I consulenti e gli specialisti che progettano e implementano soluzioni di sorveglianza e sicurezza per l'industria e le infrastrutture critiche si trovano ad affrontare pressioni straordinarie. La protezione fisica di queste "entità essenziali" (come le normative le definiscono sempre più spesso) è ovviamente fondamentale, ma oggi è anche necessaria la protezione dagli attacchi in ambito digitale.
Inoltre, per mantenere la conformità, tutti i componenti della catena del valore devono destreggiarsi in un ambiente normativo in continua evoluzione. Infatti, la cybersecurity è una responsabilità condivisa da tutti coloro che sono coinvolti nella progettazione, specificazione, fornitura e utilizzo di una soluzione di sorveglianza. In questo articolo esploriamo alcuni degli aspetti.
Un mondo in cui quasi tutti i settori sono critici
Colpire i servizi essenziali di una nazione, come le forniture di energia elettrica e di acqua, l'erogazione di servizi sanitari, l'attività produttiva e altro ancora, è da sempre l'obiettivo dell'aggressore nel contesto di un conflitto.
Prima dell'era digitale, ovviamente, gli attacchi erano esclusivamente fisici. Ma l'impiego diffuso negli ultimi decenni delle tecnologie connesse in tutti gli ambiti della vita ha creato l'opportunità per i malintenzionati di utilizzare sia mezzi fisici che digitali per colpire i servizi essenziali per la società.
Non è una novità che gli attacchi informatici stiano diventando sempre più numerosi e sofisticati e che vengano sferrati da una più ampia varietà di aggressori. Che si tratti di hacker amatoriali in cerca del loro quarto d'ora di gloria, di criminali informatici ben organizzati che agiscono a fini estorsivi o di aggressori appoggiati da stati che cercano di colpire la società di un avversario, gli attacchi informatici possono assumere varie forme e provenire da fonti diverse.
L'alto livello di interconnessione delle catene di fornitura globali ha fatto sì che si allargasse l'ambito di quei settori industriali ora definiti come entità essenziali. Solo due o tre anni fa molti non avrebbero considerato critica la produzione e la fornitura di semiconduttori. Ma i problemi di approvvigionamento durante la pandemia hanno dimostrato quanto i chip siano essenziali per molti, se non per la maggior parte dei moderni processi industriali.
L'effetto "farfalla", in cui un piccolo problema in un sistema può avere un grande impatto su un altro in futuro, si è rivelato fondato per la supply chain tecnologica integrata a livello globale.
Le autorità di regolamentazione si trovano ad affrontare le sfide della cybersecurity
In un contesto in cui la cybersecurity è in rapida e continua evoluzione non sorprende che governi e autorità di regolamentazione stiano faticando a tenersi al passo. Sempre più spesso, la loro risposta è quella di modificare il modo in cui regolamentano la sicurezza informatica.
A grandi linee, invece di stabilire cosa è necessario che i fornitori di servizi essenziali implementino in relazione alla sicurezza informatica, la tendenza della regolamentazione è quella di trasferire ai fornitori l'onere di dimostrare di disporre delle misure necessarie per mantenere la sicurezza informatica.
Il cambiamento in atto ha gravi implicazioni non solo per i fornitori, ma anche per chiunque fornisca expertise e soluzioni all'interno della supply chain dell'entità essenziale. Sarà sottoposta a vaglio l'intera catena del valore, a monte e a valle.
La direttiva NIS2 come esempio dell'evoluzione del contesto normativo
Le normative sulla sicurezza informatica differiscono a seconda dei paesi. Dal NIST Cybersecurity Framework negli Stati Uniti alla proposta di Cyber Resilience Act nell'UE, le autorità di regolamentazione regionali e nazionali stanno definendo ciò che considerano l'approccio più efficace per proteggere i servizi essenziali dagli attacchi informatici.
La direttiva NIS2, entrata in vigore a gennaio di quest'anno, con gli Stati membri dell'UE che hanno tempo fino a ottobre 2024 per recepirla, è un esempio utile per evidenziare le implicazioni della nuova normativa per le entità essenziali.
La direttiva NIS2 è una risposta al mutevole panorama delle minacce, mira a migliorare il livello complessivo di sicurezza informatica nell'UE e colma le lacune della direttiva NIS originaria. La direttiva mira a creare "una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle TIC, come l'energia, i trasporti, l'acqua, le infrastrutture bancarie, dei mercati finanziari, l'assistenza sanitaria e le infrastrutture digitali".
È chiaramente un esempio del riconoscimento da parte delle autorità di regolamentazione di quanto ogni settore sia diventato dipendente dalla tecnologia e di come i criminali informatici approfittino costantemente di qualsiasi vulnerabilità.
La direttiva stabilisce che gli Stati membri dell'UE identifichino le imprese e le organizzazioni che erogano servizi essenziali e che tali organizzazioni adottino misure di sicurezza appropriate e comunichino alle autorità nazionali competenti qualsiasi incidente grave di sicurezza informatica.
Inoltre, anche i principali fornitori di servizi digitali, come i servizi di cloud computing, dovranno rispettare gli obblighi di sicurezza e comunicazione previsti dalla direttiva. È chiaro come venga esteso l'ambito di applicazione all'intera catena di fornitura tecnologica, al di là dei fornitori di servizi essenziali.
