Sicurezza cyber, CRA e supply chain: il vero campo di battaglia è informatico

Viviamo un quotidiano sempre più interconnesso: il lessico che fino a pochi anni fa era relegato ai tecnicismi del settore sicurezza è diventato di dominio pressoché comune. Dal Covid in poi, i sistemi di comunicazione di massa hanno infatti introdotto concetti complessi come resilienza, minaccia, analisi del rischio. Il quotidiano ce li ha fatti metabolizzare. La guerra ci ha infine calati in un contesto di interruzioni della supply chain (già singhiozzante per la pandemia) ed ha fatto emergere con assoluta evidenza come il vero campo di battaglia sia oggi il terreno informatico. Tra paesi, ma anche all’interno dei paesi stessi, tra istituzioni e aziende. Il comparto della physical security non è naturalmente estraneo a questi fenomeni. E nonostante il colpevole ritardo nella sua migrazione digitale, considerato il grado di penetrazione e innovazione tecnologica che può vantare, è oggi più di altre industrie alle prese con il tema della sicurezza cyber. Ma come proteggere un sistema di sicurezza fisico da un attacco informatico? In che modo strumenti normativi come il Cyber Resilience Act, che introduce requisiti di sicurezza logica per i dispositivi interconnessi via Internet (inclusi i dispositivi di sicurezza fisica), potrà elevare la sicurezza nell’intera supply chain? L’abbiamo chiesto a diversi top player del comparto e ad alcuni esperti. Sentite cosa ne è uscito.

di Lucia Dalla Valle

Come proteggere un sistema di sicurezza fisico (videosorveglianza, controllo accessi, antintrusione, intercom) da possibili attacchi cyber?

Alessandro Manfredini, Presidente di AIPSA e Direttore Group Security & Cyber Defence A2A 

I dispositivi di physical security sono sistemi informatici al servizio della sicurezza fisica

I sistemi di sicurezza fisica che hanno il compito di proteggere fisicamente i nostri asset sono rappresentati oggigiorno da apparati tecnologicamente avanzati, dotati anche in parte di una certa “intelligenza” a bordo e sicuramente di componentistiche software che li rendono di fatto un sistema informatico al servizio della sicurezza fisica.Dunque, appare fondamentale valutare la loro robustezza dal punto di vista della cyber security per evitare che, paradossalmente, proprio questi strumenti di difesa e protezione diventino l’anello debole, se non addirittura essi stessi un veicolo per sferrare un attacco cibernetico, che non solo ne potrebbe compromettere le funzionalità, ma addirittura potrebbe estendere la minaccia a tutti i sistemi informativi dell’organizzazione. In tale quadro è fondamentale trattare anche questi oggetti interconnessi alle reti aziendali seguendo i principi dell’Internet of Things (IoT): che sia una telecamera di videosorveglianza o un NVR (Network Video Recorder, ossia un videoregistratore di rete), un lettore badge o una centralina di allarme, questi sono tutti dispositivi che colloquiano tra di loro (o tra centro e periferia), sfruttando i protocolli di comunicazione di una rete LAN o via web, pertanto devono essere gestiti come ogni altro oggetto presente sulle reti della nostra organizzazione. I singoli device devono essere valutati attraverso un processo di security by design e devono essere inseriti nel ciclo dei Vulnerability Assessment e Penetration Test che l’organizzazione deve adottare periodicamente. Questi apparati inoltre devono essere logicamente installati sulle reti aziendali, rispettando i principi della security nelle Operational Technologies (OT security) e dunque ispirati agli standard della serie IEC 62443. Consiglio inoltre di far monitorare gli apparati anche dal Security Operation Center, che normalmente garantisce il controllo degli accessi ai sistemi informativi dell’organizzazione.

Alejandro Aliaga, GeneralCo-Director BeDisruptive

Sicurezza dei sistemi fisici: il vademecum per ridurre i rischi

Potrebbe sembrare un paradosso che i sistemi di sicurezza fisica, progettati per proteggere persone e proprietà, possano diventare un vettore di attacco per i criminali informatici. Eppure, proprio a causa del fatto che questi sistemi sono sempre più connessi a Internet, si ha un aumento della superficie di esposizione e, quindi, un incremento del rischio di subire un attacco informatico. Molti di questi sistemi presentano vulnerabilità che, se non corrette in modo appropriato e gestite, possono rappresentare un gateway per i criminali informatici. In molte occasioni, questi sistemi sono i grandi dimenticati.

