Splunk>
Provvedimento del Garante Privacy
per il tracciamento
delle operazioni bancarie
Giovanni Molin Brosa – CS InIT
Emanuele Pasqualucci - Splunk
1
Listen to your data.
Agenda
Il provvedimento: i punti salienti per l’IT
Splunk: overview
Cosa deve fare l’IT delle banche per soddisfare i requisiti del
provvedimento
Perché Splunk è lo strumento ideale
2
Listen to your data.
Il provvedimento: i punti salienti
per l’IT
Listen to your data.
3
Prescrizioni in materia di circolazione delle informazioni
in ambito bancario e di tracciamento delle operazioni
bancarie
 Il Provvedimento è stato pubblicato sulla GU del 3/6/2011 e deve
avere attuazione entro fine 2013.
 Il provvedimento si applica:
o alle banche, incluse quelle facenti parte di gruppi
o alle società, anche diverse dalle banche purché siano parte di
tali gruppi, nell'ambito dei trattamenti dalle stesse effettuati sui
dati personali della clientela
o a Poste Italiane S.p.A. (limitatamente alle funzioni di banca)
4
Listen to your data.
Obiettivi e misure prescritte
 Obiettivo del provvedimento è fornire prescrizioni in relazione al
trattamento dei dati personali della clientela e alla "tracciabilità" delle
operazioni bancarie effettuate dagli incaricati degli istituti di credito
(sia quelle dispositive, sia quelle di sola consultazione)
 Le misure prescritte riguardano:
o Il "tracciamento" degli accessi ai dati bancari dei clienti
o I tempi di conservazione dei relativi file di log
o L’implementazione di alert volti a rilevare intrusioni o accessi
anomali ai dati bancari, tali da configurare eventuali trattamenti
illeciti
5
Listen to your data.
Tracciamento delle operazioni
Ogni operazione di accesso ai dati bancari effettuata da un incaricato della banca
deve essere tracciata e contenere almeno le seguenti informazioni:
 la data e l'ora di esecuzione dell’operazione
 il codice identificativo dell’incaricato
 il codice della postazione di lavoro utilizzata
 il codice del cliente interessato dall'operazione
 la tipologia di rapporto contrattuale del cliente a cui si riferisce l'operazione (es.
numero del conto corrente, fido/mutuo, deposito titoli)
Sono escluse le operazioni effettuate:
 dal diretto interessato (internet banking)
 da incaricati della banca in forma aggregata (con l’impossibilità di risalire a dati
personali)
6
Listen to your data.
Conservazione dei log di tracciamento delle operazioni
E’ prescritto un periodo di conservazione minimo di 24 mesi per i log delle
operazioni di consultazione
I log delle operazioni dispositive sono già conservati dalle banche per un
periodo di 10 anni
7
Listen to your data.
Alert e audit
 Implementazione di alert
o devono essere predisposti specifici alert per individuare comportamenti
potenzialmente illeciti da parte degli incaricati
o nello strumento utilizzato per il controllo devono confluire i log relativi a tutti gli
applicativi utilizzati per gli accessi da parte degli incaricati
 Audit
o deve essere effettuato da un organo interno, diverso da quello incaricato del
trattamento dati
o deve verificare che il tracciamento delle operazioni, la registrazione degli accessi e la
conservazione dei log siano eseguiti correttamente
o deve effettuare controlli a campione o attivarsi su alert per verificare il
comportamento degli incaricati
o deve segnalare al Garante e agli interessati eventuali situazioni sospette
8
Listen to your data.
Splunk: overview
Listen to your data.
9
Chi è Splunk
10
•
Sede: San Francisco, CA
•
Sedi Regionali ad Hong Kong e Londra
•
Fondata nel 2004, rilascio del primo software nel 2006
•
Circa 400 dipendenti, in 10 Paesi
•
Fatturato: $82M nel 1H2012
•
Crescita Anno su Anno +72%
•
Quotata al Nasdaq da 04/2012
•
4000+ Clienti
•
Clienti in 80 Paesi
•
Oltre 400 nuovi clienti in Q2 FY2013.
Listen to your data.
Oltre 4.000 clienti in 80 Paesi
11
Listen to your data.
