Phygital Security: quale protezione contro gli attacchi informatici? Risponde Stefano Riboli di Bosch Security Systems

MILANO - Non più solo physical e certamente molto digital: la security è da tempo diventata “Phygital”, con tutto ciò che il digitale porta con sé, a partire dal rischio di hacking. Sono diverse le strategie messe in campo dai produttori del comparto sicurezza per contenere la minaccia di attacchi cyber ai dispositivi posti in commercio, ma è evidente che per mitigare un rischio per sua natura dinamico, variabile e in continuo aggiornamento occorre un “patto di filiera” tra produttori, integratori e utilizzatori finali, che permetta di immaginare una catena di responsabilità trasparenti e condivise.

Su questi temi abbiamo interrogato il mercato, concentrandoci su alcune domande chiave.

Risponde Stefano Riboli, Marketing Manager Security - Bosch Security Systems

- Quali misure ponete in essere “by design” per garantire la sicurezza cyber dei vostri prodotti?

“Implementiamo diverse misure di sicurezza by design nelle telecamere IP, tra le quali: a) il firmware crittografato contiene il signing; b) il firewall integrato (in caso di errori di inserimento password, la modalità “autoriparante” fa continuare i soggetti autorizzati); c) il chip Trusted Platform Module (TPM) all’interno della telecamera protegge le chiavi e i dati più segreti; d) porte e servizi non necessari sono disabilitati; d) l’installatore può abilitare un sigillo alla configurazione che, in caso di modifiche alle impostazioni della telecamera, la stessa può notificare”.

- Quali misure procedurali/formative ponete in essere per istruire il canale (e tramite il canale, la stessa utenza finale) alla sicurezza cyber dei vostri prodotti?

La piattaforma Bosch Security Academy prevede, per la data security, diversi corsi online e in aula con relatore ed esame finale. Durante i corsi, per mezzo del tool di configurazione, è possibile verificare il livello di vulnerabilità della telecamera IP”.

- Se lasciato alla sola iniziativa dell’utente finale, non solo il cambio della password di default, ma anche l’aggiornamento dei firmware può non essere operato in maniera diligente, e quindi esporre i dispositivi a rischi di violazioni. Sarebbe utile prevedere degli aggiornamenti a cadenze “obbligate” (modello PC o smartphone)

“L’aggiornamento di FW e SW sono una delle misure da mettere in atto e dovrebbero essere previsti durante la manutenzione. Un altro tema è la valutazione da parte del produttore del rilascio degli aggiornamenti a seguito della fine di produzione del prodotto. Per Bosch si parla di 5 anni di manutenzione del FW, considerata come una garanzia firmware estesa delle telecamere IP. Per queste attività, in base al rischio, bisognerebbe periodicamente valutare le vulnerabilità e fare test di penetrazione”.

-Ogni produttore vanta le proprie certificazioni: per armonizzare le valutazioni ed elevare la sicurezza cyber (dunque la credibilità) dell’intero comparto, sarebbe utile definire un ente di certificazione unitario cui l’intera industry mondiale possa fare riferimento?

“Un ente certificatore potrebbe essere un’ulteriore garanzia per la clientela, ma è fondamentale che il produttore testi i prodotti facendo riferimento a tutti gli standard di mercato. Nei datasheet dei prodotti, Bosch dichiara le normative di riferimento utilizzate e mette a disposizione un team di esperti PSIRT (Bosch Product Security Incident Response Team) come punto di contatto centrale per ricercatori esterni per la sicurezza, partner e clienti per segnalare informazioni sulla sicurezza relative ai prodotti. La divulgazione responsabile delle vulnerabilità consente di correggerle, informare i clienti sulle correzioni e migliorare continuamente la sicurezza dei prodotti.”

Leggi l'articolo integrale al link https://www.secsolution.com/articolo.asp?id=964