1 / 58

ACTALIS S.p.A. VIA T. TARAMELLI, 26 - 20124 MILANO actalis.it

XXII Convegno Nazionale per Amministratori ed Operatori dei Servizi Demografici Il ruolo degli ufficiali di anagrafe, di stato civile ed elettorale in una Pubblica Amministrazione che cambia. Info@actalis.it. Identificare, autorizzare, notarizzare, validare

kagami
Download Presentation

ACTALIS S.p.A. VIA T. TARAMELLI, 26 - 20124 MILANO actalis.it

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. XXII Convegno Nazionale per Amministratori ed Operatori dei Servizi Demografici Il ruolo degli ufficiali di anagrafe,di stato civile ed elettorale in una Pubblica Amministrazione che cambia Info@actalis.it Identificare, autorizzare, notarizzare, validare le vere difese per business e comunicazione in Rete Gianni Utili ACTALIS S.p.A. VIA T. TARAMELLI, 26 - 20124 MILANO www.actalis.it Phone +39 02 68825.1

  2. Agenda • La Società • Nuovi scenari nella sicurezza informatica • Infrastruttura di sicurezza PKI • La Carta a Microprocessore • L’offerta

  3. Certification Authority iscritta al pubblico elenco certificatori AIPA

  4. Un’iniziativa del mondo bancario e finanziario per la sicurezza informatica Le esperienze di sicurezza maturate a favore del sistema bancario e finanziario nelle aree dei sistemi di pagamento e dei servizi finanziari rappresentano il patrimonio di ACTALIS e una garanzia consolidata per Imprese, Istituzioni Pubbliche e Private, Enti Locali e Amministrazioni Centrali

  5. La Mission Progettare, realizzare e commercializzare sistemi, servizi e prodotti attinenti alla sicurezza informatica e alle tematiche della Firma Digitale (PKI - Public Key Infrastructure) a livello nazionale ed internazionale

  6. Il ruolo • Actalis è Certificatore iscritto all’Elenco Pubblico dei Certificatori dal 28 Marzo 2002, e subentra a SIA ed SSB nel medesimo ruolo • Le infrastrutture di PKI e i sistemi di certificazione di Actalis sono disponibili anche per lo sviluppo dei progetti per la Carta d’Identità Elettronica (C.I.E.) e per la Carta Nazionale dei Servizi (C.N.S.) • La partecipazione ai “Tavoli di indirizzo” (ABI, Banca d’Italia, CIPA, Assocertificatori, GTA, Identrus) consente ad ACTALIS di offrire un contributo di conoscenza in un contesto normativo e tecnologico complesso e in forte evoluzione

  7. Le competenze • Consolidate ed efficienti infrastrutture e tecnologie PKI • Capacità di definire ed implementare sistemi di gestione per la sicurezza (ISMS - Information Security Management Systems) • Gestione di adeguate metodologie di security assessment, risk analysis e risk management • Risorse preparate per competenze e per conoscenza delle esigenze del Cliente e dei suoi processi ICT

  8. Progetti PKI: IdentrusTM LLC - Le Banche per il B2B • Identrus definisce uno standard per l’emissione di Certificati “cross border” nell’ambito dell’e-commerce B2B. Di fatto si crea un Sistema di PKI a livello internazionale per il Business to Business • 7 fra le maggiori banche italiane aderiscono a Identrus, consorzio composto da 60 tra le maggiori banche mondiali, possono offrire alla clientela corporate nuovi servizi B2B con i più elevati livelli di sicurezza internazionali • Actalis implementa le soluzioni PKI Identrus e gestisce in outsourcing il servizio alle banche che assumono il ruolo di Certificatore Identrus

  9. Progetti PKI:GTA- Le Banche per il B2C Global Trust Authority • Definisce uno standard di matrice europea per l’emissione di Certificati “cross border” nell’ambito dell’e-commerce B2C. Di fatto si crea una PKI a livello internazionale per il Business to Consumer • Actalis rileva il ruolo di SIA che con l’ABI è tra i soci fondatori. Actalis sarà la prima Certification Authority operativa di GTA a livello mondiale

  10. Progetti PKI : EMV La CA EMV è lo standard di sicurezza delle carte internazionali di pagamento a microcircuito • I principali paesi esteri stanno migrando dalla banda magnetica al microcircuito • Gran Bretagna, Francia, Spagna, Portogallo, Danimarca, - già operativi • Germania, Svezia, Finlandia - progetti in sviluppo • In Italia il progetto di migrazione è in fase di attivazione proprio in questi giorni con la fase di sperimentazione su 4 città campione Actalis rileva da SIA il ruolo di certificatore per il circuito Bancomat e PagoBancomat