… più di 80 in Italia
Banche e Assicurazioni: Aletti Gestielle, Banca d’Italia, Banca Mediolanum, Banca Popolare
Sondrio, Banca Svizzera Italiana, Deutsche Bank, Finpiemonte, Generali Business Solutions, Intesa
Sanpaolo, Istituto Centrale Banche Popolari Italiane (CartaSi), Monte dei Paschi di Siena, Reale Mutua
Assicurazioni, SGSS, SinSys, UBISS, Unicredit (UGIS)
PAC/PAL: AO Crema, ARPA Piemonte, ASL Imola, CIC Ivrea, Comune Cento, CSI Piemonte, Fondazione
Poliambulanza, Gruppo Torinese Trasporti, ISTAT, Ministero Ambiente, Ministero Beni Culturali,
Ospedale Maggiore Bologna, Postecom, Publiacqua, Roma Metropolitane, SAT, ULSS5 Vicenza, UNIRE,
Università Bologna
Industria: AVIO Group, Eltek Group, Giesse Group, Lamberti, Northrop Grumman, Panini, Pilkington
(NSG Group), Radici Group, SAIPEM, Sanofi-Aventis, Siderurgica Gabrielli, Tecnimont
Software e Servizi: Almaviva, AscoTLC, Athesia, A-Tono, B-Source, Cadit, Compass, Coopservice,
Corofar, Costa Crociere, CSE, Equens, Eisys, Fastweb, IFINET, Inarcassa, IRST, LIUC, MC-link, Meta
System, Microgame, Octo Telematics, SEAT-PG, Selex-Elsag, SGM Distribuzione, SimphonyIRI, Siweb,
Società Dolce, SKY, Wave Group
12
Listen to your data.
Splunk = Engine for Machine Data
Splunk it
Collect and Index
Unstructured >
Connectors
Structured > Semi-Structured >
Windows
Linux\Unix
Messages
Logfiles
Script
Virtualization
& Cloud
Registry
Applicazioni
Limit
Non esiste uno standard per I log
Operational Visibility
Service
Log di applicazioni custom sono variabili e non prevedibili
↑ KPIs, SLAs, QoS
Differentiate
Se conservati,
lo sono secondo l’approccio silos
Universal
Data
Schema on the nuovi dati Proactive Monitoring
Nuove
tecnologie
aggiungono
Engine
Proactive
Fly
(SmartPhones, sensori, GPS, virtualizazione, cloud)
Database
Value
Business Insights
>
Solution Areas
Real Time
I volumi dati macchina, i tipi di fonti e di dati stanno esplodendo
Business Vision
↑ Value
80-95% dei dati di un organizzazione non sono strutturati
DB
Document/File
↑ Uptime
Scales from
Metrics
Networking
Configuration
Dati Cliente
Powerful
I trendSearch/
di Mercato
rendono
Desktop toquesti dati interessanti per il business
Rep
Enterprise
Language
Ognuno
contiene una categorizzazione di Search
attività +e Investigate
comportamento Reactive
Fast Time to
Value
Agile Reporting,
Analytics
Visualization
Passionate and
Vibrant
Community
Open,
Extensible
Platform
Traps
Dati esterni al
DataCenter
Common Uses and Maturity
Tickets
↓ 90% MTTR or MTTI
↓ 70% Escalations
Listen to your data.
Importa i dati macchina in Splunk e
La maggior parte dei dati consiste in dati
fai qualunque domanda
macchina.
Contengono una miniera d’oro di informazioni!
IP address
Timestamp
66.35.250.203-09/Sep/2011:14:58:35] "GET /cart.do?
action=changequantity&itemId=EST-19&product_id=
FL-DLH-02
Splunk Index
Product ID
IP address
Timestamp
Session
66.35.255.255-09/Sep/2011:14:58:35]SESSIONID=
SD3SL3ADFF5 HTTP 1.1" 400 1645 "http://
www.myflowershop.com?category_id=SURPRISE" "Mozilla
Macintosh/OSX-10)
Device
Website
Real-time
Data Collection
and Indexing
No RDB
Category
14
Listen to your data.
Qual è il costo mensile di una
errata analisi dei
dati di un paziente?
