Sicurezza delle IC, cosa cambia nella nuova normalità - guarda la registrazione
E' disponibile la registrazione della tavola rotonda del 27 ottobre organizzata da AXIS Communications con la partecipazione di Corradino Corradi (AIPSA), Gabriele Faggioli (CLUSIT), Corrado Giustozzi (AGID) e Andrea Monteleone (AXIS).
essecome ha intervistato Andrea Monteleone:
La sicurezza delle Infrastrutture Critiche nella nuova normalità: facendo una sintesi dei contenuti della tavola rotonda del 27 ottobre, quali sono i contenuti da appuntare?
Nel corso del dibattito, partendo dal preoccupante trend di crescita dei cyber attacchi, sono emersi spunti molto interessanti relativi a nuove minacce ed esigenze di difesa, grazie alla competenza e all’esperienza dei partecipanti che rappresentavano tutti gli stakeholder della filiera coinvolti, ad oggi, dal punto di vista normativo: regolatore, vendor, system integrator e cliente finale.
Il primo semestre 2020 ha visto, infatti, un’escalation globale dovuta soprattutto al contesto pandemico nel quale attività come didattica a distanza e lavoro da remoto hanno reso ancora più vulnerabili e attaccabili aziende e istituzioni pubbliche. Preoccupano, in particolar modo gli attacchi diretti a realtà del comparto Difesa.
L’attuazione della Direttiva NIS e dell’italiano Perimetro di Sicurezza Cibernetica, attraverso una serie di decreti ministeriali, mirerà a offrire un organico e ambizioso quadro a tutela degli operatori di servizi essenziali: definizione che amplia il tradizionale concetto di “infrastrutture critiche” includendovi settori quali banche, sanità e molti altri, a conferma della mutata consapevolezza del legislatore sul tema. La normativa sconta, purtroppo, tempi inevitabilmente più lenti rispetto alla reale evoluzione delle minacce oltre e un’implementazione delle norme a due velocità tra livello europeo e locale.
Emerge quindi, dalla discussione, la necessità di acquisire, o immettere sul mercato a seconda dell’interlocutore, prodotti, soluzioni e sistemi facilmente adattabili e scalabili, per poter far fronte all’evoluzione delle minacce e garantire sempre un alto livello di sicurezza fisica e logica.
Un altro elemento interessante emerso durante il confronto, per certi versi ancora più critico, è che in Italia la maggior parte del tessuto imprenditoriale è costituito da PMI nelle quali le infrastrutture aziendali sono gestite, quasi sempre, da terze parti. In questo contesto, la consapevolezza del rischio è poca e la gestione della sicurezza viene percepita spesso come un costo. Per questo motivo, anziché investire oculatamente, le problematiche vengono risolte in modo approssimativo senza comprendere a fonde le possibili conseguenze. La conclusione, condivisa, è che accertarsi di poter mantenere i propri sistemi costantemente aggiornati, principalmente dal punto di vista delle patch software e firmware, sia uno, se non il primo, degli elementi da tenere in considerazione.
Il punto d’arrivo su cui tutti i relatori concordano, in vista anche di una rinnovata normalità, è l’urgenza di una massiccia alfabetizzazione digitale dei cittadini e di una sempre più forte attenzione, anche a livello mediatico, verso l’incentivazione delle nuove generazioni a scegliere percorsi formativi e di carriera indirizzati al mondo della cybersecurity, senza dimenticare che gli utenti di oggi sono quelli da rendere immediatamente più edotti.
Qual è la visione di AXIS in proposito e quali supporti offrite al sistema?
La necessità da parte delle aziende di investire in campo security è sempre maggiore, la filiera della sicurezza dovrebbe infatti assumere un ruolo progressivamente sempre più importante.
Un vendor come Axis, che mette a disposizione la tecnologia e considerando che è responsabile in prima istanza della sicurezza, deve proporre al mercato soluzioni e prodotti che siano sicuri by design, in grado di poter dialogare secondo protocolli e modalità standard con tutti gli altri dispositivi, per poter installare quella soluzione ovunque e utilizzarla al massimo delle sue performance, senza inibire il funzionamento di tutto il resto.
L’hardware deve essere il primo baluardo di difesa per il cliente. L’impegno è di rendere le infrastrutture aziendali il più resilienti possibili. Si pone molta attenzione alla provenienza dei componenti, alla tecnologia utilizzata, alle modalità di rilascio e di aggiornamento del software e del firmware a bordo. Si parte da un assessment approfondito di tutta l’infrastruttura aziendale e, a valle di queste valutazioni, vengono poi definite le priorità e di conseguenza gli investimenti. Ma è qualcosa di difficilmente definibile perché tutto va valutato in funzione delle specifiche caratteristiche delle singole aziende.
Un vendor del settore sicurezza come Axis deve quindi dialogare con chi queste soluzioni le progetta, le installa e le gestisce e con chi le utilizza, in modo che tutti siano coinvolti e il feedback e le esigenze che arrivano dal mercato possano essere trasformati in tecnologia da utilizzare e installare. Allo stesso tempo ciò che siamo anche chiamati a fare è fornire al cliente finale ogni strumento possibile anche promuovendo l’educazione al buon uso delle tecnologie, condividendo best practices e informazioni per un utilizzo che sia sicuro - nel senso più ampio del termine - dei prodotti immessi sul mercato. La formazione, intesa come presa di consapevolezza di come si debba usare correttamente la tecnologia, è infatti frutto di un dialogo paritetico tra vendor, installatore, utente e ente di controllo.