Per mantenere livelli di sicurezza accettabili su questi sistemi, la prima cosa da fare è un’analisi di sicurezza, ma non ci si dovrebbe fermare qui.

E’ necessario attuare una supervisione continua e l’applicazione delle migliori pratiche per la gestione della sicurezza, come ad esempio la creazione di un inventario delle risorse dei sistemi di videosorveglianza elettronica. Va prevista una valutazione di sicurezza su base ricorrente, per identificare possibili vulnerabilità.  Inoltre, è fondamentale costruire, consolidare e aggiornare la documentazione relativa a ciascun dispositivo, identificando i dispositivi obsoleti che necessitano di sostituzione a causa dell’età o di potenziali rischi per la sicurezza, e una valutazione costante di tutti i fornitori per la conformità agli standard.

Domenico Dominoni, Director of Sales-South Europe Claroty

Buone (e cattive) pratiche per proteggere i sistemi fisici

Sicuramente esistono molte best practice, che elenco più oltre, ma una sola bad practice: pensare di proteggerci come usualmente facciamo da anni nell’informatica classica. I sistemi fisici hanno peculiarità e impatti completamente differenti, quindi dobbiamo ritagliare le corrette (e non pericolose per noi stessi) misure di sicurezza. Riepilogo le buone pratiche: utilizzare una piattaforma di sicurezza modulare, quindi scalabile, e basata su SaaS, in modo da non complicare ulteriormente l’architettura di rete; monitorare continuamente lo stato dei device, i profili di comunicazione e i rischi reali, senza impattare sulla loro funzionalità che non permette momenti di down; assegnare priorità alla mitigazione del rischio, sulla base di risultati di impatto reali e simulati; generare una linea di base per il normale comportamento della rete, fornendo metodi automatizzati per monitorare, assegnare priorità e rispondere agli avvisi di sicurezza; automatizzare i flussi di lavoro di gestione delle risorse, risparmiando il tempo di amministrazione e riducendo le finestre di manutenzione per il personale operativo; verificare la presenza di software obsoleti, indicatori End of Life o Out of Support, tassi di utilizzo dei device. Infine, integrarsi con le soluzioni di sicurezza informatiche, per estendere i controlli di sicurezza informatica esistenti nell’ambiente fisico.

Alessio Paccariè, Head of Marketing CY4GATE

Metodi proattivi per proteggere i sistemi di sicurezza fisica

Come conseguenza dell’evoluzione della tecnologia digitale, la sicurezza fisica ha assunto estrema importanza nella protezione di persone e strutture, attirando l’attenzione di “attori malevoli” che mirano ai sistemi di sicurezza fisica tramite attacchi informatici. La protezione dei sistemi di sicurezza fisica da tali minacce è fondamentale per garantire la sicurezza della società. Ciò richiede misure di sicurezza proattive, come il monitoraggio continuo e i Penetration Test, per identificare e correggere le vulnerabilità, la Cyber Threat Intelligence e pratiche di detection per individuare possibili minacce ai sistemi, e attività di Red e Blue Teaming, come la simulazione delle infrastrutture per rafforzare difesa e resilienza informatica. Gli attacchi cyber comportano conseguenze talvolta disastrose: ad esempio, l’accesso non autorizzato a sistemi di videosorveglianza può consentire la manipolazione delle immagini delle telecamere, rendendo inefficace il sistema di sicurezza, o il furto di dati sensibili utilizzabili per scopi malevoli. Pertanto, proteggere i sistemi di sicurezza fisica dagli attacchi informatici è una sfida necessaria e in continua evoluzione. 