Qual è il costo del periodo di
downtime/mese dovuto alla
gestione degli host infetti
Chi ha preso in prestito (o
rubato) le credenziali di
accesso alla rete
Perchè il sito web della mia
azienda spesso non è
raggiungibile
Quante transazioni
commerciali sono state fatte
da questo cliente
Quali sono i clienti più
redditizi; quale livello di
servizio riusciamo a
garantire
Real-time data discovery, reportistica ad hoc ed una rapida analisi abilitano
IT e professionisti a risolvere una vasta gamma di quesiti e problemi critici per il business
15
Listen to your data.
Colleziona, indicizza, organizza e correla i dati macchina in
modo che, grazie al potentissimo linguaggio di search /
report, sia possibile:
identificare i problemi, i modelli, i rischi e le opportunità per
offrire le migliori decisioni
all’IT e al business.
Questa è la nuova frontiera dell’IT chiamata
«OPERATIONAL INTELLIGENCE»
16
Listen to your data.
Scalabilità Lineare fino a decine di TB al giorno
Offload search load to Splunk Search Heads
Auto load-balanced forwarding to as many Splunk Indexers as you need to index terabytes/day
Send data from 1000s of servers using combination of Splunk Forwarders, syslog, WMI, message queues, or other remote protocols
17
Listen to your data.
Splunking Big Data
Customer
Data Volume
Leading Social
Gaming Company
12 TB
(per day)
6 TB
4 TB
1.2 TB
900 GB
800 GB
18
18
Listen to your data.
Creazione di valore dal singolo Dipartimento all’intera azienda
>
Expansion
Workgroup
>
Free
Download
>
Utilizzatore iniziale
•
•
•
•
>
• Caso d’uso specifico
• Utenti specifici
19
Enterprise
Deployment
• Enterprise standard
• Numerosi utenti
Più siti
Più location geografiche • Molti differenti casi d’uso
• Molti utenti differenti
Più data source
Maggior volume di dati
Listen to your data.
Cosa deve fare l’IT delle banche
per soddisfare i requisiti del
provvedimento
Listen to your data.
20
Attività a carico dell’IT delle Banche (1)
Assessment delle applicazioni
o Sono interessate numerose applicazioni, su piattaforme diverse (java, CICS, …)
o I log hanno formato diverso (assenza di standard)
o Non tutte le applicazioni registrano i dati minimi prescritti  è necessario fare
in modo che tutte le operazioni di consultazione siano tracciate
Ma è anche necessario modificare tutte le applicazioni in modo che tutte
registrino le informazioni secondo un tracciato standard?
21
Listen to your data.
Attività a carico dell’IT delle Banche (2)
Gestione dei log
o I log devono essere centralizzati sullo strumento di allarme e audit
o Gli eventi devono essere salvati in formato originale
o L’attività di normalizzazione comporta la perdita di informazioni e la
registrazione degli eventi in formato diverso dall’originale
Il software usato deve essere flessibile ed adattarsi alla varietà di formato ed
organizzazione, e non viceversa
22
Listen to your data.
Attività a carico dell’IT delle Banche (3)
Predisposizione di alert e report per audit
o Gli alert devono tenere conto dell’organizzazione di ciascuna banca
o La stessa informazione può assumere forme diverse in funzione
dell’applicazione
o L’ente di audit deve disporre di report e dashboard di facile consultazione
Il software usato deve permettere la creazione semplice e veloce di allarmi e
report, tenendo conto delle possibili evoluzioni organizzative e applicative
23
Listen to your data.
Possibili alert e report richiesti dall’Audit
• Esempi di Alert
o Quando un operatore esegue più di n consultazioni in 20 minuti, o in 1 ora, …
o Quando un operatore risulta contemporaneamente attivo su più postazioni
o Quando un operatore sta eseguendo consultazioni su clienti «non di propria
competenza»
o Operatori che effettuano consultazioni su un elevato numero di clienti in 1 mese
o …….
• Esempi di report
o
o
o
o
o
o
o
Top operatori per numero di operazioni
Top operatori per numero clienti consultati
Elenco operatori con attività su filiali diverse dalla propria
Elenco attività operatori non presenti (controllo accessi)
Elenco operatori fuori orario di lavoro
Elenco operatori da postazione esterna
……..
24
Listen to your data.
