Sicurezza e firma digitale La sicurezza informatica come creazione di valore: non più solo fattore di costo ma driver per la qualità e lo sviluppo Direzione Centrale Tecnologia e Processi Area Sistemi Patrizia Gabrieli

Indice Presentazione La sicurezza nell’azienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

Presentazione Banca Marche sviluppa la propria attività prevalentemente nelle Marche, territorio di tradizionale insediamento, ma allarga il proprio raggio di azione anche all'Italia centrale (Emilia Romagna, Abruzzo, Molise, Umbria, Lazio) dove intende fortemente ampliare la propria azione. La storia - Banca Marche nasce nel 1995 dalla fusione di tre casse di risparmio, Jesi, Pesaro e Macerata che si uniscono per creare una grande banca del territorio. Struttura Societaria Banca Marche Carilo – Cassa di Risparmio di Loreto S.p.A. Focus Gestioni S.G.R. S.p.A. Medioleasing S.p.A. Banca delle Marche Gestione Internazionale Lux S.A. Organico Oggi Banca Marche conta 300 sportelli e oltre 3.000 dipendenti che lavorano al servizio di circa 350.000 clienti. Direzione Centrale Tecnologia e Processi

Indice Presentazione La sicurezza nell’azienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

La sicurezza nell'azienda BANCA Fiducia L’attività bancaria si basa su un elemento fondamentale, rappre-sentato dalla fiducia della clientela. La fiducia si concretizza in una positiva aspettativa del cliente fondata su un corretto operare della banca in grado di assicurare una gestione sicura dei beni e del patrimonio: è opportuno ricordare che nella società dell'informazione i beni da proteggere sono sempre più immateriali. Sicurezza La sicurezza informatica e la difesa dai crimini informatici sono attività primarie ed irrinunciabili per le banche che aiutano ad instaurare con i clienti un rapporto corretto e fiduciario. La sicurezza rappresenta un fattore emotivo/psicologico che influisce sulla fiducia e sul rapporto con il cliente e pertanto occorre cambiare l’approccio al problema. Direzione Centrale Tecnologia e Processi

La sicurezza nell'azienda BANCA OBIETTIVO: cambiare la prospettiva nella gestione della sicurezza: Da un servizio di difesa delle infrastrutture A un servizio di supporto al cliente e alle strategie del business Direzione Centrale Tecnologia e Processi

La sicurezza nell'azienda BANCA Fiducia Sono elementi fondamentali per lo sviluppo del mercato Offrire fiducia, attraverso servizi di sicurezza informatica a 360° che garantiscano affidabilità nel mondo virtuale della Rete, permettendo così ai clienti e agli utenti di comunicare e collaborare, scambiando dati, documenti ed informazioni online in piena sicurezza ed in linea con le normative attualmente vigenti. Direzione Centrale Tecnologia e Processi

La sicurezza nell'azienda BANCA Direzione Centrale Tecnologia e Processi

La sicurezza nell'azienda BANCA Dall’ultimo rapporto dell’Antiphishing Work Group (APWG) (dic 2007) Direzione Centrale Tecnologia e Processi

Indice Presentazione La sicurezza nell’azienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

La sicurezza informatica L’interesse per la sicurezza nei sistemi informatici è cresciuto negli ultimi anni in funzione della loro diffusione, del ruolo sempre più importante che essi hanno assunto nei contesti in cui operano, della loro crescente complessità, interconnessione e conseguente esposizione a possibili attacchi I dati e le informazioni elaborate e trattate dai sistemi informativi rappresentano un patrimonio di immenso valore: talvolta la perdita, il danneggiamento, il furto o l’alte-razione di dati possono provocare danni incalcolabili fino a determinare l’impossi-bilità di proseguire l’attività aziendale Le società che svolgono attività su Internet sono quelle più esposte a tale rischio. Business digitale Direzione Centrale Tecnologia e Processi

La sicurezza informatica È Vero che ormai TUTTI utilizzano la Rete e l’Informatica… …ma è vero anche che il cambiamento non è stato ancora assorbito. La differenza sta tra tra chi ha “assorbito culturalmente” il cambiamento tecnologico e chi ancora utilizza l’ICT senza conoscerne i rischi e senza inserirlo in una corretta strategia. Direzione Centrale Tecnologia e Processi

La sicurezza informatica Aiutare i clienti a comportamenti positivi adottando adeguate soluzioni tecnologiche che favoriscono un rapporto corretto e fiduciario. Come scegliere una password sicura             La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password………. Direzione Centrale Tecnologia e Processi

