lunedì, 20 settembre 2021

News

Business & People

Phygital security: quale protezione contro gli attacchi informatici? Risponde Francesco Panarelli di Hikvision Italy

28/07/2021

MILANO - Non più solo physical e certamente molto digital: la security è da tempo diventata “Phygital”, con tutto ciò che il digitale porta con sé, a partire dal rischio di hacking. Sono diverse le strategie messe in campo dai produttori del comparto sicurezza per contenere la minaccia di attacchi cyber ai dispositivi posti in commercio, ma è evidente che per mitigare un rischio per sua natura dinamico, variabile e in continuo aggiornamento occorre un “patto di filiera” tra produttori, integratori e utilizzatori finali, che permetta di immaginare una catena di responsabilità trasparenti e condivise.

Su questi temi abbiamo interrogato il mercato, concentrandoci su alcune domande chiave.

Risponde Francesco Panarelli, Key Accounts & Business Development Director - Hikvision Italy.

- Quali misure ponete in essere “by design” per garantire la sicurezza cyber dei vostri prodotti?

"I prodotti Hikvision soddisfano i più alti standard di sicurezza riconosciuti a livello internazionale da diverse certificazioni (FIPS 140-2, CC con garanzia EAL2+, ISO 27001, ISO 9001:2008, ISO 28000, CMMI Livello 5). Hikvision aderisce ad CVE, è Numbering Authority ed offre diversi strumenti di sicurezza: crittografia, strumenti di trasporto sicuri sulla rete (es. HTTPS), certificati e credenziali di accesso, codici univoci di sicurezza per ogni singolo device, programmabili solo dall’utente/utilizzatore. Anche se non impostate adeguatamente, le telecamere Hikvision non inviano immagini a server remoti e Hikvision Italy non offre soluzioni “Cloud  storage” che prevederebbero l’invio di flussi ad uno storage condiviso e raggiungibile tramite una connessione a un Cloud proprietario". 

- Quali misure procedurali/formative ponete in essere per istruire il canale (e tramite il canale, la stessa utenza finale) alla sicurezza cyber dei vostri prodotti?

"Hikvision Italy ha pronto un programma di formazione da “interiorizzare” e calare sulla realtà italiana, in particolare gli installatori". 

- Se lasciato alla sola iniziativa dell’utente finale, non solo il cambio della password di default, ma anche l’aggiornamento dei firmware può non essere operato in maniera diligente, e quindi esporre i dispositivi a rischi di violazioni. Sarebbe utile prevedere degli aggiornamenti a cadenze “obbligate” (modello PC o smartphone)?

"Per mitigare un rischio dinamico come la sicurezza informatica, occorre che gli apparati vengano mantenuti aggiornati. La protezione dagli attacchi cyber può essere implementata solo grazie alla cooperazione fra Vendor, System Integrator ed End-User. Sarebbe auspicabile che, partendo dal responsabile della protezione dei dati e cioè l’End-User, diventasse prassi richiedere al manutentore di includere fra i servizi offerti anche l’aggiornamento degli apparati, in modo sistematico e rigoroso. Anche l’automazione degli aggiornamenti è un tema interessante, ma, proprio per una concezione di sicurezza dei sistemi, occorre ricordare che soprattutto in applicazioni tradizionali non sono concessi accessi verso internet per i componenti. Isolando gli apparati si ha una protezione maggiore, ma si impediscono aggiornamenti “push” (tipici dei device personali sempre connessi)."

- Ogni produttore vanta le proprie certificazioni: per armonizzare le valutazioni ed eleva[1]re la sicurezza cyber (dunque la credibilità) dell’intero comparto, sarebbe utile definire un ente di certificazione unitario cui l’intera industry mondiale possa fare riferimento?

 "Ad oggi nessuno può certificare un prodotto come “cyber-sicuro”, in quanto l’assenza di vulnerabilità oggi, non esclude la presenza di una vulnerabilità domani. Sarebbe però auspicabile la nascita di un ente che si occupasse almeno della definizione di un percorso di sviluppo e produzione capace di rispettare determinati parametri, che definisse i processi e gli step obbligati per poter considerare un prodotto sufficientemente sicuro da necessitare il “solo” mantenimento dei livelli di sicurezza raggiungibili con il rilascio regolare di FW."

 

 



Tutte le news