domenica, 5 aprile 2020

Articoli

TVCC-cyber proof: primo Think Tank a secsolutionforum

10/09/2018

della Redazione

Quali sono i principali rischi cyber che minacciano i sistemi TVCC? Quali best practice e misure di security sono state apprestate per garantire la sicurezza del dato e la privacy dei soggetti ripresi? E’ cambiato qualcosa con l’avvento del GDPR? Il mercato della sicurezza fisica si è sensibilizzato sul tema cyber? La GDPR-compliance by design può essere considerata come un argomento di vendita per un produttore di apparecchiature per la videosorveglianza? E, dato per assunto che nessun sistema di videosorveglianza possa dirsi hacker-proof, quali sono le responsabilità, quanto meno divulgative, in capo a ciascun operatore della filiera? A queste ed altre domande hanno risposto Axis, Hanwha Techwin, Hikvision e Panasonic nel primo Think Tank di comparto sulla sicurezza cyber della videosorveglianza. Un primo vertice di discussione che darà l’avvio a vari incontri, brainstorming e confronti aperti tra produttori, canale, associazioni di categoria e magari anche politica. Sempre sotto l’egida di Secsolution Forum.

Per Axis la sicurezza cyber è sempre stata un tema al vertice del pensiero progettuale: l’azienda proviene infatti dal TCP/IP, ha sempre visto potenzialità e rischi di questo vettore e da sempre si è premurata di porre in essere misure per arginare il rischio non solo in termini di prodotto, ma di soluzione nel suo complesso. Penetration test, ethical hacking interni, certificazioni per capire con chi si sta condividendo dati, auto-aggiornamenti del software e dei firmware dei prodotti e patch di sicurezza in caso di vulnerabilità, e ancora corsi gratuiti e webinar sulla sicurezza cyber: queste sono le credenziali Axis in materia cyber. E se si riscontra una vulnerabilità, viene dichiarata immediatamente, senza alcun timore di danni reputazionali o d’immagine.

Per Hanwha Techwin, una figura chiave della rivoluzione GDPR saranno i progettisti, chiamati a formarsi per adeguarsi ai nuovi profili di rischio. Lato produzione, molti protocolli di sicurezza sono embedded by default nei firmware dei dispositivi, come il sistema di autenticazione 802.1x per l’inserimento delle telecamere in una rete IP. Con il GDPR sono però state codificate ulteriori accortezze che permettono di definire il prodotto by default (password più complesse, certificati acquistati e caricati a bordo del prodotto per certificare il colloquio, parametri settati di default come disabilitazione by default dell’audio, funzione di de-identificazione dei volti per la trasmissione delle immagini, etc). E in caso di vulnerabilità, chiunque è invitato a notificare eventuali data breach al dipartimento Hanwha in Korea, che rende subito pubblico il problema.

Panasonic ha invece battuto il GDPR sul tempo, mettendo in campo già 5 anni fa due progetti legati a importanti gruppi bancari in Gran Bretagna e USA, che hanno imposto un notevole focus su cyber security e privacy. Per la parte software Panasonic si è rivolta a Symantec (fornitore di antivirus, ma anche Certification Authority in campo cyber). Questa sinergia ha generato una linea di telecamere e registratori che preinstallano on board il certificato Symantec, crittando i dati con la massima sicurezza. In USA questo percorso ha meritato a Panasonic la prestigiosa certificazione FIPS 140 di livello 2 (per installazione di telecamere anche in ambienti governativi e militari in USA), certificazione che tuttavia in Europa - nonostante il GDPR – ad oggi non ha valore.

Hikvision è stata oggetto di una campagna mediatica che ha evidenziato alcune criticità sotto il profilo cyber. Campagna che a conti fatta è stata utile al gruppo per approfondire e sviluppare queste tematiche, tanto da essere oggi designato CVE Numbering Authority. In questo percorso di crescita l’Europa è stata trainante: gli utenti finali hanno infatti chiesto protezioni e funzionalità che hanno stimolato gli headquarter a porre in essere nuovi firmware (in gran parte poi confermati dallo stesso GDPR). Resta però un fatto: se si parla di sistemi TVCC, occorre ragionare su una serie di componenti complementari tra loro, ma disomogenei per standard e livello di sicurezza. Occorre dunque che tutte le componenti viaggino sullo stesso livello di security: dal centro alla periferia.