Matteo Martino, Sales Account Executive CyberSift

Tutti i dispositivi connessi possono essere violati

Il campo di attività di CyberSift non è quello della sicurezza fisica, ma vorrei comunque sottolineare un aspetto: gli hacker possono violare qualunque dispositivo connesso e sono costantemente alla ricerca di una falla per accedere. Di conseguenza la sicurezza fisica diventa vulnerabile se siamo una azienda e non proteggiamo anche la nostra rete. Possiamo controllare gli accessi e le intrusioni, ma se, per esempio, un nostro dipendente viene avvicinato da un hacker o volontariamente intende vendere informazioni sensibili, avendo libero accesso, può farlo facilmente. CyberSift aiuta a “tappare” proprio falle del genere, non permettendo fuoriuscite di dati o informazioni sensibili dalla rete di lavoro. 

Katia Gomareschi, Sales Manager Private Labels EET

Cyber Security nel settore della sicurezza fisica

Secondo la nostra esperienza nel settore, che ci vede attivi nel mondo della videosorveglianza ma anche nel settore delle forniture tecnologiche per gli uffici, dalla connettività alla Unified Communication, come prima cosa consigliamo di adottare soluzioni di controllo degli accessi fisici per la protezione dagli attacchi esterni, un esempio può essere Milestone, che si trova nel nostro catalogo. Per quanto riguarda invece file, cartelle e informazioni condivise, il nostro consiglio è controllare il più possibile l’accesso a chi ne ha reale necessità, limitando per esempio i privilegi o la durata della condivisione di cartelle e aumentare la soglia di protezione. Servono soluzioni che consentano di collaborare in sicurezza con utenti esterni alla rete, esistono per esempio software (noi distribuiamo Tricent ma il mercato offre varie soluzioni) che permettono di automatizzare le modalità di condivisione, e lasciare all’utente sempre la decisione di cosa condividere e cosa no. Si tratta di soluzioni ottime per gli utenti di Microsoft 365 e Google Workspace, per chi deve controllare la condivisione dei documenti rispetto a clienti esterni, per chi si occupa di auditing. 

Aldo Di Mattia, Senior Manager SystemsEngineering Fortinet Italiahttps://www.fortinet.com/it

Dotarsi di soluzioni di analisi e gestione dei rischi

Tutti i sistemi che hanno abbandonato nel corso degli anni modelli di rete isolati e/o dedicati, per essere interconnessi all’infrastruttura network di telecomunicazione, sono diventati oggetto degli attacchi da parte dei criminali informatici. Nel principio si è trattato dell’IT, poi a seguire sono stati bersagliati IoT, Industrial IoT e OT. La videosorveglianza ha subito lo stesso processo, in nome della riduzione dei costi e della competitività. Ma questi vantaggi sono tali solo quando i rischi sono analizzati e gestiti. Non si può, ad esempio, prescindere dalla segmentazione di rete e dai sistemi di firewalling. Le cam e il sistema di gestione devono essere inseriti in reti virtuali dedicate, con un sistema firewall che ne limiti l’accesso ai soli autorizzati attraverso l’autenticazione (possibilmente multi-fattore), provenienti da reti di gestione e con privilegi specifici in base al ruolo. La trasmissione dei dati, dove possibile, deve essere cifrata, così come i dati memorizzati. L’accesso fisico agli apparati di gestione e controllo deve essere reso possibile solo al personale autorizzato. L’accesso logico deve permettere la registrazione delle attività eseguite attraverso log. I sistemi firewall devono essere di tipo Next Gen, garantendo l’analisi del protocollo HTTPS e l’utilizzo di sistemi antintrusione (IPS) e analisi malware. Una soluzione di sicurezza automatizzata e semplificata apporta il massimo dei vantaggi. Fortinet ha una propria linea di prodotti con queste caratteristiche.

Andrea Ciappesoni, founder Fred for Security

Intelligenza artificiale e combinazione va/pt

Gli apparati deputati alla sicurezza fisica possono essere anch’essi attaccati, o sfruttati come “porta d’ingresso” per avere accesso alla rete. Analizzare la sicurezza di una rete o di un apparato ad essa connesso è la prima attività che un hacker effettua: tecnicamente prende nome di “vulnerability assessment” e consiste nello scoprire vulnerabilità intese come errori nel codice di programmazione oppure falle causate da impostazioni o configurazioni non sicure. Questa attività è molto importante, in ottica di difesa del perimetro aziendale, e può essere svolta da un cybersecurity manager, da un hacker etico oppure può essere affidato a dispositivi che utilizzano l’intelligenza artificiale, come Fred for Security.

