TVCC-cyber proof: primo Think Tank a secsolutionforum

della Redazione

Quali sono i principali rischi cyber che minacciano i sistemi TVCC? Quali best practice e misure di security sono state apprestate per garantire la sicurezza del dato e la privacy dei soggetti ripresi? E’ cambiato qualcosa con l’avvento del GDPR? Il mercato della sicurezza fisica si è sensibilizzato sul tema cyber? La GDPR-compliance by design può essere considerata come un argomento di vendita per un produttore di apparecchiature per la videosorveglianza? E, dato per assunto che nessun sistema di videosorveglianza possa dirsi hacker-proof, quali sono le responsabilità, quanto meno divulgative, in capo a ciascun operatore della filiera? A queste ed altre domande hanno risposto Axis, Hanwha Techwin, Hikvision e Panasonic nel primo Think Tank di comparto sulla sicurezza cyber della videosorveglianza. Un primo vertice di discussione che darà l’avvio a vari incontri, brainstorming e confronti aperti tra produttori, canale, associazioni di categoria e magari anche politica. Sempre sotto l’egida di Secsolution Forum.

Per Axis la sicurezza cyber è sempre stata un tema al vertice del pensiero progettuale: l’azienda proviene infatti dal TCP/IP, ha sempre visto potenzialità e rischi di questo vettore e da sempre si è premurata di porre in essere misure per arginare il rischio non solo in termini di prodotto, ma di soluzione nel suo complesso. Penetration test, ethical hacking interni, certificazioni per capire con chi si sta condividendo dati, auto-aggiornamenti del software e dei firmware dei prodotti e patch di sicurezza in caso di vulnerabilità, e ancora corsi gratuiti e webinar sulla sicurezza cyber: queste sono le credenziali Axis in materia cyber. E se si riscontra una vulnerabilità, viene dichiarata immediatamente, senza alcun timore di danni reputazionali o d’immagine.

Per Hanwha Techwin, una figura chiave della rivoluzione GDPR saranno i progettisti, chiamati a formarsi per adeguarsi ai nuovi profili di rischio. Lato produzione, molti protocolli di sicurezza sono embedded by default nei firmware dei dispositivi, come il sistema di autenticazione 802.1x per l’inserimento delle telecamere in una rete IP. Con il GDPR sono però state codificate ulteriori accortezze che permettono di definire il prodotto by default (password più complesse, certificati acquistati e caricati a bordo del prodotto per certificare il colloquio, parametri settati di default come disabilitazione by default dell’audio, funzione di de-identificazione dei volti per la trasmissione delle immagini, etc). E in caso di vulnerabilità, chiunque è invitato a notificare eventuali data breach al dipartimento Hanwha in Korea, che rende subito pubblico il problema.

Panasonic ha invece battuto il GDPR sul tempo, mettendo in campo già 5 anni fa due progetti legati a importanti gruppi bancari in Gran Bretagna e USA, che hanno imposto un notevole focus su cyber security e privacy. Per la parte software Panasonic si è rivolta a Symantec (fornitore di antivirus, ma anche Certification Authority in campo cyber). Questa sinergia ha generato una linea di telecamere e registratori che preinstallano on board il certificato Symantec, crittando i dati con la massima sicurezza. In USA questo percorso ha meritato a Panasonic la prestigiosa certificazione FIPS 140 di livello 2 (per installazione di telecamere anche in ambienti governativi e militari in USA), certificazione che tuttavia in Europa - nonostante il GDPR – ad oggi non ha valore.

Hikvision è stata oggetto di una campagna mediatica che ha evidenziato alcune criticità sotto il profilo cyber. Campagna che a conti fatta è stata utile al gruppo per approfondire e sviluppare queste tematiche, tanto da essere oggi designato CVE Numbering Authority. In questo percorso di crescita l’Europa è stata trainante: gli utenti finali hanno infatti chiesto protezioni e funzionalità che hanno stimolato gli headquarter a porre in essere nuovi firmware (in gran parte poi confermati dallo stesso GDPR). Resta però un fatto: se si parla di sistemi TVCC, occorre ragionare su una serie di componenti complementari tra loro, ma disomogenei per standard e livello di sicurezza. Occorre dunque che tutte le componenti viaggino sullo stesso livello di security: dal centro alla periferia.

