Phygital Security: quale protezione contro gli attacchi informatici? Risponde Walter Pizzen di CBC Europe

MILANO - Non più solo physical e certamente molto digital: la security è da tempo diventata “Phygital”, con tutto ciò che il digitale porta con sé, a partire dal rischio di hacking. Sono diverse le strategie messe in campo dai produttori del comparto sicurezza per contenere la minaccia di attacchi cyber ai dispositivi posti in commercio, ma è evidente che per mitigare un rischio per sua natura dinamico, variabile e in continuo aggiornamento occorre un “patto di filiera” tra produttori, integratori e utilizzatori finali, che permetta di immaginare una catena di responsabilità trasparenti e condivise.

Su questi temi abbiamo interrogato il mercato, ponendo alcune domande chiave.

Risponde Walter Pizzen Electronic Division Director–CBC Europe.

- Quali misure ponete in essere “by design” per garantire la sicurezza cyber dei vostri prodotti?

"Da anni GANZ ha rimosso e bloccato i servizi P2P in tutte le telecamere che vengono sviluppate con firmware chiusi e stabili, testati ed approvati nei nostri uffici europei. I nostri videoregistratori vengono forniti con funzioni P2P e DDNS disabilitati."

- Quali misure procedurali/formative ponete in essere per istruire il canale (e tramite il canale, la stessa utenza finale) alla sicurezza cyber dei vostri prodotti? 

"La password deve essere impostata al primo avvio ed i servizi di sicurezza sono tutti abilitati di default. Sono i clienti a dover scegliere che grado di sicurezza adottare, in base alla sensibilità dell’impianto, disabilitando le protezioni e non viceversa. Capiamo la comodità di assicurarsi prodotti plug&play ma, da tempo, abbiamo scelto di non servire quel mercato che preferisce effettuare configurazioni rapide, a scapito della sicurezza dei dati".

- Se lasciato alla sola iniziativa dell’utente finale, non solo il cambio della password di default, ma anche l’aggiornamento dei firmware può non essere operato in maniera diligente, e quindi esporre i dispositivi a rischi di violazioni. Sarebbe utile prevedere degli aggiornamenti a cadenze “obbligate” (modello PC o smartphone)?

"Spinti da un servizio della televisione di stato, oggi non si parla d’altro che di cybersecurity. Siamo sicuri che vogliamo rendere i nostri prodotti vulnerabili esponendoli, ad esempio, ad aggiornamenti automatici, soltanto per seguire la corrente del momento? Per noi la sicurezza dei dati deve essere la priorità e gli impianti devono essere manutenuti da operatori professionali. Vendiamo sicurezza e non smartphone! Viviamo in un paese in cui si chiudono i recinti dopo che il bestiame è scappato e, per tamponare, vorremmo inserire burocrazia invece che risolvere i probemi".

- Ogni produttore vanta le proprie certificazioni: per armonizzare le valutazioni ed elevare la sicurezza cyber (dunque la credibilità) dell’intero comparto, sarebbe utile definire un ente di certificazione unitario cui l’intera industry mondiale possa fare riferimento?

"Ritengo che il nostro settore abbia già gli strumenti per affrontare questo tipo di problematica, ma la scelta sia stata quella di “voltarsi dall’altra parte”. Non credo che possa servire aggiungere un nuovo organismo, mentre far rispettare le regole già esistenti sì! Potrebbe essere una bella novità…"

Leggi l'articolo integrale al link: https://www.secsolution.com/articolo.asp?id=964