Cybersecurity: bilanciare disponibilità e sicurezza

di Jonathan Lewit - Chair of ONVIF Communication Committee www.onvif.org

Sicurezza nella fornitura energetica, accesso alla rete elettrica e sicurezza antincendio sono solo alcuni dei servizi in rete che diamo per scontati ed ai quali quotidianamente ci affidiamo. Ogni secondo, ogni giorno, ci sono sensori che digitalizzano il mondo reale, creando informazioni e trasportandole attraverso diverse reti ed interfacce ad una sempre più vasta platea di pubblico. Se è acclarata la funzione e soprattutto l’utilità di questi processi, dal nostro osservatorio della sicurezza fisica la condivisione delle informazioni e la loro trasmissione solleva tuttavia dei temi che non possiamo non affrontare: cosa accade alle informazioni all’interno di queste organizzazioni? Quali sono i rischi legati all’aumento delle comunicazioni al loro interno e al loro esterno, che la collettività corre quotidianamente nel nome dell’utilità?  

In un mondo in cui la praticità e la disponibilità continua possono fare la fortuna o la disgrazia di un’azienda, la disponibilità di informazioni e la connettività “always-on” sono concetti destinati a rimanere. Così come la Rivoluzione Industriale ha portato innovazioni cruciali e nuove sfide, questa Rivoluzione dell’Informazione sta rivoluzionando i paradigmi. L’esplosione della domanda di accesso mobile all’informazione e le sempre maggiori opportunità di interconnettività sono un fatto inconfutabile, a casa come in azienda. Oggi possiamo usare le informazioni legate alla security per rispondere a domande quali: quanto sono efficienti le nostre tratte di consegna? Quale telecamera ha notato il ragazzo con la maglietta rossa? Quello che si vede alla porta è l’uomo delle consegne di UPS? Ma l’interconnettività e la grande disponibilità di dati rappresentano anche un alto rischio per le organizzazioni che si preoccupano delle minacce alla sicurezza delle loro informazioni. La fame di informazioni sulle quali basare decisioni e azioni sta guidando la proliferazione dell’uso di big data, analitica video, storage sul cloud e Internet of Things, aumentando i profili di rischio e la possibilità di attacchi cyber.

ONVIF E CYBER

La missione di ONVIF è quella di stabilire un’interfaccia di comunicazione comune a tutti i dispositivi di sicurezza e i clienti di ogni ambito della sicurezza, trasversalmente, coinvolgendo sistemi e vendor. ONVIF non definisce delle politiche di sicurezza, ma le misure di cybersecurity testate dall’industria possono essere incluse nell’interfaccia comune creata da ONVIF. Fra queste si annovera la Certificate Based Client Authentication, Keystores e TLS Servers. Si possono poi incoraggiare delle best practise (dall’obbligo di cambiare la password di default in su). ONVIF e altri enti di standardizzazione possono aiutare a garantire e utilizzare la sicurezza in tempo reale, includendo queste misure di cyber security nei propri Profili e standard. La creazione di un’interfaccia di comunicazione comune da parte di ONVIF ed altre organizzazioni che si dedicano alla standardizzazione aiuta a sensibilizzare il pubblico rispetto alle potenzialità degli standard in questo ambito e permette ai produttori di investire una tantum su questo approccio, piuttosto che sviluppare sempre nuovi prodotti proprietari e interfacce uniche da integrare con altri dispositivi. Gli usi per le città sicure/smart e i sistemi Internet of Things aiutano ad accelerare l’accettazione dell’interoperabilità. Si prevede che nei prossimi tre anni circa 50 miliardi di dispositivi IoT saranno connessi ad una rete, e tutti avranno necessità di un qualche livello di interoperabilità. Se la sicurezza dell’informazione è una preoccupazione, quel numero vi sembrerà incredibilmente alto. La buona notizia è che si prevede che il budget destinato alla sicurezza dell’IoT aumenti di pari passo nei prossimi tre anni. E ci sono alcuni cambiamenti che nel frattempo l’industria può realizzare proattivamente.

MISURE DI SICUREZZA

Ricordatevi che un unico dispositivo o prodotto non può essere a prova di cyber attacchi se è connesso a una rete non sicura o a una rete con altri dispositivi vulnerabili. Le persone, i prodotti e i processi, tutti assieme, possono dare sicurezza, ma se non disponete di una buona prassi di cyber security, per ognuno di questi elementi non otterrete la totale sicurezza. I produttori di sicurezza fisica possono usare la tecnologia encryption per favorire la robustezza dei dispositivi IoT. Possono vendere prodotti con settaggi di default che richiedono agli utenti di cambiare la password di default al momento dell’installazione oppure che obbligano a cambiamenti periodici della password. È anche opportuno capire se alcuni setting su dispositivi debbano essere blindati per proteggere i clienti, ad esempio rendendo l’encryption parte dei settaggi di fabbricazione, aumentando la possibilità che l’encryption rimanga attiva sul dispositivo. Gli utenti finali ed i system integrator hanno anch’essi le loro responsabilità. Circa il 95% degli attacchi alla security oggi sono causati da password troppo semplici o mancanza di politiche organizzative della gestione della password. Eppure ci vogliono solo pochi secondi per scegliere una password semplice e facile da ricordare.

IN CONCLUSIONE

Come accade per molte cose, occorre bilanciare disponibilità delle informazioni e messa in sicurezza dell’accesso a tali informazioni. Ogni utente finale e system integrator deve trovare il giusto equilibrio fra disponibilità dei dati e loro protezione, prendendo in considerazione anche i costi. Un’autenticazione dell’utente più forte, il monitoraggio degli eventi, l’attività di log in, l’encryption dei dati e altri tipi di controllo tipici della rete IT possono fare molto per la cyber security. Utilizzare standard come quelli offerti da ONVIF potrebbe essere la chiave per ottenere il meglio da entrambi i mondi: la capacità di condividere informazioni con altri dispositivi utilizzando comunicazioni standardizzate e protette dall’encryption.