RUOLO DEL GPDR

Poiché nella guerra tra guardie e ladri, è sempre il ladro a correre più veloce, non foss’altro perché dedica la vita a progettare attacchi, il rischio che il GDPR nasca vecchio è piuttosto concreto. Quale ruolo può dunque svolgere? “I nostri sforzi ingegneristici devono essere indirizzati a far sì che i costi dell’attacco siano superiori ai costi della progettazione industriale. I vendor che seguono la strada della compliance by default permettono al progettista di lavorare sull’aspetto by design, aprendo la strada per interessanti opportunità di professionalizzazione. Auspichiamo quindi che il GDPR porti una profonda qualificazione del progetto” (Francesco Paradiso, Hanwha). Per Axis il GDPR eleverà la sensibilità sui temi privacy e cyber security in un segmento in genere poco consapevole e poco attento a queste tematiche: “la cyber security è da sempre un elemento di attenzione e qualificazione nel mercato enterprise: auspichiamo che il GDPR possa portare sensibilità, conoscenza e sicurezza anche sui mercati small e medium” (Pierangelo Bertino, Axis). “Dipenderà molto da come verrà applicato – ammonisce Massimo Grassi di Panasonic, ma il GDPR è senza dubbio un’occasione di crescita per il settore, anche se è arrivato per certi aspetti tardi ed è più sbilanciato sul lato privacy rispetto al lato cyber security, che è molto più complesso”. “Di certo il GDPR ha generato nell’immediato un notevole picco di interesse sul mercato della sicurezza fisica rispetto al tema privacy e cyber security. Dopo poco tempo, però, molti si sono concentrati sulle modalità per uscire dal problema svicolando. Speriamo di non dover attendere le prime sanzioni”...(Francesco Panarelli, Hikvision).

ESISTE UNA TVCC HACKER-PROOF?

La domanda è retorica: potrebbero forse esserlo i singoli device, ma i sistemi non lo saranno mai, tanto meno le soluzioni più complesse. E se la TVCC non è dunque hacker-proof, gli hacker sono decisamente “CCTV-proof”, dal momento che la qualità dell’installazione è spesso talmente povera da rendere l’hacking un piacevole divertissement per nerd (Netflix docet). E allora che si fa? Se è arduo pensare che i vendor possano farsi carico di sensibilizzare la filiera nella sua interezza (Signora Maria compresa), chi deve rimboccarsi le maniche per fare cultura? L’opinione comune è che per raggiungere l’utente finale in maniera massiva occorra un’intenzione politica, magari mediata dalle interlocuzioni privilegiate che possono essere messe in campo dalle Associazioni di categoria. A monte, occorre però che i vendor facciano cultura della sicurezza presso il proprio canale, affinché sia in ultima sede lo stesso utente finale ad esigere cyber security. “Le Associazioni devono creare consapevolezza soprattutto nella PA, che è in drammatico ritardo nella compliancy al GDPR. L’analisi del rischio, alla quale ogni PA è obbligata, porta con sé la collaborazione con due figure che potrebbero dare valore all’opera divulgativa delle Associazioni: chi si occupa di IT e chi si occupa di normative. Parte di questa awareness è la scelta anche di tecnologie compliant” (Francesco Paradiso). “Per riprendere un paradigma della sicurezza fisica: la difesa si può dire funzionale – dunque accettabile - nella misura in cui supera il tempo necessario per essere bypassata. Nella sicurezza fisica si è finora ragionato per sottrazione, ossia chiudendo le porte, ma l’IP, il mobile, i social e l’IoT impongono logiche aperte. E’ fondamentale quindi che sia l’utente finale, sensibilizzato dal canale, a richiedere sicurezza” (Francesco Panarelli). Ma prima di tutto, occorre creare una cultura della prevenzione: la tendenza italica è quella di intervenire sempre dopo il fattaccio, ricorda Pierangelo Bertino. Per Massimo Grassi normative chiare e figure che le facciano rispettare sono i presupposti necessari per una sensibilizzazione massiva. Ma per farlo, occorre prima uscire dalle logiche dell’emergenza, dell’adeguamento d’accatto, della scappatoia, dell’approssimazione. Auguri.

CI VEDIAMO A SECSOLUTION FORUM

Questo Think Tank ha messo in luce, tra i vari aspetti, un punto nodale: tutti i produttori di tecnologie - chi con punte più avanzate e chi con punte più arretrate - sono essenzialmente pronti a difendere la sicurezza cyber dei loro prodotti, ma la security è un tema di filiera. La responsabilità non può essere ascrivibile ai soli produttori, perchè le sfaccettature della questione cyber sono pressoché infinite. Il tema presenta dunque un impatto ben più ampio, di natura, diremo, sociale. E’ quindi essenziale che il canale - distributore, system integrator, progettista e installatore di sicurezza - sia innanzitutto consapevole della necessità di selezionare tecnologie che siano, nei limiti del possibile, GDPR e Cyber-proof. In seconda battuta, è essenziale che il canale si formi - anche, ma non solo, per il tramite del produttore di riferimento - in materia di sicurezza cyber e di privacy-compliance. Secsolution Forum si propone sin d’ora quale piattaforma di discussione e contenitore di formazione al servizio del comparto. Ci vediamo nel 2019!

I PANELIST

Pierangelo Bertino - Small Business Account Manager Axis Communications
Francesco Paradiso - Business Development Manager Hanwha Techwin Europe
Francesco Panarelli - Key Account & Business Development Manager Hikvision Italy
Massimo Grassi - Security System Sales Engineer Panasonic System Communication Company Europe