La sicurezza informatica La sicurezza informatica consiste nell’assicurarne adeguati livelli di: riservatezza: solo gli utenti autorizzati possono accedere alle informazioni necessarie INTEGRITA’:protezione contro alterazioni o danneggiamenti; tutela dell’accuratezza e completezza dei dati Disponibilita’: le informazioni sono rese disponibili su richiesta e nell’ambito di un contesto pertinente. Direzione Centrale Tecnologia e Processi

I rischi e i possibili attacchi ACCESSO NON AUTORIZZATO: o utilizzo di servizi non autorizzati. GUASTI: hardware e/o guasti di impianti, Disastri naturali. INSERIMENTO DI DATI NON CORRETTI VULNERABILITA’ delle applicazioni VIRUS, PROGRAMMI SPIA: es WEB TROJAN che una volta installati su un PC senza nemmeno che l’utente se ne accorga, registrano e trasmettono le operazioni eseguite o addirittura modificano la configurazione del suo PC PHISHING: “prendere all’amo” o "spillaggio di dati sensibili” è una tecnica che ha la finalità di ottenere i dati personali di un soggetto o informazioni riservate quali credenziali SPAMMING: Invio di grandi quantità di messaggi indesiderati quali pubblicità indesiderata SPOOFING: Sono diversi tipi di attacchi spoofing (WEB, SMS, e-MAIL, ecc..). Si tratta di far credere alla vittima che si è qualcosa di diverso acquisendo una reputazione maggiore PHARMING: Si tratta di una tecnica fraudolenta con cui il “navigante” viene condotto su un sito clone di quello che intendeva raggiungere FURTO D’IDENTITA’: furto delle credenziali di accesso PROFILAZIONE O TRACCIAMENTO: Si tratta dell’attività volta a monitorare i dati personali di un soggetto con la finalità di acquisire le sue abitudini di vita, il lavoro svolto,ecc. Direzione Centrale Tecnologia e Processi

Il PHISHING Il PISHING è una tecnica che ha come obiettivo quello di convincere (Phishing significa prendere all’amo) le vittime a fornire modo inconsapevole le proprie credenziali di accesso a sistemi di E-commerce o di E-banking. Esistono diverse modalità di phishing, quella più comune è basata sull’utilizzo della e-mail. Banche ed istituzioni non fanno mai richiesta dei dati personali a mezzo di una e-mail. Direzione Centrale Tecnologia e Processi

Altri attacchi KEYSTORE LOGGING PHARMING L’utente apre e-mail apparentemente legittima, che con messaggi accattivanti invita ad aprire un file allegato o a visitare un sito web. Un programma nascosto nel sito, installa sul PC dell’utente un lettore di key-stroke in grado di catturare i caratteri che l’utente digita sulla tastiera ed in particolare il nome e la password inseriti al login. Visitando un sito web con un controllo ActiveX, involontariamente si installa un programma redirector che altera il file HOST del PC o il contenuto della cache DNS o l’indirizzo del DNS. Quando l’utente si collega ad esempio al sito della sua banca on-line, la sessione viene reindirizzata, senza che l’utente se ne accorga o sospetti nulla, al sito web di un hacker. Direzione Centrale Tecnologia e Processi

Indice Presentazione La sicurezza nell’azienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

La catena della sicurezza Cosa c’è dietro una ambiente di e-banking sicuro? Direzione Centrale Tecnologia e Processi

E-banking La famiglia dei prodotti di internet banking Banca Marche comprende i seguenti servizi: Inbank Imprese Inbank Famiglie Inbank i mercati a portata di Mouse Inbank Enti Pubblici Direzione Centrale Tecnologia e Processi

La catena della sicurezza 1 2 Accesso sicuro Comunicazione sicura Identità sicura – Riservatezza – Integrità – Non Ripudio Firma digitale 3 5 Sistemi protetti dalle intrusioni DATI, SW, HW affidabili 4 Direzione Centrale Tecnologia e Processi

Accesso sicuro ACCESSO SICURO 1 ACCESSO SICURO 2. FIRMA DIGITALE (per aziende) 1. OTP (per privati) Affidarsi ad un solo fattore di autenticazione (una password) può mettere seriamente a rischio la sicurezza: una password digitata sul PC può essere facilmente copiata o sottratta tramite uno degli innumerevoli software di cui gli hacker fanno uso. Direzione Centrale Tecnologia e Processi

Accesso Sicuro - OTP L’OTP (One Time Password) è uno strumento estremamente sicuro e di semplice utilizzo, delle dimensioni di un portachiavi, che alla pressione di un pulsante visualizza un numero di 6 cifre da utilizzare come password di conferma delle disposizioni. La sequenza di cifre deriva da una serie di grandezze segrete, ed è in funzione di un orario fornito da un “real time clock” interno al dispositivo. Ogni 36 secondi viene generata una nuova password completamente diversa e non connessa alla precedente, utilizzabile una sola volta. Dopo aver predisposto una disposizione di pagamento online, ed aver scelto di firmare, basta leggere il numero sul display dell’OTP ed inserirlo come richiesto nella procedura dell’internet banking. Direzione Centrale Tecnologia e Processi