  11. Dati di partenza • Clienti nazionali oltre 150 • Oltre 90 banche clienti • Università • Sanità • Pubbliche Amministrazioni Centrali e Locali • Imprese • Clienti internazionali in • Francia • Polonia • Oltre 800.000 certificati di firma digitale venduti ad oggi che confermano la leadership acquisita sul mercato domestico

  12. Agenda • La Società • Nuovi scenari nella sicurezza informatica • Infrastruttura di sicurezza PKI • La Carta a Microprocessore • L’offerta

  13. Alcuni dati: rapporto OCI 2001 Secondo l’Osservatorio Criminalità ICT in Italia Dati 3° Rapporto OCI 2001 Campione di 200 aziende ed Enti Pubblici soci di FTI • 78% ha subito contaminazione da virus • 41% ha subito furto di apparati contenenti dati • 26% ha avuto saturazione di risorse • 10% ha avuto accessi non autorizzati alle informazioni • 12% ha subito uso non autorizzato degli elaboratori • 08% ha subito traffico illegale di materiale • 08% ha avuto Trojan horses • 08% ha subito accesso e modifiche non autorizzate ai dati • 04% ha subito frodi tramite computer Gli attacchi dall’esterno superano quelli dall’interno 73% contro il 27%

  14. Alcuni dati: rapporto CSI-FBI 2001 Il rapporto U.S.A. “Issues and Trends:2001 CSI / FBI Computer Crime and Security Survey” effettuato su 538 enti nel 2000 • 94% ha subito contaminazione da virus • 85% ha subito furti di lap-top, info, frodi, sabotaggi • 38% ha avuto “denial of services” (78% per i siti EC) • 98% ha riscontrato uso improprio o abuso degli accessi ad Internet (pornografia, pirateria, software etc.). • 40% ha rilevato penetrazione del sistema dall’esterno 186 intervistati hanno valutato perdite economiche complessive pari a 377 milioni di dollari (265 milioni nel 1999) Gli attacchi dall’esterno continuano a crescere rispetto a quelli interni: 70% contro il 30%

  15. 90% 80% 70% 34% 60% 36% 39% 33% 34% 50% 34% 33% 22% 40% 30% 52% 39% 20% 36% 34% 34% 32% 31% 31% 10% 0% Acc. Internet Intranet Svil. Org. Extranet VPN Collab. eComm- remoto Working OLB Causa molto importante Causa importante L’insicurezza percepita worldwide secondo Lo sviluppo verso Internet e più in generale l’online è la principale causa percepita di “insicurezza”

  16. Motivazioni attacchi OCI 2001 dati in % 36 40 35 30 22 25 17 20 12 15 7 10 4 5 0 Frode informatica Spionaggio Sabotaggio Furto informazioni Vandalismo Dimostrativa Il perché delle Frodi Secondo l’Osservatorio Criminalità ICT in Italia Dati 3° Rapporto OCI 2001

  17. Attacchi temuti Uso non Accesso non autorizzato autorizzato Altre frodi 8% 14% 9% Furto Apparati Furto dati 7% 8% Modalità non autorizzate Saturazione risorse 11% 10% Troyan horses Virus 9% 24% Le paure delle aziende italiane Secondo l’Osservatorio Criminalità ICT in Italia Dati 3° Rapporto OCI 2001

  18. 48% 34% 18% 50% 39% 11% Il mercato mondiale della sicurezza secondo Crescita del mercato della Sicurezza IT per segmento (in miliardi di dollari USA) da 12,5 miliardi nel 2000 a circa 41,5 miliardi nel 2005

  19. 700 600 500 400 300 200 100 0 2000 2001 2002 2003 2004 2005 Totale Software Totale Hardware Totale servizi di sicurezza Il mercato italiano secondo In Italia la domanda cresce da $260.000 nel 2000 a ca. $1.500.000 nel 2005

  20. Agenda • La Società • Nuovi scenari nella sicurezza informatica • Infrastruttura di sicurezza PKI • La Carta a Microprocessore • L’offerta