Individuate le vulnerabilità, sarà necessario verificare che siano effettivamente sfruttabili e non dei falsi allarmi, la verifica può essere eseguita utilizzando tecniche d’attacco (così come farebbe un hacker) valutando gli effetti apportati al sistema, questa fase prende il nome di “penetration test”. Le due analisi dovrebbero essere ripetute con cadenza almeno mensile, la combinazione VA/PT permette di mantenere il controllo della sicurezza del sistema, coprire i punti deboli che potrebbero essere sfruttati per un attacco, e di intervenire in modo mirato per correggere le falle di sicurezza prima che le stesse possano essere scoperte dagli attaccanti.

Marco Rottigni, Technical Directorper l’Italia di SentinelOne

Il punto di partenza è la visibilità

La sfida è assolutamente reale e tutt’altro che banale! Spesso questi sistemi rientrano nel mare magnum chiamato IoT, sistemi chiusi in cui falle software o vulnerabilità hardware sono molto difficili da chiudere tramite patch, proprio per la natura inaccessibile dei sistemi specializzati. Gli attaccanti sono ben consci di questi vantaggi e ricercano modi sempre nuovi per compromettere i sistemi IoT, notoriamente più deboli e difficili da censire e proteggere rispetto ai più gestibili endpoint client e server. 

Il punto di partenza per organizzare una protezione efficace è comunque ancorato ad una delle più importanti capacità di base in ambito cyber: la visibilità. Avere contezza di questi sistemi e censirli all’interno del proprio inventario digitale permette di qualificarne il grado di fiducia, capire eventuali interazioni in rete con sistemi maggiormente presidiati, capire la superficie vulnerabile ed il livello di rischio residuo da tollerare. Qualora ci fossero sistemi di gestione dedicati, è importante disporre di una piattaforma in grado di raccogliere la telemetria di questi sistemi di gestione e normalizzarla per investigazioni multi-fonte. Una piattaforma di cybersecurity con capacità di autonomous response, come quella di SentinelOne, è in grado di aiutare i responsabili interni ad affrontare e a vincere le sfide moderne della sicurezza aziendale.

Massimiliano Galvagna, Country Manager per l’Italia, Vectra AI

Proteggere i sistemi operativi

Quando si tratta di attacchi diretti a sistemi di sicurezza fisici, l’infiltrazione è il primo passo: i cybercriminali oggi sono in grado di aggirare i controlli di prevenzione, compromettere le credenziali e muoversi lateralmente per esfiltrare i dati aziendali. La sfida per i team di sicurezza si riduce dunque alla rapidità con cui un attacco viene rilevato, soprattutto una volta penetrato nel perimetro di rete. 

Soluzioni come Network Detection and Response di Vectra sono attive nella protezione di tutti i dispositivi connessi alla rete, inclusi quindi anche i sistemi di sicurezza fisica: gli algoritmi sono stati pensati per rilevare ogni tecnica di attacco a una qualsiasi macchina che abbia un indirizzo IP. L’approccio consiste nel proteggere i sistemi operativi focalizzandosi sull’analisi dello strato IT: ciò si rivela efficace, perché gli attaccanti tendono a colpire non il protocollo o l’applicazione in sé, quanto piuttosto il sistema operativo, l’elemento più noto e più vulnerabile. Dotarsi di una buona intelligence permette di acquisire maggiore visibilità e di individuare i primi segnali di attacco, e questo è il modo migliore per incrementare la resilienza informatica.

Ivan De Tomasi, Country Manager Italy & Malta WatchGuard Technologies 

Primo step, segmentare la rete 

Oggi la stragrande maggioranza dei sistemi di sicurezza fisica viaggia su IP e proprio perché fanno parte della “rete” devono essere protetti. Occorre quindi, dove possibile, segmentare la rete attraverso delle VLAN che permettono di creare delle porzioni isolate, a livello logico. Firewall come il Firebox WatchGuard supportano pienamente questa funzionalità e permettono di poter attestare una soluzione di videosorveglianza (in tutte le sue componenti) su una determinata VLAN per la quale stabilire policy di controllo specifiche e regolamentate. 