Perché Splunk è lo strumento
ideale
Listen to your data.
25
Il punto di partenza ……
a) 26/09/2012 16:09:31 operatore=CZYY92 filialepdl=438 pdl=02 ipaddr=192.168.132.42
rapporto=CC0023481 filialerapporto=823 cliente=cl092301 operazione=saldo
applicazione=ccweb
b) 26/09/2012 16:09:31 (uid 438012) (client 02 438 192.168.132.42) (CC0023481 823) (cid
cl092301) (app ccweb saldo)
c) 030000004655826.09.201216.09.31400030049NCZYY92
0000000000223.09.2012>MID0100051200000010LF8ACONVEN40030001000010YTIME23
192.186.132.42
CREI020120923LF8ACC0023481
2012092300000096SI0000NN 01010
0465582012-09-2300.10.08400030049NRT6NCEC
DIP438
>OUTESI<00000096Y1000 RICHIESTA ESEGUITA
26
Listen to your data.
…… e il punto di arrivo!
27
Listen to your data.
Perché Splunk
NO connettori
Eventi registrati come generati dalle applicazioni
Possibilità di filtrare gli eventi non significativi
Parsing semplice, mapping veloce
Nessuna necessità di normalizzare le informazioni registrate dalle applicazioni
Possibilità di modificare il mapping e le regole sui dati storici
Facile integrazione di nuove applicazioni con qualunque nuovo formato di log
Facile costruzione di dashboard e report basati su regole personalizzate
Condizione necessaria e sufficiente per utilizzare Splunk è che le
informazioni richieste vengano scritte dalle applicazioni sui log
28
Listen to your data.
Le informazioni disponibili
Operatore
a) 26/09/2012 16:09:31 operatore=CZYY92 filialepdl=438 pdl=02 ipaddr=192.168.132.42
rapporto=CC0023481 filialerapporto=823 cliente=cl092301 operazione=saldo
applicazione=ccweb
b) 26/09/2012 16:09:31 (uid 438012) (client 02 438 192.168.132.42) (CC0023481 823) (cid
cl092301) (app ccweb saldo)
c) 030000004655826.09.201216.09.31400030049NCZYY92
0000000000223.09.2012>MID0100051200000010LF8ACONVEN40030001000010YTIME23
192.186.132.42
CREI020120923LF8ACC0023481
2012092300000096SI0000NN 01010
0465582012-09-2300.10.08400030049NRT6NCEC
DIP438
>OUTESI<00000096Y1000 RICHIESTA ESEGUITA
29
Listen to your data.
Lookup table
Matricola operatore
…..
….
….
….
CZYY92
….
…..
Cognome
Nome
Rossi
Mario
30
UID CC
438012
Listen to your data.
Il risultato è semplice e chiaro!
31
Listen to your data.
Con una search come questa …..
* | eval cc=if(eventtype=="et_contocorrente", 1, 0) | eval dt=if(eventtype=="et_depositotitoli", 1, 0)
| eval fido=if(eventtype=="et_fido", 1, 0) | eval operazioni = cc+dt+fido | stats sum(operazioni) as
Operazioni sum(cc) as "Conto Corrente" sum(dt) as "Deposito Titoli" sum(fido) as Fido by operatore
| sort - Operazioni | fields operatore filiale Operazioni "Conto Corrente" "Deposito Titoli" "Fido"
32
Listen to your data.
…. possiamo ottenere questo risultato
33
Listen to your data.
…. oppure avere una mappa delle situazioni sospette
34
Listen to your data.
…. e il drill down
35
Listen to your data.
Per chiudere
Quali sono i passi necessari per ottemperare al provvedimento con Splunk:
1. Verificare se le applicazioni registrano le informazioni richieste, non importa in quale
formato
2. Modificare le applicazioni non conformi per fare in modo vengano registrate su log
le informazioni richieste
3. Definire un metadato univoco per tutte le forme assunte dalla stessa informazione
(«operatore», «cliente», ecc.)
4. Decidere con l’Audit quali allarmi e report sono necessari
5. Predisporre allarmi e report utilizzando i metadati
6. Organizzare allarmi e report in un’app
36
Listen to your data.
Domande?
March, 2011
37
Listen to your data.