  21. PKI Public Key Infrastructure Infrastruttura di sicurezzaPublic Key Infrastructure(PKI) Una tecnologia a sostegno delle nuove opportunità offerte dall’ e-business

  22. La sicurezza: l’esigenza Identificazione degli interlocutori Sicurezza delle transazioni

  23. La sicurezza: le garanzie • Autenticazione: il destinatariodella transazione è certo dell’identità del mittente • Integrità: il destinatario può verificare con certezza che il contenuto della transazione non sia stato alterato • Non Ripudio: il mittente non può negare di avere eseguito la transazione • Privacy: l’informazione è cifrata e solo chi possiede la chiavedi decodifica può leggerla

  24. Le tecniche di sicurezza basate su chiavi di crittografia Autenticazione Privacy Integrità NonRipudio UserID/pwd Crittografia simmetrica (DES) Crittografia asimmetrica (RSA) La complessità e la sicurezza crescono proporzionalmente alla quantità di servizi richiesti

  25. Politiche di gestione Applicazioni sicure Firewall/VPN Proxy server Politiche di amministrazione Certification Authority Accesso remoto Firma digitale Smart card, Rilevamento delle intrusioni Ci sono molti aspetti da considerare…per costruire una soluzione e-business sicura

  26. I benefici della PKI • Crea un ambiente sicuro per clienti, fornitori e partner fornendo gli elementi di sicurezza per il commercio, la comunicazione e l’accesso alle informazioni • Minimizza i rischi connessi con lo svolgere attività commerciali su una rete pubblica IP (Internet) • Gli utenti e gli sviluppatori di applicazioni e-commerce e e-business possono concentrarsi sulle proprie attività, senza doversi direttamente preoccupare di tecnologie complesse come la crittografia, la gestione di chiavi e certificati… • Minori costi di sviluppo e gestione delle applicazioni: PKI fornisce un’infrastruttura di sicurezza comune

  27. La Certification Authority: la base di una PKI • In generale, la CA è l’entità che garantisce l’intero ciclo di vita dei certificati digitali • emissione • sospensione • revoca

  28. Certification Authority (CA): la terza parte fidata (third- trust- party) • Ruolo riconosciuto • Rispetto dei criteri di sicurezza dichiarati • Risorse adeguate • umane • finanziarie • tecnologiche • Know-how • Trasparenza e garanzia dei livelli di servizio Quali caratteristiche deve possederela CA?

  29. Certification Authority (CA): la terza parte fidata (third- trust - party ) • Esempi di CA tradizionali • Prefettura (passaporti) • Ministero dei trasporti/ufficio motorizzazione civile (patente di guida) • Uffici Anagrafici (carta d’identità) Certification Authority (CA) Trust Third-partytrust Trust

  30. Cos’è un certificato? Certificato tradizionale Certificato digitale • identità dell’ente emittente • identità dell’utente • validità • verifica l’identità tramite la chiave di cifratura appropriata • identità dell’ente emittente • identità dell’utente • validità • verifica l’identità tramite fotografia e firma

  31. Dove sono contenuti i certificati?

  32. Le esigenze applicative La firma digitale è riconducibile in modo certo ad un soggetto ben preciso E’ necessario che quel soggetto sia autorizzatoa firmare! Autenticazione Autorizzazione • Mario Rossi, AD dell’aziendaPinko, può firmare una richiesta d’ordine di valore superiore a X milioni Il signor Mario Rossi può firmare il contratto di acquisto della sua nuova casa

  33. Il processo di autenticazionesi basa sull’identità del soggetto • L'uso regolare di un certificato (inalterabile e permanente) permette la verifica degli “attribute” del firmatario in un qualunque momento posteriore alla firma. Ilprocesso di autorizzazione si basa invece sui poteri(attribute) del soggetto: ruolo, mansioni, rango, privilegi e abilitazioni

  34. AA: Attribute Authority • Assegna i poteri (attribute) a chi spettano, procedendo d’ufficio; non è necessariamente un ente “trusted” • per i dipendenti di un’azienda, la AA non può essere che l’azienda stessa • per i clienti di un servizio, la AA non può essere che l’erogatore del servizio • per gli appartenenti ad un ordine professionale, la AA non può essere che l’ordine professionale stesso

  35. Un nuovo certificato per gestire i poteri • Si potrebbe usare il certificato di firma (sfruttando ad esempio le estensioni) ma in pratica non conviene farlo: • i poteri di un soggetto sono temporanei mentre la sua identità è permanente • nel caso più generale, i poteri non è opportuno che siano amministrati dallo stesso ente (la CA) che rilascia i certificati delle chiavi pubbliche