Le componenti del sistema di videosorveglianza sono a tutti gli effetti componenti attive, dotate di Firmware funzionale e/o servizi WEB, soggette quindi a vulnerabilità che possono diventare superficie di attacco; è necessario quindi dotarsi di sistemi in grado di mitigare tale rischio, analizzando il traffico inter VLAN e rilevando e bloccando un attacco prima che possa compromettere la sicurezza del sistema.

Inoltre, la mobilità ci porta oggi a dover accedere a questi sistemi anche al di fuori dello stesso perimetro aziendale. Il PC o il dispositivo digitale (smartphone, tablet) da cui accedo deve quindi essere protetto e l’accesso stesso deve essere sicuro e riservato.  WatchGuard ha soluzioni che consentono di implementare l’autenticazione multifattore (con verifica biometrica) nella fase di accesso al sistema. In questo modo si verifica con estrema sicurezza l’identità della persona durante l’accesso.

Il Cyber Resilience Act introduce requisiti di sicurezza logica per i dispositivi interconnessi via Internet (inclusi i dispositivi di sicurezza fisica). In che modo questa proposta, al netto delle modifiche che interverranno nell’iter legislativo, potrà elevare la sicurezza nella supply chain?

Alvise Biffi, vicepresidente Assolombarda e CEO Secure Network

Sicurezza informatica: processo integrato nel ciclo di vita del prodotto

Il percorso messo in atto dall’Unione Europea per innalzare il livello di sicurezza informatica all’interno del proprio perimetro ha radici profonde. È senza dubbio essenziale andare a sopperire alle lacune significative che vi sono a livello di sicurezza della supply chain. Con questa proposta si mira a colmarne alcune e a coprire aspetti relativi alla sicurezza informatica che, in questi ultimi anni di interesse rivolto alla cyber security (vedi NIS 1-2 e Cyber security ACT), non erano stati presi in esame.  È fondamentale che tutti i prodotti contenenti elementi digitali siano adeguatamente progettati, realizzati, implementati e protetti: grazie alla guida dell’Unione Europea, si stanno creando le condizioni per un comparto produttivo più sicuro e quindi maggiormente competitivo. Auspicabilmente, il CRA creerà le condizioni per sviluppare prodotti connessi che abbiano elementi digitali sicuri e minori vulnerabilità e per far sì che i produttori considerino la sicurezza informatica un processo integrato all’intero ciclo di vita del prodotto, garantendo di conseguenza la necessaria robustezza della supply chain.

Alessandro Manfredini, Presidente di AIPSA e Direttore Group Security & Cyber Defence A2A 

Strategie per rafforzare la catena di sicurezza 

Anche i sistemi di sicurezza fisica dovranno rispettare i requisiti di sicurezza cyber previsti dalle best practice di settore e dunque, prospetticamente, dal Cyber Resilience Act. È innegabile che questa impostazione garantirà un irrobustimento di tutta la catena di sicurezza e consentirà ai security manager di poter contare su prodotti (in taluni casi anche servizi) più sicuri, che dovranno essere inseriti nel ciclo del trattamento dei rischi al pari di tutti gli altri sistemi informativi aziendali.

Avv. Marco Soffientini, Esperto di Privacy e Diritto delle Nuove Tecnologiee docente Ethos Academy

Rafforzare la resilienza in tutti i settori

Recentemente ha ottenuto il primo “semaforo verde” da parte del Consiglio UE la proposta di Regolamento UE relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il regolamento UE2019/1020 (noto come Cyber Resilience Act -CRA-).

Si tratta di un regolamento (c.d. Regolamento sulla cyberresilienza) che ha un forte impatto sul settore della sicurezza fisica e che ha l’ambizione di garantire la sicurezza dei prodotti con componenti digitali, introducendo una disciplina comune in tema di cybersecurity per tutti i produttori e gli sviluppatori di prodotti digitali (es. TV, videocamere, ecc.) sia sotto il profilo hardware e software. La proposta prevede che i produttori resteranno responsabili della sicurezza informatica per l’intera vita del prodotto. Un profilo, quest’ultimo, che sta sollevando un acceso dibattito. Ciò che preme sottolineare è la politica europea che, dopo il varo della NIS 2 (Direttiva UE 2022/2555 sulla sicurezza delle reti e delle informazioni, che dovrà essere recepita in Italia entro il 18 Ottobre 2024), e del Regolamento UE 2022/2554 (c.d. Digital Operational Resilience Act – DORA, relativo alla resilienza operativa digitale per il settore finanziario e che si applicherà a partire dal 17 gennaio 2025), c’è la volontà di  rafforzare la resilienza in tutti i settori. Queste normative affrontano, infatti,  tematiche ricorrenti (es. governance dei rischi ICT, segnalazioni degli incidenti etc.) affinché i produttori siano in grado di prevenire, resistere e rispondere alle minacce di cybersecurity.

