La sicurezza informatica è una responsabilità condivisa

Timo Sachse

Tutti concordano sull’importanza della sicurezza informatica. Si tratta però di un processo in divenire.

Niente che sia stato creato dall’uomo è mai sicuro al 100%: le backdoor intenzionali sono frutto di scarsa progettazione e rivelano una significativa mancanza di comprensione delle basi per garantire un mondo sicuro dal punto di vista informatico. Inoltre, gli errori di programmazione non possono essere completamente evitati.

La sicurezza informatica è una responsabilità condivisa dal momento che nessuno degli attori del mercato può affrontare da solo la criminalità informatica. Abbiamo tutti bisogno di lavorare insieme per ottenere la massima protezione per le nostre reti e i nostri dispositivi.

Diamo uno sguardo alle responsabilità delle diverse parti interessate:

 

L’utente

La responsabilità principale dell’utente è pagare per misure di sicurezza informatica. Questo può essere fatto sia in modo “fai da te”, con il dipartimento IT che applica autonomamente le riparazioni, sia pagando un integratore/installatore per occuparsi della manutenzione.

La durata di vita di un sistema è facilmente di 10-15 anni. Ipotizzare che non sia necessario fare nulla per mantenere il sistema in buona forma non è una pratica lungimirante.

L’integratore / installatore

Questi interlocutori ricoprono un ruolo essenziale nel gioco informatico. L’integratore/installatore deve assicurarsi che tutti i propri apparecchi – laptop, dispositivi mobili, ecc. – siano dotati degli ultimi aggiornamenti del sistema operativo e devono servirsi di un sofisticato scanner antivirus. Le password selezionate devono essere sufficientemente complesse e specifiche, almeno per cliente e sito. Bisogna evitare l’abitudine generale di utilizzare un’unica password uguale per semplificare l’utilizzo dei vari dispositivi. L’accesso remoto alle installazioni dovrebbe essere limitato e tutti gli apparecchi collegati al sistema del cliente dovrebbero essere controllati molto attentamente per verificare la presenza di virus ed evitare qualsiasi tipo di infezione.

Una cosa che oggi viene fatta molto raramente è la manutenzione del software di videosorveglianza e dell’hardware collegato. Una volta installati, questi sistemi vengono generalmente aggiornati solo se si aggiungono altri dispositivi o se l’utente richiede qualche funzionalità aggiuntiva.

Senza manutenzione la sicurezza informatica probabilmente si indebolirà nel tempo. C’è una probabilità quasi del 100% che un punto debole venga trovato all’interno del sistema, vale a dire il sistema operativo, il software o l’hardware. Anche se il rischio sembra basso, ogni vulnerabilità nota dovrebbe essere corretta. Nella maggior parte dei casi non è necessaria un’applicazione istantanea della correzione, ma è fortemente raccomandato un aggiornamento semestrale di tutto il sistema.

È responsabilità dell’integratore informare i propri clienti su questa procedura, che non è particolarmente conosciuta al di fuori della cerchia di addetti ai lavori.

 

Il consulente

Un’altra componente essenziale è il lavoro dei consulenti, che individuano e suggeriscono i componenti che devono entrare a far parte di un sistema di sicurezza.

Essi non solo devono specificare le giuste caratteristiche e proprietà del prodotto ma hanno anche la responsabilità di indicare la necessità di fare manutenzione per tutta la durata di vita del sistema. In questo modo possono sottolineare l’importanza di mantenere il sistema aggiornato e essere al contempo trasparenti sui costi potenziali per poterlo fare.

Tuttavia nel contesto dei dispositivi OEM/ODM installati è molto difficile garantire questo aspetto della manutenzione e la maggior parte dei clienti non comprerebbe un sistema per il quale la manutenzione è un gioco d’azzardo.

 

Il distributore

Per un distributore puro, il tema della sicurezza informatica è molto semplice. Si limitano a gestire la logistica e non toccano il prodotto stesso.

Tuttavia, i distributori che vogliono fornire un valore aggiunto devono tenere presenti le indicazioni degli integratori o degli installatori visti sopra.

Per quei distributori che rivendono anche i cosiddetti dispositivi OEM/ODM, dispositivi che acquistano da un produttore e rietichettano sotto un altro marchio, o sotto il proprio, si applicano regole completamente diverse.

In primo luogo, la trasparenza è fondamentale: devono far sì che i clienti sappiano cosa stanno comprando. In mancanza di tale trasparenza, il fattore che influenza maggiormente la decisione d’acquisto del cliente è solitamente il prezzo.

I distributori devono inoltre garantire la fornitura di aggiornamenti del firmware in caso di vulnerabilità ereditate dal fornitore originale. Si è visto che, comunemente, una debolezza rilevata nei dispositivi dei fornitori originali non è, in genere, corretta nei dispositivi dei loro numerosi partner OEM.

 

Il produttore

Le responsabilità dei produttori sono relativamente semplici:

  • Non includere elementi o vulnerabilità intenzionali, come backdoor, password con codice rigido, ecc…
  • Fornire gli strumenti giusti per rendere la gestione informatica dei dispositivi il più semplice e accessibile possibile.
  • Educare gli altri sui rischi e su come evitarli, sia internamente che esternamente.
  • Tenere a mente gli aspetti rilevanti delle guide di hardening o di altre documentazioni.
  • Consentire l’uso di meccanismi standard per rendere i dispositivi più sicuri possibile.
  • Informare i partner e la filiera sulle vulnerabilità e sulle patch disponibili.

 

Il ricercatore

Le vulnerabilità sono spesso scoperte dai ricercatori e non dagli hacker. In base al tipo di debolezza, questi ricercatori decidono i passi successivi da compiere. Se la vulnerabilità non è intenzionale, contattano i produttori e danno loro un certo tempo per risolvere la vulnerabilità prima di renderla nota. Se invece si tratta di una vulnerabilità critica e di carattere intenzionale, come una backdoor, la dichiarano pubblicamente allo scopo di sensibilizzare gli utenti di quegli stessi prodotti.

 

Il consumatore

Anche il nostro comportamento è un aspetto chiave per lo sviluppo di una mentalità matura dal punto di vista informatica. Con quale frequenza cambiamo la password del router? Quanto sono complesse le nostre password? Usiamo password diverse o una password generale per la maggior parte delle applicazioni?

Il comportamento pigro degli utenti è ancora uno dei maggiori vantaggi per gli hacker. Le password semplici da indovinare e quelle che vengono utilizzate in tutti i login mettono i consumatori a rischio di vedersi sottrarre i propri account.

Uno stakeholder da solo non può compiere la missione di rendere e mantenere un sistema sicuro dal punto di vista informatico. Solo facendo in modo che tutte le parti interessate si assumano la responsabilità di mantenere la sicurezza dei dati avremo successo nella lotta alla criminalità e nel potenziamento della cybersecurity su tutti i livelli.

Sei interessato a ulteriori prospettive sulla sicurezza informatica? Leggi gli ultimi post del blog Secure Insights sull’argomento.

 

Partecipa alla tavola rotonda Sicurezza delle infrastrutture critiche, cosa cambia nella nuova normalità? di Axis Communications martedì 27 Ottobre 2020 alle ore 14.30:

Iscriviti

 

Scopri l’approccio di Axis alla Cybersecurity:

3 Livelli di Sicurezza Informatica

 

 

Questo articolo è stato originariamente pubblicato in lingua inglese sul blog globale Secure Insight.