  36. …nel microchip • Potranno risiedere anche i certificati di attributo per la gestione dei poteri

  37. Sinergia con il servizio di Digital Time Stamping • Naturalmente, per la verifica dei poteri è importante un riferimento temporale affidabile • Quindi (anzi, a maggiore ragione) è necessario un servizio di marcatura temporale • Una firma digitale completa, quindi,dovrebbe sempre includere: Pubblic Key Certificate (PKC) + Attribute Certificate (AC) + Time Stamp (TS)

  38. Infrastruttura di validazione VA Validation Authority Ruoli principali delle Authority • Infrastruttura di emissione • RA Registration Authority • CA Certification Authority • Infrastruttura di supporto • AA Attribute Authority • TSA Time Stamping Authority

  39. Agenda • La Società • Nuovi scenari nella sicurezza informatica • Infrastruttura di sicurezza PKI • La Carta a Microprocessore • L’offerta

  40. Cos’è una carta a microprocessore? • Viene chiamata anche Smart Card (carta intelligente) e ci si riferisce generalmente ad una carta di plastica, delle dimensioni di una normale carta di credito, che contiene un microprocessore ed una memoria integrati; poiché priva di batteria, tastiera e display per funzionare deve essere inserita in un dispositivo di lettura. Un uso tipico è quello di chiave elettronica, in cui il possesso della carta e la conoscenza di un codice permettono l’accesso a determinate risorse.

  41. Cos’è una smart card? • Una Smart Card conserva ed elabora informazioni mediante un circuito elettronico, un chip, integrato al suo interno che le permette molteplici funzioni. • Così avere una smart card è come avere un PC nel portafoglio.

  42. Le caratteristiche principali di una carta intelligente Le caratteristiche principali di una carta intelligente sono: PROGRAMMABILITÀ: la presenza di un microprocessore, generalmente a 8-bit, permette alla carta di assumere un ruolo attivo nel processo d’interazione con il mondo esterno SICUREZZA: possibilità di immagazzinare informazioni riservate accessibili solo alla carta stessa e modificabili dall’esterno solo con chiavi numeriche, ad esempio PIN (numero d’identificazione personale) MOBILITÀ: la carta è facilmente trasportabile date le sue ridotte dimensioni Esistono diversi tipi di Carte con forma identica ma con differenti caratteristiche funzionali

  43. I motivi della crescita continua dell’utilizzo delle Smart Card: • Hanno dimostrato di essere più affidabili delle carte magnetiche; • Possono conservare fino a 100 (e più) volte le informazioni di una carta magnetica; • Riducono drasticamente la manomissione e la contraffazione attraverso robusti meccanismi di sicurezza; • Possono eseguire molteplici funzioni in svariati range di applicazioni.

  44. I maggiori benefici offerti dalle Smart Card • La possibilità di molteplici applicazioni diverse con un'unica carta sicura: • credito, debito, contante elettronico, fornitura di biglietti, identificazione sicura, patente di guida, registrazioni sanitarie • Un più efficace controllo delle spese: • la riduzione delle frodi, meno "carta" e l'eliminazione della necessità di compilare moduli con perdite di tempo • Una ampia gamma di canali per effettuare i pagamenti: • il telefono, il cellulare, la TV interattiva e internet

  45. In cosa si differenzia la smart card dalle carte a banda magnetica? Le attuali card a banda magnetica possono registrare poche informazioni. Una smart card registra fino a 80 volte più informazioni di una carta a banda magnetica. Può perfino "prendere decisioni" grazie a una autonoma capacità elaborativa.

  46. Campi d’impiego della Smart Card: • Telefonia • Firma Digitale • E-banking • E-commerce • TV digitale • Sanità • Pubblica Amministrazione

  47. Area Pagamenti Carte di Credito e di Debito Area Sicurezza Firma Digitale Area P.A. C.I.E. C.N.S. Area Telefonia Scenari applicativi delle smart cards

  48. Agenda • La Società • Nuovi scenari nella sicurezza informatica • Infrastruttura di sicurezza PKI • La Carta a Microprocessore • L’offerta

  49. Banche Compagnie Assicurative Imprese commerciali e industriali IstituzioniPubbliche e Private Amministrazioni Centrali eLocali Il mercato di riferimento

More Related