venerdì, 29 marzo 2024

Interviste

ONVIF: il punto sui profili per la sicurezza IT

Intervista a Stuart Rawling, membro dell’ONVIF Steering Committee

29/08/2017

In vista del prossimo All Committee Meetings, che si terrà a Verona, dal 12 al 15 settembre, secsolution.com ha intervistato Stuart Rawling, membro dell’ONVIF Steering Committee, incontrato a IFSEC 2017.  

Quale caratteristica ha contraddistinto l’edizione 2017 di IFSEC e riflette l’evoluzione del settore?

È avvenuta una convergenza nel mercato della sicurezza, con un maggior coinvolgimento dell’ambito IT e spesso ora la sicurezza fisica e l’IT condividono gli stessi uffici. Dal momento che la sicurezza rientra nell’IT, si deve considerare che esistono pratiche di acquisto che per l’IT sono consolidate. Le attrezzature IT sono basate su standard, anche se standard proprietari. Si ricorre all’IT per godere appieno di dispositivi interoperabili e interfacce di programmazione di un'applicazione (API) aperte; mentre nel mondo della sicurezza fisica la situazione storicamente è un po’ diversa. Un’attività per la quale ONVIF ha ottenuto molto successo è fornire un’unica interfaccia fisica, per permettere ai sistemi di sicurezza di funzionare assieme, il che si sposa molto bene con la capacità tipica dell’infrastruttura IT, ovvero quella di utilizzare e scambiare diversi vendor, ottenendo il meglio dalle loro attrezzature che si integrano con questa infrastruttura. Quindi ONVIF e i profili offerti corrispondono molto bene a questa descrizione.

Può dirci qualcosa in più sul Profilo per il controllo accessi, uscito a luglio?

Qualche anno fa ONVIF lavorava principalmente in ambito videosorveglianza. Abbiamo introdotto il Profilo S per lo streaming video, e poi il Profilo G per lo storage e la gestione dei contenuti. La nostra prima incursione nel mondo del controllo accessi è avvenuta con il Profilo C, basato su funzionalità come il controllo accessi porte, la gestione eventi e allarmi. A luglio abbiamo lanciato il Profilo A che permette alcune funzionalità proprie del sistema di controllo accessi, ottenendo un controllo più ampio, non limitato alla porta. Il Profilo A in qualche modo è imparentato con il Profilo C, che offre funzionalità più avanzate come la gestione delle credenziali,  la pianificazione, la gestione dei diritti di accesso e altre funzioni che generalmente verrebbero gestite da una guardia della sicurezza, alla reception oppure da qualcuno, all’interno delle risorse umane, che non è esperto nella gestione di un sistema di controllo accessi. Significa anche che ONVIF si sta espandendo nel più ampio spazio della sicurezza del controllo accessi, che richiede lo stesso impegno con cui abbiamo operato nel corso dell’attività di standardizzazione del video IP.

Soluzioni end-to-end: ONVIF sostiene questo approccio?

Sì, ONVIF rende possibile quest’approccio, specialmente quando aiuta gli utenti finali a costruire una soluzione end to end con diversi dispositivi che fanno cose differenti e per i quali ONVIF offre un’interfaccia. A meno che non sia proprietaria, nessuno vorrebbe una soluzione end-to-end, se non ci fosse qualche tipo di standardizzazione sia a livello IP o utilizzando i Profili di ONVIF: il Profilo S per lo streaming video, Profilo G per lo storage, Profilo A per il controllo accessi e l’integrazione video, e Profilo Q per una rapida installazione. Molte delle attuali soluzioni end-to-end sono possibili grazie a queste iniziative. Abbiamo oltre 475 membri dell’industria che attivamente spingono quest’approccio, inclusi produttori di telecamere, di storage, vendor del  controllo accessi e provider VMS. Tutti questi gruppi, assieme a system integrators e consulenti, lavorano insieme per guidare questa tendenza. 

Parlando di temi caldi, cosa ne pensa dell’IoT?

L’IoT rimarrà con noi per molto tempo. Quando si parla di IoT, la maggior parte delle persone pensa a dispositivi a livello consumer: un termostato NEST, una telecamera DropCam, etc. Una delle cose più interessanti di queste aziende è che invece stanno cercando di raggiungere un mercato più commerciale e rendere i loro prodotti adatti alle fasce più basse degli spazi retail. Quindi l’IoT, dal punto di vista delle applicazioni commerciali, è davvero ancora un mercato in crescita. Se ci pensiamo, i dispositivi network video o quelli per il controllo accessi sono stati l’IoT ante litteram: in altre parole, dispositivi multipli su un’ampia rete. Man mano che tutto si connette, le sfide da affrontare sono molteplici, perché dobbiamo mettere quei dispositivi al riparo dalle minacce del cyberspazio. Quindi sono convinto che l’IoT sarà una di quelle parole che periodicamente spunterà fuori per poi scomparire, ma il concetto è estremamente forte e rimarrà nel tempo.

Ha citato i cyberattacchi: cosa fa ONVIF a riguardo?

ONVIF per diverso tempo si è focalizzata sulla security e ha standardizzato le API e i metodi che i produttori forniscono ai loro utenti finali per rafforzare le loro reti di sicurezza fisica contro le minacce cyber. Questo fa parte del nostro Profilo Q. Proteggere o rafforzarsi contro le minacce cyber è un processo che coinvolge due parti: tecnologie e politiche. Potete disporre della miglior tecnologia, ma se non si cambiano username e password di default sulle 500 telecamere, vuol dire che si ha una pessima politica che facilita la vita degli hacker. E i più famosi breach nei prodotti come le telecamere per sorvegliare i bambini o i monitor accadono perché gli utenti finali non hanno cambiato proprio username e password. ONVIF per diversi anni ha lavorato a iniziative in questo ambito, ed ora è uscito il Profilo Q. Ma un dispositivo che oggi è al sicuro, magari domani non lo sarà più. Perciò continuiamo a lavorarci. Il mondo negli ultimi cinque anni è cambiato immensamente. Oggi ci sono due tipi di aziende: quelle che sono state attaccate dagli hacker e ne sono consapevoli, e quelle che sono state attaccate dagli hacker ma ancora non lo sanno.

Quale il feedback dei membri alle iniziative di ONVIF?

Molto positivo! Abbiamo membri che contribuiscono attivamente e lavorano agli standard con passione. Forse, il primo fattore con cui misurare questo successo è la loro totale non competitività. Quando ingegneri e software designer si incontrano, lavorano assieme per il bene comune. Il miglior esempio è la nostra “Developers’ Plugfest” che organizziamo ogni sei mesi e dove inviamo i membri a trascorrere una settimana assieme, portando le loro attrezzature per testarne il funzionamento con i dispositivi di altri produttori. Questi eventi sono straordinariamente popolari e li organizziamo in due luoghi diversi all’anno. Dal punto di vista del produttore, sono molto utili e ci danno una base affidabile rispetto a come le attrezzature funzioneranno, senza dover aspettare la fase della produzione vera e propria in azienda. Possiamo permetterci di fare prove con diversi ingegneri e scoprire in quell’occasione punti di forza e debolezze delle tecnologie testate.

 

https://www.onvif.org/



Tutte le interviste