RUOLO DEL GPDR

Poiché nella guerra tra guardie e ladri, è sempre il ladro a correre più veloce, non foss’altro perché dedica la vita a progettare attacchi, il rischio che il GDPR nasca vecchio è piuttosto concreto. Quale ruolo può dunque svolgere? “I nostri sforzi ingegneristici devono essere indirizzati a far sì che i costi dell’attacco siano superiori ai costi della progettazione industriale. I vendor che seguono la strada della compliance by default permettono al progettista di lavorare sull’aspetto by design, aprendo la strada per interessanti opportunità di professionalizzazione. Auspichiamo quindi che il GDPR porti una profonda qualificazione del progetto” (Francesco Paradiso, Hanwha). Per Axis il GDPR eleverà la sensibilità sui temi privacy e cyber security in un segmento in genere poco consapevole e poco attento a queste tematiche: “la cyber security è da sempre un elemento di attenzione e qualificazione nel mercato enterprise: auspichiamo che il GDPR possa portare sensibilità, conoscenza e sicurezza anche sui mercati small e medium” (Pierangelo Bertino, Axis). “Dipenderà molto da come verrà applicato – ammonisce Massimo Grassi di Panasonic, ma il GDPR è senza dubbio un’occasione di crescita per il settore, anche se è arrivato per certi aspetti tardi ed è più sbilanciato sul lato privacy rispetto al lato cyber security, che è molto più complesso”. “Di certo il GDPR ha generato nell’immediato un notevole picco di interesse sul mercato della sicurezza fisica rispetto al tema privacy e cyber security. Dopo poco tempo, però, molti si sono concentrati sulle modalità per uscire dal problema svicolando. Speriamo di non dover attendere le prime sanzioni”...(Francesco Panarelli, Hikvision).

ESISTE UNA TVCC HACKER-PROOF?

La domanda è retorica: potrebbero forse esserlo i singoli device, ma i sistemi non lo saranno mai, tanto meno le soluzioni più complesse. E se la TVCC non è dunque hacker-proof, gli hacker sono decisamente “CCTV-proof”, dal momento che la qualità dell’installazione è spesso talmente povera da rendere l’hacking un piacevole divertissement per nerd (Netflix docet). E allora che si fa? Se è arduo pensare che i vendor possano farsi carico di sensibilizzare la filiera nella sua interezza (Signora Maria compresa), chi deve rimboccarsi le maniche per fare cultura? L’opinione comune è che per raggiungere l’utente finale in maniera massiva occorra un’intenzione politica, magari mediata dalle interlocuzioni privilegiate che possono essere messe in campo dalle Associazioni di categoria. A monte, occorre però che i vendor facciano cultura della sicurezza presso il proprio canale, affinché sia in ultima sede lo stesso utente finale ad esigere cyber security. “Le Associazioni devono creare consapevolezza soprattutto nella PA, che è in drammatico ritardo nella compliancy al GDPR. L’analisi del rischio, alla quale ogni PA è obbligata, porta con sé la collaborazione con due figure che potrebbero dare valore all’opera divulgativa delle Associazioni: chi si occupa di IT e chi si occupa di normative. Parte di questa awareness è la scelta anche di tecnologie compliant” (Francesco Paradiso). “Per riprendere un paradigma della sicurezza fisica: la difesa si può dire funzionale – dunque accettabile - nella misura in cui supera il tempo necessario per essere bypassata. Nella sicurezza fisica si è finora ragionato per sottrazione, ossia chiudendo le porte, ma l’IP, il mobile, i social e l’IoT impongono logiche aperte. E’ fondamentale quindi che sia l’utente finale, sensibilizzato dal canale, a richiedere sicurezza” (Francesco Panarelli). Ma prima di tutto, occorre creare una cultura della prevenzione: la tendenza italica è quella di intervenire sempre dopo il fattaccio, ricorda Pierangelo Bertino. Per Massimo Grassi normative chiare e figure che le facciano rispettare sono i presupposti necessari per una sensibilizzazione massiva. Ma per farlo, occorre prima uscire dalle logiche dell’emergenza, dell’adeguamento d’accatto, della scappatoia, dell’approssimazione. Auguri.