Le soluzioni di sorveglianza come parte della catena del valore dell'entità essenziale
Come già accennato, la protezione dei servizi essenziali è sempre stata una priorità. Le misure fisiche - recinzioni perimetrali, controllo degli accessi e guardie di sicurezza - sono state migliorate grazie alla tecnologia, con soluzioni avanzate di video sorveglianza implementate in ogni struttura dei servizi essenziali. A causa del livello di interconnessione sempre maggiore che le caratterizza, queste soluzioni sono ovviamente le più esposte agli attacchi informatici e per questo sono sotto la lente della nuova normativa.
Gli architetti, gli ingegneri e i consulenti che progettano e definiscono le specifiche delle soluzioni di sorveglianza hanno una grande responsabilità. Garantire che le soluzioni di sorveglianza siano progettate non solo affinché rispettino i requisiti fisici e di sicurezza informatica di oggi, ma anche perché si adattino alle mutevoli sfide è essenziale per mantenere la conformità normativa.
Questo richiede un "pensiero sistemico". I consulenti devono considerare la soluzione di sicurezza nel suo complesso, piuttosto che una serie di dispositivi separati, e tenere conto delle relazioni tra l'hardware e il software della soluzione stessa, insieme alla sua integrazione nell'infrastruttura complessiva del fornitore di servizi essenziali. La progettazione, l'implementazione, l'integrazione e la manutenzione delle soluzioni svolgono tutte un ruolo essenziale nella sicurezza informatica e devono considerare l'evoluzione nel tempo di qualsiasi soluzione. Una soluzione che resta statica sarà, prima o poi, esposta a vulnerabilità.
Quale approccio adottano i progettisti di soluzioni di sorveglianza in tale mutevole contesto?
Chi progetta e definisce le specifiche delle soluzioni ha l'obbligo di considerare i potenziali rischi generali posti dall'offerta tecnica che propone. Sebbene il focus delle soluzioni debba essere principalmente rivolto a soddisfare i requisiti operativi definiti, ora è anche essenziale osservare le disposizioni in materia di informatica e di cybersecurity. Oggi le specifiche devono essere allineate a normative come la direttiva NIS2 affinché la conformità di un'organizzazione sia rispettata.
Pertanto, i consulenti devono essere certi che i prodotti di qualsiasi fornitore soddisfino le politiche di sicurezza del singolo cliente, incluse tutte le normative pertinenti applicabili all'organizzazione di tale cliente. Nel proporre un fornitore, è essenziale condurre un'adeguata due diligence dell'approccio alla cybersecurity adottato da tale fornitore.
I consulenti devono anche cercare di definire politiche e processi per i fornitori di tecnologia che propongono, nonché le funzionalità tecniche fornite. Funzionalità come Secure Boot, il firmware firmato, i componenti di sicurezza che abilitano l'identificazione automatica e sicura dei dispositivi e un Trusted Platform Module (TPM) affrontano i rischi che si presentano oggi e devono essere specificati.
Le specifiche devono anche includere importanti certificazioni di terze parti, come ISO27001, nonché politiche di vulnerabilità, avvisi di sicurezza e un modello di sviluppo della sicurezza chiaramente definito.
Infine, è necessario contemplare un approccio alla gestione del ciclo di vita. L'uso di strumenti di gestione di dispositivi e soluzioni e una strategia firmware documentata mitiga il rischio di attacchi e protegge i clienti in futuro. Queste funzionalità consentono ai clienti di utilizzare il loro sistema e i loro dispositivi nel modo più sicuro possibile per l'intero ciclo di vita.
Insieme, queste politiche e questi processi dimostrano la maturità della sicurezza informatica di un'organizzazione e la sua capacità di adattarsi al mutevole panorama delle minacce.
Ruoli che cambiano per rispondere alle nuove sfide della sicurezza informatica
Per ogni nazione, l'importanza di ridurre al minimo le potenziali interruzioni dei servizi essenziali è ovvia e non può essere sottovalutata. L'interruzione avrà, nel migliore dei casi, un impatto economico quasi immediato. Tuttavia, può rapidamente evolvere fino a causare problemi sociali significativi e diventare un potenziale rischio per la salute e la vita umana.
Indipendentemente da dove provenga la minaccia, la protezione dei servizi essenziali e delle entità che li forniscono è quindi fondamentale. Le autorità di regolamentazione di tutto il mondo hanno riconosciuto questa necessità e il fatto che le minacce hanno una natura sia fisica che digitale.
Tuttavia, hanno anche riconosciuto che le minacce derivanti dagli attacchi informatici si evolvono così rapidamente che qualsiasi tentativo di definire misure di sicurezza informatica risulterà obsoleto prima della loro attuazione. Pertanto, l'approccio normativo è cambiato e obbliga i fornitori di servizi essenziali a dimostrare di disporre della tecnologia, dei processi e delle risorse necessarie per far fronte alle minacce.
L'effetto è che chiunque sia coinvolto nella catena del valore dell'entità essenziale deve rispondere a questa sfida, compresi coloro che progettano e definiscono le specifiche delle soluzioni di sorveglianza. La mitigazione dei rischi di minacce informatiche è una responsabilità condivisa. Se a essere esposte sono le nostre imprese, le conseguenze per la società potrebbero essere molto maggiori.
