dal Comitato IEC TC65WG10 ed è dedicata alla necessità di progettare ed integrare una CyberSecurity robusta e resiliente nel sistemi industriali di controllo (ICS).

Gli obiettivi della serie 62443:

  • Migliorare Safety, disponibilità, integrità e confidenzialità dei sistemi utilizzati per l'automazione industriale e il controllo di processo.
  • Fornire dei criteri oggettivi per implementare l'adeguato livello di Security nei sistemi industriali di controllo e gestione dei processi.

Lo standard minimo emanato dal governo svizzero è destinato a fornitori e operatori di infrastrutture critiche e non: è concepito come un manuale contenente le linee guida per la sicurezza informatica con particolare attenzione ai concetti di “identificazione”, “rilevazione”, “protezione”, “risposta” e “recupero”. Questo provvedimento punta ad aumentare la consapevlezza dei rischi legati alle minacce informatiche e ai furti di dati presso le piccole e medie imprese.

VPNFilter è un malware progettato per infettare i router e alcuni dispositivi di storage collegati alla rete. Si stima che al 24 maggio 2018 abbia infettato circa 500.000 router in tutto il mondo, anche se si stima che questa sia comunque una stima al ribasso. VPNFilter Può rubare dati, contiene un "kill switch" progettato per disabilitare il router infetto a comando ed è in grado di sopravvivere al riavvio del router. L'FBI ritiene che sia stato creato dal gruppo russo Fancy Bear.

“Cyber Resilience” si riferisce alla capacità di un'entità di ottenere il risultato desiderato, nonostante eventi informatici avversi. Quello di Cyber Resilience è un concetto che si ta rapidamente affermando e riunisce essenzialmente le aree della sicurezza delle informazioni, della continuità operativa e della resilienza organizzativa. Le entità cui si lega maggiormente tale concetto sono: sistemi IT, infrastrutture critiche, processi aziendali, organizzazioni, società e stati nazionali.

Per Cyber Threat Intelligente si intendono le informazioni sulle minacce e sugli attori delle stesse che contribuiscono a mitigare gli eventi dannosi nel cyberspazio. Le fonti di intelligence sulle minacce informatiche comprendono l'intelligence open source, l'intelligence dei social media, l'intelligence umana, l'intelligence tecnica o l'intelligence dal dark e deep web.

Il Malware è un software progettato intenzionalmente per causare danni a un computer, server, client o rete di computer. Esiste un'ampia varietà di tipi di Malware, tra cui virus informatici, Worm, Trojan, Ransomware, Spyware, Adware, Software Rogue e Scareware. Anche i programmi sono considerati Malware se agiscono segretamente contro gli interessi dell'utente del computer.

Il phishing è il tentativo fraudolento di ottenere informazioni sensibili come nomi utente, password e dettagli della carta di credito travestendosi da soggetto affidabile tramite e-mail, SMS o Instant Messaging. Spesso le comunicazioni sono così verosimili che l’utente non distingue il soggetto fraudolento da quello ufficiale e trasmette con fiducia tutti i dati richiesti.

Vishing è una forma contratta che significa “Voice Phishing”. Il Vishing è una forma di frode telefonica che utilizza il Social Engineering attraverso il sistema telefonico per accedere a informazioni personali e finanziarie private a scopo di lucro.

“Pharming” deriva dall’unione dei termini "Phishing" e "Farming" ed è un tipo di frode informatica molto simile al Phishing, in cui il traffico di un sito web viene manipolato e vengono rubate informazioni riservate. Il pharming sfrutta le basi del funzionamento della navigazione in Internet: la sequenza di lettere che formano un indirizzo Internet, come www.google.com, viene convertita in un indirizzo IP da un server DNS affinché si possa stabilire una connessione.

Il Vulnerability Assestment è il processo di identificazione, quantificazione e prioritizzazione (o classificazione) delle vulnerabilità di un sistema, nel nostro caso informatico. Classificare rischi e vulnerabilità dei sistemi informativi aziendali vuol dire eseguire uno scanning molto approfondito che evidenzi l’esposizione dell’azienda ai rischi legati a un eventuale attacco informatico.

Il Cybersecurity Framework ideato dal NIST (National Institute of Standards and Technology) fornisce un quadro di linee guida sulla sicurezza informatica su come le organizzazioni del settore privato negli Stati Uniti possono valutare e migliorare la loro capacità di prevenire, rilevare e rispondere agli attacchi informatici. Tradotto in molte lingue e utilizzato anche dai governi giapponese e israeliano, l’ultima release del framework include una guida su come eseguire le autovalutazioni, indicazioni su come gestire il rischio nella supply chain, una manuale su come interagire con gli stakeholder, incoraggiando inoltre la divulgazione delle vulnerabilità più ricorrenti.

Quali sono le nuove sfide della Cybersecurity?

Quali sono le nuove sfide della Cybersecurity?

Internet of Things e oggetti ultra-connessi ci hanno migliorato di molto la vita, ma paradossalmente l’hanno facilitata anche agli Hacker, che ora hanno molte più superfici d’attacco a disposizione. Quali sono le contromosse?

Continua a leggere


Un amico ti chiede
sempre come stai

Ora sei cyber-sicuro?

“Affermare che un sistema è sicuro perché nessuno lo sta attaccando è molto pericoloso” - Bill Gates

Il primo passo verso l’implementazione di una strategia di Cybersecurity è un passo nel vuoto, con noi puoi confidarti. Siamo amici!


Incontriamoci