CI VEDIAMO A SECSOLUTION FORUM

Questo Think Tank ha messo in luce, tra i vari aspetti, un punto nodale: tutti i produttori di tecnologie - chi con punte più avanzate e chi con punte più arretrate - sono essenzialmente pronti a difendere la sicurezza cyber dei loro prodotti, ma la security è un tema di filiera. La responsabilità non può essere ascrivibile ai soli produttori, perchè le sfaccettature della questione cyber sono pressoché infinite. Il tema presenta dunque un impatto ben più ampio, di natura, diremo, sociale. E’ quindi essenziale che il canale - distributore, system integrator, progettista e installatore di sicurezza - sia innanzitutto consapevole della necessità di selezionare tecnologie che siano, nei limiti del possibile, GDPR e Cyber-proof. In seconda battuta, è essenziale che il canale si formi - anche, ma non solo, per il tramite del produttore di riferimento - in materia di sicurezza cyber e di privacy-compliance. Secsolution Forum si propone sin d’ora quale piattaforma di discussione e contenitore di formazione al servizio del comparto. Ci vediamo nel 2019!

I PANELIST

Pierangelo Bertino - Small Business Account Manager Axis Communications
Francesco Paradiso - Business Development Manager Hanwha Techwin Europe
Francesco Panarelli - Key Account & Business Development Manager Hikvision Italy
Massimo Grassi - Security System Sales Engineer Panasonic System Communication Company Europe



Tutti gli articoli

L'evento di Ethos Media Group che getta un ponte tra sicurezza fisica e logica, nel segno di una convergenza che è ormai il tratto dominante dell'evoluzione in atto.

Il nuovo palcoscenico della convergenza
La convergenza e l'integrazione tra sicurezza fisica e logica impone a tutti gli operatori della scurezza di intercettare, comprendere e cavalcare il cambiamento: questo processo di integrazione, sta causando difficoltà a tutti gli attori coinvolti che devono adattarsi a muoversi in uno spazio in cui non hanno ancora esperienza. Il mercato è chiamato a rispondere non solo con soluzioni tecnologiche adeguate ma anche con professionalità e competenze a tutto tondo che oggi mancano.

Dove sta andando il mercato?
Verso la professionalizzazione, la formazione continua.
Con l'entrata in vigore del GDPR si è alzata ancora di più l'attenzione di aziende, organizzazioni e istituzioni verso i temi della sicurezza della cybersicurezza e della privacy. Che cosa è cambiato effettivamente?

E le norme?
Chi non rispetta le norme, non solo dettate dal GDPR, mette a rischio non solo la propria azienda ma anche i propri clienti.  Quali sono i nuovi scenari e le tendenze?

Cultura, Formazione, EXPO
L'evento è strutturato come una Mostra Convegno, con una parte formativa e un'area espositiva, e muove dall'esperienza maturata da Ethos Media Group con le due manifestazioni di punta della Sicurezza e dell'ICT (IP Security Forum e festival ICT) di cui conserva i caratteri che ne hanno fatto la storia: contenuti e formazione di qualità, presenza di esperti del settore e patrocini delle più importanti associazioni del settore, oltre che partner tecnologici tra i protagonisti della scena italiana e internazionale.

secsolutionforum è un evento rivolto a produttori e distributori da una parte, installatori, progettisti, rivenditori e integratori di sistemi di sicurezza dall'altra.

Secsolutionforum.it

I video secsolutionforum

Conciliare comfort e sicurezza negli ingressi automatizzati
Nate per fornire comodità agli utenti, le automazioni per ingressi si confrontano con i temi della sicurezza. Ne parla Michele Scaramuzza, Training Leader ed Esperto di Prodotto in Ditec Entrematic, illustrando alcune soluzioni che rispondono alla domanda di sicurezza degli utilizzatori e ai requisiti della normativa di settore.

Protezione antincendio attiva per i quadri di processo
Pier Carlo Ciapparelli, Key Account Manager DEF Italia, spiega cosa si intenda per protezione antincendio attiva e quale sia il suo ruolo nella protezione dei processi industriali, per rilevare precocemente e spegnere principi d’incendio dei quadri elettrici.

Tecnologia e sicurezza dei dati nell’antintrusione e nell’antincendio
Antintrusione e antincendio sono pienamente entrati nel mondo digitale, con tutti i vantaggi ma anche con tutti i rischi che ne conseguono. Come conciliare tecnologia e sicurezza? Ne abbiamo parlato con Stefano Morelli, Sales Manager di INIM Electronics.

La qualità dell’antincendio passa dalla formazione degli operatori
Sulle sfide del mercato dell’antincendio si concentra Peter Mita, Membro del Consiglio Direttivo di ANIE Sicurezza. Focus sulle opportunità e i rischi dell’evoluzione normativa e sulla necessità di formazione per raggiungere la “qualità totale” degli impianti.