Accesso Sicuro – Firma Digitale Il programma conserva tutte le informazioni personali dentro se stesso in modo protetto. Una volta che la penna USB viene collegata a un qualunque Pc, permette di usare quel computer, anche se poco sicuro, per fare tutto, dall'e-banking alla navigazione in rete all'uso della posta elettronica e di documenti. Ma, una volta che uno esce da Ceedo e scollega la sua penna è come se chiudesse la porta dietro di sè senza lasciare alcuna traccia del suo passaggio. I propri dati rimangono solo sul supporto esterno su cui Ceedo è installato. Il nuovo sistema di autenticazione e firma digitale, che è il sistema oggi più sicuro per gestire servizi online, è composto da un dispositivo hardware USB e da un programma (Ceedo). Il possesso del dispositivo hw con memoria flash e del PIN sono i due elementi alla base del meccanismo di “autenticazione forte a due fattori” Direzione Centrale Tecnologia e Processi

Accesso Sicuro – Firma Digitale Offrire fiducia attraverso i servizi di sicurezza Con l’introduzione della firma digitale e l’attivazione del nuovo processo di consegna dei kit, sono previsti i seguenti vantaggi per la clientela: rapidità nell’attivazione del servizio (già il giorno successivo alla sottoscrizione dello stesso in filiale); massima sicurezza (la firma digitale rappresenta il massimo in termini di sicurezza oggi presente sul mercato); massima versatilità (il token di firma può essere utilizzato su qualunque computer e non necessita di una postazione definita); possibilità di utilizzare il token di firma anche al di fuori del servizio e-banking, per firmare digitalmente i propri documenti; possibilità di utilizzare il token di firma come un normale dispositivo USB, per salvare file o quant’altro. Infatti il dispositivo contiene un’area di memoria di circa 100 MB a disposizione del cliente. Direzione Centrale Tecnologia e Processi

Comunicazione Sicura COMUNICAZIONE SICURA 2 COMUNICAZIONE SICURA Cifratura della comunicazione via PKI-SSL (Public Key Infrastructure - Secure Sockets Layer) Secure Sockets Layer (SSL) è un protocollo con cui si realizzano connessioni cifrate, e quindi, protette, su Internet. HTTPS sintatticamente identico allo schema http:// ma con la differenza che tra il protocollo TCP e HTTP si interpone un livello di crittografia/autenticazione. In pratica viene creato un canale di comunicazione criptato tra il client e il server. Questo canale garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione. Direzione Centrale Tecnologia e Processi

Comunicazione Sicura In Internet Explorer verrà visualizzata l'icona di un lucchetto sulla barra dello stato di protezione. La barra dello stato di protezione è situata a destra della barra degli indirizzi. Il certificato utilizzato per crittografare la connessione contiene anche informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare clic sul lucchetto per visualizzare l'identità del sito Web. Direzione Centrale Tecnologia e Processi

La crittografia La crittografia è la scienza che si occupa di sviluppare metodi finalizzati a nascondere il contenuto di un messaggio tramite l’uso di un algoritmo e di una chiave. La crittografia moderna si divide in due branche fondamentali: La crittografia a chiave simmetrica (una sola chiave) La crittografia a chiave asimmetrica (due chiavi) Direzione Centrale Tecnologia e Processi

Crittografia Simmetrica y=f(x) Algoritmo basato su: A B C D E F G H I L M N O P Q R S T U V Z - Alfabeto in chiaro A B C D E F G H I L M N O P Q R S T U V Z - Alfabeto cifrante Chiave costituita dall’offset tra i due alfabeti (ad es. 3) Messaggio in chiaro: “salve mondo” Messaggio crittato:”vdoyh prqgr” Sicurezza (autenticazione debole dell’interlocutore): “paternità” e “non ripudio” non sono possibili Lo scambio della chiave condivisa deve avvenire attraverso un canale sicuro Per n coppie di interlocutori sono necessarie n(n-1)/2 chiavi simmetriche distinte Direzione Centrale Tecnologia e Processi