Marco Bavazzano, CEO Axitea

Con il cra vola la sicurezza della supply chain    

Il contesto di incertezza degli ultimi anni ha generato non poche preoccupazioni e sfiducia all’interno di tutte le supply chain. Tuttavia, le aziende oggi non possono prescindere dall’operare in un ecosistema integrato, in cui fornitori, consulenti, contractor, partner commerciali e clienti, generano e consumano continuamente informazioni. Ciò significa, però, che un singolo “anello debole” può mettere a rischio gli asset digitali e tecnologici di tutti gli altri. 

Sebbene il CRA sia ancora in fase di elaborazione, è probabile che sarà approvato e pubblicato entro la fine del 2023: una volta in vigore, avrà un impatto significativo sulla sicurezza della supply chain europea. Il CRA sarà infatti determinante per impedire ai cybercriminali di sfruttare le vulnerabilità dei dispositivi interconnessi, di sottrarre dati sensibili relativi a un’impresa, ai suoi partner e ai consumatori, di interrompere l’erogazione di prodotti e servizi, con le conseguenti ricadute sul mercato e, infine, di causare danni finanziari alle organizzazioni. Sarà poi compito delle singole imprese dotarsi dei sistemi necessari a mappare l’intera filiera, alla ricerca di elementi di compromissione, e adottare soluzioni per proteggere il valore dei propri asset.

Matteo Martino, Sales Account Executive CyberSift 

Benvenuto cra… ma servono anche sostegni economici

Quanto al Cyber Resilience Act, ritengo queste proposte fondamentali, perché si tende ancora a sottovalutare il rischio e a pensare che basti un firewall per sentirsi protetti. Migliorare pertanto il livello di attenzione e conoscenza su questi temi è fondamentale. Non basta, però, obbligare le aziende a dotarsi di questi sistemi: gli imprenditori devono essere messi, prima di tutto, in condizione di recepire il pericolo e percorrere la strada della resilienza; in secondo luogo, sono necessari aiuti economici. A Malta, dove ha sede CyberSift, proprio in questi giorni il governo ha dato vita, con fondi europei, a uno schema di contributi che copre addirittura l’80% della spesa: è un atto davvero significativo sulla giusta strada della protezione. Francamente mi domando come mai in Italia ancora non se ne parli.

Elisa Ballerio, Marketing Director CybergON

Il cyber resilience act segna la strada 

Il Cyber Resilience Act è stato progettato per garantire livelli di sicurezza minimi per i dispositivi immessi sul mercato dell’UE e per sanare l’asimmetria formativa tra le imprese e i consumatori, che spesso non dispongono di informazioni sufficienti sulla sicurezza informatica. 

Nella supply chain è difficile riuscire a garantire un livello di sicurezza adeguato su tutta la filiera, poiché gli attori coinvolti sono diversi, così come sono differenti le tecnologie utilizzate. Infatti, nella supply chain, la difficoltà risiede proprio nel riuscire a far parlare diverse tecnologie, sia a livello IT che OT, per garantire una visibilità completa degli asset presenti su tutta la filiera. 

Considerata la complessità nella gestione della sicurezza informatica, avere una legislazione che funge da requisito minimo non può far altro che aiutare le aziende ad adattarsi a tali richieste, spingendo chi non l’abbia ancora fatto ad adeguarsi a un livello, seppur minimo, di protezione. In poche parole, integrazione delle tecnologie, visibilità e consapevolezza degli asset coinvolti sono gli elementi chiave per una strategia di sicurezza informatica che il Cyber Resilience Act sicuramente instrada.

