Non più solo physical e certamente molto digital: la security come la conoscevamo una volta è da tempo diventata “Phygital”, con tutto ciò che il digitale porta con sé - a partire dal rischio di hacking.
Sono diverse le strategie messe in campo dai produttori del comparto sicurezza per contenere la minaccia di attacchi cyber ai dispositivi in commercio, ma è evidente che per mitigare un rischio per sua natura dinamico, variabile e in continuo aggiornamento occorre un “patto di filiera” tra produttori, integratori ed utilizzatori finali che permetta di immaginare una catena di responsabilità trasparente e condivisa. Le stesse certificazioni non possono assicurare che un prodotto sia cyber security-proof.
L’importanza di avere enti esterni istituzionali che certifichino standard di sicurezza informatica creerebbe un riferimento per l’intero comparto per definire punti chiave dai quali non si può prescindere.
Senza dubbio è essenziale mantenere aggiornati gli apparati in una logica di automazione come è già prassi per PC, tablet e smartphone. Su questi ed altri temi abbiamo interrogato il mercato, concentrandoci su quattro domande chiave. Intervista a Giampiero Miceli - Direttore Commerciale di Bettini Srl.
1- Quali misure ponete in essere “by design” per garantire la sicurezza cyber dei vostri prodotti?
La sicurezza informatica dei dispositivi si basa sia su caratteristiche dei prodotti stessi (cifratura dei dati, profilazione accessi, mancanza di password di default, possibilità di disabilitare servizi non utilizzati...) che su procedure di controllo atte a garantire che l’intero pacchetto firmware sia sempre allineato con le soluzioni delle vulnerabilità più recentemente individuate e risolte. Penetration test interni sono eseguiti frequentemente in un processo consolidato.
2- Quali misure procedurali/formative ponete in essere per istruire il canale (e tramite il canale, la stessa utenza finale) alla sicurezza cyber dei vostri prodotti?
Negli ultimi anni abbiamo adottato un nuovo modo di diffondere la cultura aziendale abituandoci ad interagire attraverso strumenti digitali. Formazione e informazione online e non per noi sono oggi validi canali comunicativi. Questi incontri trattano temi che spaziano dagli aspetti normativi a quelli tecnici, formativi e commerciali e si rivolgono a tutti coloro che appartengono al mercato della sicurezza: installatori, progettisti e vigilanze fino agli utenti finali.
3- Se lasciato alla sola iniziativa dell’utente finale, non solo il cambio della password di default, ma anche l’aggiornamento dei firmware può non essere operato in maniera diligente esponendo così i dispositivi a rischi. Sarebbe utile prevedere degli aggiornamenti a cadenze “obbligate”?
Essendo i firmware e i software degli apparati GAMS sviluppati direttamente da noi, ci preoccupiamo tramite campagne di sensibilizzazione verso il tema della sicurezza cyber di coinvolgere installatori ed end user in attività di aggiornamento sia dal punto di vista tecnico che normativo. Crediamo sia più utile questa attività formativa rispetto ad un automatismo.
4- Ogni produttore vanta le proprie certificazioni: per armonizzare le valutazioni ed elevare la sicurezza cyber (dunque la credibilità) dell’intero comparto, sarebbe utile definire un ente di certificazione unitario cui l’intera industry mondiale possa fare riferimento?
Pensiamo che sia necessario avere regole e procedure certe. Il fai da te, pur essendo encomiabile, spesso nasce dall’impegno del singolo e non da processi normati a beneficio del mercato.
