Sicurezza cyber: priorità anche per la sicurezza fisica

della Redazione

La Sicurezza Informatica è un tema sempre più attuale, del quale CIO e/o CSO delle Aziende pubbliche o private devono tenere conto per evitare ingenti perdite derivanti dal bene che, oggi, risulta essere sempre più prezioso: l’informazione. Tutti i sistemi informatici aziendali devono essere progettati e configurati al fine di prevenire al meglio eventuali attacchi esterni di soggetti non autorizzati: i cosiddetti hackers. Il sistema di sicurezza in tutte le sue forme (videosorveglianza, controllo accessi, ecc.) non fa eccezione. Occorre quindi che l’Azienda si doti di procedure di hardening di sistemi atte a mitigare, per quanto possibile, il rischio di intrusioni non autorizzate.

La necessità di mettere in sicurezza (logica) i propri sistemi - anch’essi di sicurezza ma fisica, non è sempre percepita come prioritaria. Quando poi si parla di investimenti, le risposte sono spesso poco entusiastiche...

Risponde Massimo Lommi, Channel Business Manager Northern Italy Milestone Systems Italia

Il rischio di attacchi informatici viene tuttora, fin troppo spesso, percepito come lontano, ma rappresenta una vera priorità. Mettere in sicurezza un sistema da attacchi informatici non è peraltro banale: richiede tempo, competenza, esperienza, strumenti, policy e regole. Vale quindi assolutamente la pena di investire per prevenire la manomissione del sistema o, peggio, il furto di dati. Investire in questo ambito è ancora più importante alla luce delle nuove normative sul GDPR, che fissano con estrema chiarezza le responsabilità (ammende incluse) verso chi non adotta tutti gli strumenti di prevenzione a garanzia del fatto che i dati personali... restino davvero tali.

Nello specifico ed in campo informatico, “con il termine hardening si indica l’insieme di operazioni specifiche di configurazione di un dato sistema informatico che mirano a minimizzare l’impatto di possibili attacchi informatici, migliorandone pertanto la sicurezza complessiva.” (cfr. wikipedia). L’hardening è un processo continuo di identificazione e comprensione dei rischi per la sicurezza e l’adozione di contromisure appropriate per contrastarli. Il processo è dinamico perché le minacce ed i sistemi che esse indirizzano sono in continua evoluzione.

IL RUOLO DELLA SICUREZZA FISICA

Nonostante spesso si associ la minaccia informatica alla sicurezza logica dei sistemi, è importante ricordare che anche la sicurezza fisica è una parte vitale della protezione. Ad esempio, è indispensabile utilizzare barriere fisiche per server e computer client in modo che l’accesso alle macchine che custodiscono preziose informazioni sia il più limitato e controllato possibile. In generale, i passi da seguire per mettere in sicurezza un sistema informatico sono: individuare tutti i componenti da proteggere; documentare e mantenere le impostazioni di sicurezza di ciascun sottosistema; istruire ed investire in risorse umane e competenze, includendo nel processo anche la supply chain; seguire le istruzioni dei produttori per configurare al meglio i dispositivi in ottica di prevenzione degli accessi indesiderati.

PROTEGGERE LA VIDEOSORVEGLIANZA

Nel proteggere un sistema di videosorveglianza, è importante considerare i dispositivi hardware. Ad esempio, le telecamere hanno spesso password predefinite. Alcuni produttori pubblicano queste password online in modo che siano facili da recuperare. Sfortunatamente anche dagli hackers. Per rafforzare i componenti di un sistema, è buona prassi modificare le configurazioni per ridurre il rischio di un attacco riuscito. Gli aggressori cercano l’accesso al sistema attraverso le vulnerabilità delle sue parti. I sistemi di sorveglianza possono includere migliaia di componenti, e la mancata protezione di uno di questi può compromettere l’intero sistema.

