La cybersecurity è (ancora) una responsabilità condivisa

Timo Sachse

Questa è una versione aggiornata di un articolo che ho scritto quasi tre anni fa. Il fatto che tutto ciò che ho scritto allora sia ancora rilevante oggi è la prova che la sicurezza informatica deve essere considerata come un percorso in continuo cambiamento in cui non c’è un punto di arrivo.

Il numero di articoli che i miei colleghi hanno scritto sul tema della cybersecurity nel corso di questi anni dimostra che l’evoluzione riguarda non solo i “vettori di attacco” utilizzati dai criminali informatici, ma anche i modi in cui possiamo contrastarli.

Niente di tutto ciò che viene creato dall’uomo è sicuro al 100% – gli errori di programmazione non possono essere evitati completamente – e tutti i processi che dipendono dagli esseri umani sono naturalmente imperfetti, semplicemente perché lo siamo anche noi.

La sicurezza in ambito cyber è una responsabilità condivisa, nessuno degli attori del mercato può combattere la criminalità informatica da solo, ma tutti abbiamo bisogno di lavorare insieme per stare al passo con la crescente sofisticatezza degli attacchi hacker.

Analizziamo le responsabilità delle diverse parti interessate e coinvolte nella “catena” della cybersecurity, che è forte quanto il suo anello più debole:

L’utente

La responsabilità principale dell’utente – persona adibita all’’esecuzione della soluzione – è effettuare gli investimenti appropriati per proteggersi dagli attacchi cyber. Può farlo con una modalità “fai da te”, il che significa che il reparto IT applica le soluzioni in autonomia, o pagando un integratore o un installatore di sistemi informatici incaricandolo di occuparsi della manutenzione. La durata di vita di un sistema è in media di 10-15 anni e pensare che non sia necessario fare nulla per mantenerlo in buone condizioni durante questo lungo periodo è una mossa da imprudenti e ingenui.

L’integratore/installatore di sistemi informatici

Questo soggetto svolge un ruolo essenziale per garantire la sicurezza informatica. L’integratore/installatore deve assicurarsi che tutti i propri dispositivi (laptop, smartphone, ecc.) abbiano eseguito gli ultimi aggiornamenti disponibili in base al proprio sistema operativo e che abbiano installato un antivirus sofisticato.

Le password scelte dovrebbero essere sufficientemente complesse e diverse per ogni cliente e sito web. Occorrerebbe evitare che, come d’abitudine generale, venga utilizzata una password standard per facilitare l’accesso ai dispositivi. L’accesso da remoto ai sistemi dovrebbe essere limitato e tutti i dispositivi collegati al sistema del cliente dovrebbero essere controllati molto attentamente per evitare che si inneschino virus o qualsiasi altro tipo di problema.

La manutenzione del software di videosorveglianza e dell’hardware collegato è un’operazione che ancora oggi viene intrapresa troppo raramente. Una volta installati, questi sistemi in genere vengono aggiornati solo in caso di nuovi dispositivi o se vengono richieste ulteriori funzionalità all’utente.

Senza una manutenzione regolare, la sicurezza informatica diminuirà nel tempo. La probabilità che venga rilevata una vulnerabilità nel sistema, ovvero nel sistema operativo, nel software o nell’hardware, è quasi pari al 100%. Anche se il rischio potrebbe sembrare basso, ogni punto debole noto dovrebbe essere protetto. Nella maggior parte dei casi non è necessario un intervento istantaneo, ma è fortemente consigliato effettuare un aggiornamento biennale a livello di sistema.

È responsabilità dell’integratore/installatore informare i propri clienti su questa procedura, che nel settore della sicurezza non orientato all’IT non è ancora una pratica consolidata.

Il consulente

Un altro ruolo fondamentale è svolto senza dubbio dai consulenti, le persone che indicano i componenti necessari per i sistemi di sicurezza.

I consulenti non solo devono precisare le caratteristiche e le proprietà del prodotto, ma hanno anche la responsabilità di specificare qual è la manutenzione necessaria lungo l’intero ciclo di vita del sistema. In questo modo possono ribadire l’importanza di rinnovare gli aggiornamenti del sistema ed essere anche trasparenti sui costi necessari per mantenerlo.

Tuttavia, in fase di installazione dei dispositivi OEM e ODM è molto difficile garantire questo tipo di manutenzione e la maggior parte dei clienti non acquisterebbe un sistema per il quale la manutenzione è percepita come una scommessa.

Il distributore

Per un semplice distributore, il tema della sicurezza informatica è molto semplice: deve occuparsi solo della logistica e non del prodotto in sé. Tuttavia, i distributori che offrono un valore aggiunto devono considerare gli stessi aspetti degli integratori o degli installatori, come descritto sopra.

Per quei distributori che rivendono anche i cosiddetti dispositivi OEM/ODM, per coloro che acquistano da un produttore e rietichettano i prodotti con un altro marchio (o con il proprio), si applicano regole completamente diverse.

Innanzitutto, la trasparenza è fondamentale: devono far sapere ai loro clienti cosa stanno acquistando. Se questo aspetto manca, il prezzo diventa la variabile principale che andrà ad incideresulla decisione di acquisto del cliente.

I distributori, inoltre, devono anche garantire di fornire aggiornamenti del firmware in caso di vulnerabilità del prodotto del loro fornitore originale. Solitamente, però, una vulnerabilità rilevata nei dispositivi dei primi fornitori non viene risolta in quelli dei loro numerosi partner OEM.

Il produttore

Le responsabilità del produttore in materia di cybersecurity sono semplici da comprendere.

  • Non deve includere aspetti intenzionali come backdoor, password codificate, ecc.

    E deve:

  • Fornire gli strumenti giusti per rendere la gestione informatica di molti dispositivi più semplice ed economica possibile
  • Informare sui rischi e su come evitarli, sia internamente che esternamente
  • Riportare gli aspetti rilevanti nell’Hardening Guide o in altra documentazione
  • Garantire l’uso di meccanismi standard per rendere i dispositivi il più sicuri possibile
  • Informare i partner e il canale sulle vulnerabilità e sui patch disponibili

Il ricercatore

Le vulnerabilità vengono molto spesso scoperte più dai ricercatori che dagli hacker e, in base a ciò che rilevano, decidono i prossimi passi da compiere. Se la vulnerabilità non è intenzionale, contattano il produttore e gli concedono un certo periodo di tempo per correggere la vulnerabilità prima di renderla nota. Ma se si tratta di una vulnerabilità critica di carattere intenzionale, come una backdoor, la rendono pubblica immediatamente per informare gli utenti.

Il cliente

Anche i nostri comportamenti e le nostre azioni possono fare la differenza per tutelare la nostra sicurezza informatica.
Quanto spesso cambiamo la password del nostro router? Quanto sono complesse le nostre password? Ne utilizziamo diverse o inseriamo una password unica e sempre uguale per la maggior parte delle applicazioni e dei servizi online che utilizziamo? La pigrizia degli utenti rappresenta ancora uno dei maggiori vantaggi per gli hacker. Le password semplici da indovinare e quelle che vengono utilizzate per tutti gli accessi fanno correre agli utenti il rischio di subire il furto dei loro account.

Un soggetto da solo non può raggiungere l’obiettivo di rendere e mantenere un sistema sicuro dal punto di vista cyber. Solo nel caso in cui tutte le parti coinvolte si assumono la responsabilità di mantenere i dati al sicuro, riusciremo a combattere la criminalità informatica.

Consulta l’eMagazine di Axis sul tema della Cybersecurity per ulteriori approfondimenti sul tema.

Axis Cybersecurity eMagazine