Sicurezza: un nuovo approccio per affrontare i mercati del futuro
Andamento e prospettive del mercato italiano della Security. Ne parla Giordano Turati, Membro del Consiglio Direttivo di ANIE Sicurezza, concludendo con un invito all’unione di tutti gli attori della filiera, per affrontare mercati che saranno molto diversi nei prossimi anni.

Tempo di convergenza, la parola al presidente di ANIE Sicurezza
Tecnologie emergenti e convergenza tra sistemi tecnologici differenti: le opportunità superano le criticità? Lo abbiamo chiesto al Presidente di ANIE Sicurezza, Giulio Iucci, che ha aperto l’edizione 2019 di secsolutionform.

Sicurezza perimetrale: i punti fermi per soluzioni ad alta prestazione
Franz Xaver Bössl, ingegnere elettronico e R&D Manager di PIDS, svela i segreti per ottenere soluzioni performanti nell’antintrusione perimetrale.

Sicurezza Urbana e Videosorveglianza: tra privacy e attività di polizia
Con Gianluca Sivieri - Esperto di Polizia Giudiziaria e di controllo del territorio con sistemi di videosorveglianza e tecnologie evolute – focus sulle nuove opportunità che si aprono per le forze di polizia e per le amministrazioni locali per un controllo più efficace degli spazi urbani, grazie alle risposte normative, da una parte, all’evoluzione tecnologica dall’altra.

Videosorveglianza e Privacy, istruzioni per l’uso
A partire dal 25 maggio 2018, con la piena applicazione del Regolamento Europeo sulla protezione dei dati, anche la videosorveglianza si adegua. Cosa resta del precedente provvedimento? Che cosa cambia? In pochi minuti, Marco Soffientini – avvocato, esperto di Privacy e Diritto delle nuove Tecnologie, docente Ethos Academy – riepiloga e spiega i punti fermi della nuova disciplina Privacy.

Tutte le norme che gli operatori della sicurezza devono conoscere
Obblighi e responsabilità civili e penali, in caso di inosservanza delle normative o di inadempimenti contrattuali: l’efficace sintesi di Roberta Rapicavoli – avvocato, esperto di Privacy e Diritto Informatico e docente Ethos Academy – delle tante norme di riferimento per chi opera nel settore della sicurezza.

Per vendere sicurezza non basta più un buon prodotto!
Che cosa conta oggi per vendere sicurezza a un consumatore sempre più informato e “affamato” di soluzioni risolutive? Uno spunto utilissimo in questa breve videointervista a Fabrizio Badiali, formatore e docente Ethos Academy.

Conoscenza normativa: un must nell’equipaggiamento dell’installatore di sicurezza
Quanto incidono la competenza tecnica e la conoscenza della normativa di riferimento per differenziarsi e proporre servizi di qualità? Abbiamo rivolto la domanda ad Antonio Avolio, ingegnere elettronico, formatore e docente Ethos Academy, che in questa breve intervista introduce anche il tema della certificazione.

Secsolutionforum, Ditec Entrematic. La sicurezza nel settore delle automazioni per ingressi
Gli ingressi automatici sono sempre più diffusi e spaziano dai cancelli ai portoni, dalle porte per garage alle porte automatiche per negozi e centri commerciali.

articoli secsolutionforum

secsolutionforum 2019: vinci tu, vinco io
15/07/2019
della Redazione “Grande. E’ stata definita così l’edizione pescarese di...

TVCC-cyber proof: primo Think Tank a secsolutionforum
10/09/2018
della Redazione Quali sono i principali rischi cyber che minacciano i sistemi TVCC? Quali best practice...

A secsolutionforum, convergenza tra sicurezza fisica e logica
05/07/2018
della Redazione Sono tanti gli spunti di riflessione e le sfide che a Secsolutionforum Security &...

Secsolutionforum security e cyber technologies
03/05/2018
della Redazione E’ Milano la sede prescelta per la prima edizione della nuova proposta di happening...

GDPR: sicurezza fisica e sicurezza logica, due facce della stessa medaglia
20/03/2018
di Roberto Giovanni Loche La rapida evoluzione delle tecnologie ha avuto un profondo impatto sulla...

Quando la sicurezza fisica sposa la sicurezza cyber
06/03/2018
della Redazione Alcuni matrimoni durano una vita, altri pochi mesi, ma tutti sono accomunati da un...