COMPETENZE AGGIORNATE

L’hardening richiede anche l’aggiornamento costante delle competenze: a) essere consapevoli delle evoluzioni che riguardano software e hardware, inclusi sistemi operativi, dispositivi mobili, telecamere, dispositivi di archiviazione e dispositivi di rete; b) mantenersi aggiornati sulle “Common Vulnerabilities and Exposures”, descritte in https://cve.mitre.org, per tutti i componenti del sistema; c) rimanere aggiornati sulle knowledge-base del VMS scelto ed esaminare regolarmente i log di sistema per individuare eventuali segni di attività sospette; d) mantenere la configurazione e la documentazione di sistema aggiornate; e) utilizzare procedure di controllo di modifica periodica delle password e degli accessi e seguire le migliori pratiche per la gestione della configurazione.

BUONE PRATICHE

Si indicano di seguito alcune buone pratiche per mettere in sicurezza i vari sottosistemi di sorveglianza, assumendo che il VMS venga eseguito in ambiente Windows.

Server, workstation, client e applicazioni:

a) stabilire obiettivi di sorveglianza e sicurezza;

b) stabilire una politica di sicurezza formale e un piano di risposta;

c) usare utenti Windows con Active Directory;

d) asare Autenticazione Kerberos;

e) usare l’aggiornamento di sistema operativo;

f) mantenere aggiornati il firmware ed il software dei dispositivi;

g) usare la connessione sicura e affidabile delle reti;

h) usare i firewall per limitare l’accesso IP a server e computer;

i) usare l’antivirus su tutti i server e i computer;

l) monitorare i log nel VMS per i segni di attività sospette;

m) stabilire un piano di risposta agli incidenti;

n) utilizzare strumenti per automatizzare o attuare le policy di sicurezza;

o) seguire le migliori pratiche di sicurezza della rete e di sistema operativo.

Dispositivi e rete dati:

a) utilizzare password complesse anziché password predefinite;

b) interrompere servizi e protocolli inutilizzati;

c) creare account utente dedicati su ciascun dispositivo;

d) utilizzare un firewall tra VMS e Internet;

e) collegare la sottorete della telecamera solo alla sottorete del server di registrazione;

f) utilizzare SNMP per monitorare gli eventi;

g) utilizzare protocolli wireless sicuri e solo se necessario;

h) usare controllo accessi “port based”;

i) eseguire il VMS su una rete dedicata.

Server:

a) utilizzare i controlli di accesso fisici e monitorare la stanza del server;

b) utilizzare canali di comunicazione crittografati;

c) eseguire servizi con account di servizio;

d) eseguire componenti su server (virtuali o fisici) dedicati;

e) limitare l’uso di supporti rimovibili su computer e server;

f) utilizzare account di amministratore individuali per un controllo migliore;

g) utilizzare sotto-reti o VLAN per limitare l’accesso al server;

h) configurare il server mobile in una “zona demilitarizzata” (DMZ) con un’unica interfaccia di rete per l’accesso pubblico ed una per comunicazioni private ad altri server.

In funzione, poi, dell’architettura dello specifico VMS e di quali e quanti servizi esso è costituito, possono definirsi ulteriori “best practices” da applicare a ciascun sottosistema.

Client:

a) usare utenti Windows con Active Directory;

b) limitare le autorizzazioni per gli utenti client;

c) eseguire sempre i client su hardware affidabile su reti affidabili;

d) limitare l’accesso fisico a qualsiasi computer che esegue il programma Client;

e) utilizzare sempre una connessione sicura per impostazione predefinita;

f) attivare l’autorizzazione all’accesso;

g) non memorizzare le password;

h) attivare solo le funzionalità client richieste;

i) usare nomi separati per gli account utente;

l) proibire l’uso di supporti rimovibili.

Nel caso di altri tipi di client (tipicamente per dispositivi mobili o incorporati in internet browser), ulteriori buone pratiche possono essere definite.