Crittografia a chiave simmetrica Direzione Centrale Tecnologia e Processi

Crittografia a chiave asimmetrica Viene anche chiamata crittografia a chiave pubblica; ogni soggetto ha due chiavi: Chiave pubblica: da distribuire a tutti i soggetti con i quali si vuole comunicare Chiave privata: da tenere segreta Ciò che viene cifrato con la chiave pubblica può essere decifrato solo con la chiave privata corrispondente (operazione che può essere fatta solo dal proprietario della chiave). Gli algoritmi di questo tipo sono detti a chiave asimmetrica e il più noto di tutti è l’algoritmo RSA. È nel 1978 che questo sistema trova la sua applicazione reale. Infatti sono 3 ricercatori del MIT (Ronald Rivest, Adi Shamir e Leonard Adleman) che hanno saputo implementare tale logica utilizzando particolari proprietà formali dei numeri primi con alcune centinaia di cifre. L'algoritmo da loro inventato viene denominato RSA per via delle iniziali dei loro cognomi. Direzione Centrale Tecnologia e Processi

Crittografia a chiave asimmetrica Direzione Centrale Tecnologia e Processi

Combinazione di chiavi Il protocollo SSL utilizza una combinazione tra crittografia a chiave segreta e crittografia a chiave asimmetrica: Viene generata una chiave simmetrica utilizzabile una sola volta (chiave di sessione) Il messaggio viene cifrato con la chiave di sessione La chiave di sessione viene cifrata con la chiave pubblica del destinatario Direzione Centrale Tecnologia e Processi

Combinazione di chiavi SERVER BANCA CLIENT Il processo HANDSHAKE SSL Direzione Centrale Tecnologia e Processi

Secure Socket Layer (SSL) Gli utenti dovrebbero accorgersi delle manomissioni della chiave pubblica rilasciata con un certificato digitale, ricevendo un avvertimento da un pop-up circa un problema con il certificato. Quest'ultimo è molto simile a un certificato reale, però non è firmato da una Certification Authority di comprovata fiducia. Direzione Centrale Tecnologia e Processi

Secure Socket Layer (SSL) CLIENT SERVER BANCA Man in the middle Direzione Centrale Tecnologia e Processi

Secure Socket Layer (SSL) Nella crittografia asimmetrica, sussiste il problema di come ottenere la chiave pubblica di un altro utente, in modo fidato. Per risolvere questo problema, si ricorre all'esistenza di una terza parte, una sorta di garante, detta  Certification Authority (CA). La CA associa quindi alla chiave pubblica dei singoli individui, l'identità del legittimo proprietario, mediante l'emissione di un Certificato Digitale, che viene firmato utilizzando la propria chiave privata. Chi riceve il certificato firmato può verificare l'autenticità dello stesso (attraverso la chiave pubblica della CA). Direzione Centrale Tecnologia e Processi

La catena della sicurezza Reverse Proxy Il PROXY è un’infrastruttura che si interpone tra il client e il server. Il client non parla direttamente con il server ma passa attraverso il proxy. Firewall Tutto il traffico della rete è soggetto alle regole (policy) definite nel Firewall. La Banca è dotata di una struttura di firewall a due livelli (interno ed esterno) per proteggersi da Internet e da Intranet. Sonde di Intrusion Detection (IDS) Nei punti nevralgici della rete sono state installate delle sonde IDS in grado di rilevare attività sospette sulla rete. Agiscono come “poliziotti di quartiere” analizzando gli eventi sulla rete comunicando alla “Centrale” (Security Operation Center) le attività riconducibili ad azioni criminose. 3 SISTEMI PROTETTI DALLE INTRUSIONI Proxy, Firewall, IDS, Antivirus, Antispamming, Antipishing Un IDS può essere para-gonato ad un antifurto ed un firewall ad una porta blindata Direzione Centrale Tecnologia e Processi

Sistemi protetti dalle intrusioni Direzione Centrale Tecnologia e Processi

La catena della sicurezza 4 SERVER FARM SICURA (DATI, SW, HW) VIRTUALIZZAZIONE, DISASTER RECOVERY, BUSINESS CONTINUITY Attraverso la virtualizzazione dei server è possibile garantire massima affidabilità dei sistemi e tempi rapidi di ripartenza in caso di guasto. La virtualizzazione dei server favorisce la standardizzazione e semplifica la gestione delle risorse. Direzione Centrale Tecnologia e Processi

La catena della sicurezza 4 IDENTITA’ SICURA FIRMA DIGITALE 1 Autenticazione: identificazione univoca dell'autore di una transazione 2 Riservatezza: garanzia che le informazioni non siano accessibili da parte di entità non autorizzate 3 Integrità: garanzia che le informazioni non siano alterabili da parte di entità non autorizzate 4 Non ripudio: prevenzione del rischio che una delle controparti neghi di aver spedito e ricevuto le informazioni scambiate Direzione Centrale Tecnologia e Processi