Stefano Brusaferro, Sales& Marketing Director HWG

La sicurezza informatica al centro dell’azione europea

Il Cyber Resilience Act è un provvedimento necessario e per comprenderne i motivi bisogna guardare al mercato italiano dell’IoT. Secondo i dati dell’Osservatorio Internet of Things, School of Management del Politecnico di Milano, gli oggetti connessi attivi in Italia sono 124 milioni, poco più di 2,1 per abitante. A fine 2022 si contavano 39 milioni di connessioni IoT cellulari (+5% rispetto al 2021) e 85 milioni di connessioni abilitate da altre tecnologie di comunicazione (+15%). L’esigenza di un intervento legislativo sulla sicurezza dei dispositivi IoT nasce proprio dalla constatazione di questa notevole crescita del mercato. La UE vuole quindi definire standard comuni di sicurezza informatica non solo per gli oggetti connessi, ma anche per i servizi ad essi correlati. L’obiettivo è evidente: proteggere i consumatori e il mercato dall’azione dei cyber criminali.

L’interconnessione tra un numero sempre più elevato di dispositivi IoT, infatti, aumenta il flusso dei dati scambiati, trattati anche da organizzazioni che operano oltre i confini dell’UE. Ciò determina un incremento dei costi per contrastare il crimine informatico. Il CRA rappresenta dunque un provvedimento indispensabile che dimostra la piena consapevolezza, da parte del legislatore europeo, dell’importanza del patrimonio digitale rappresentato dai dati personali, pilastro su cui si fonda la strategia politica della UE: porre la sicurezza informatica e la protezione dei cittadini al centro della propria azione di governo.

Gabriele Minniti, CyberSecurity Expert & CEO Whysecurity - Gruppo Security Trust

Un passo avanti nella mitigazione del rischio

Nel momento in cui venissero applicati i principi del Cyber Resilience Act, si farebbe finalmente quel passo in avanti richiesto dagli operatori oramai da molti anni, nel mitigare quanto meno le minacce più comuni e semplici da scoprire. Il processo della “Sicurezza di Prodotto” è una fase fondamentale dello sviluppo, molto onerosa se condotta rispettando gli standard di riferimento, ma oramai necessaria per raggiungere quella resilienza che il mondo moderno ci sta richiedendo. Non dovremo sorprenderci se assisteremo a un innalzamento sensibile dei prezzi, a causa dei maggiori costi complessivi di sviluppo: la sicurezza ha un valore che si esprime anche sul piano economico.

Adottare la fase dell’analisi della vulnerabilità come processo strutturato e ricorrente non è più solo velleità di chi vuole ottenere certificazioni ISO importanti, ma dovrebbe essere un processo consolidato per tutte le aziende che stanno sul mercato. Ancora meglio adottare processi in cui si strutturano penetration test e adversary simulation: dovrebbe essere obbligatorio per tutte le aziende che hanno una componente di servizio nella propria offerta o che semplicemente offrono la capacità di gestire da public cloud gli oggetti IoT della propria proposta.

Prossimi approfondimenti

I temi verranno approfonditi durante l’evento Cyber & privacy secsolutionforum (https://www.secsolutionforum.it ) il 29 novembre prossimo a Verona.

L'evento organizzato da Ethos Media Group con il patrocinio di Federprivacy con l’obiettivo di aiutare tutti i professionisti che si occupano di proteggere i dati “a parlare una lingua comune”.  Esperti del mondo giuridico e di quello della sicurezza informatica a confronto per parlare della protezione dei dati come un’unica materia. “Privacy e cybersecurity, due facce della stessa medaglia”. Una ricerca per raccogliere i feedback degli addetti ai lavori sui gap da colmare e le possibili soluzioni per facilitare la convergenza

Nel frattempo, l’osservatorio di Federprivacy ha avviato il sondaggio “Cybersecurity & Privacy, gap e margini di convergenza tra gli addetti ai lavori” a cui sono invitati a partecipare tutti gli addetti ai lavori per fornire i loro feedback sui gap da colmare e facilitare la convergenza e la cooperazione tra professionisti giuridici e informatici. I risultati della ricerca saranno poi condivisi e trattati dai relatori durante l’evento.

Per prenotare la tua partecipazione gratuita ecco il link: https://www.secsolutionforum.it/registrazione.asp