I consulenti e gli specialisti che progettano e implementano soluzioni di sorveglianza e sicurezza per l’industria e le infrastrutture critiche devono affrontare pressioni uniche. La protezione fisica di tali “entità essenziali” (come la normativa sempre più spesso si riferisce ad esse) è ovviamente fondamentale, ma oggi queste devono anche affrontare la necessità di supportare la protezione dagli attacchi nel mondo digitale. Inoltre, se si vuole mantenere la conformità, tutti i membri della catena del valore si trovano a dover navigare in un ambiente normativo in continua evoluzione. La cybersecurity è, dopotutto, una responsabilità condivisa da tutti coloro che sono coinvolti nella progettazione, individuazione delle specifiche, fornitura e utilizzo di una soluzione di sorveglianza. Esploriamo qui alcuni dei problemi.

Un mondo in cui quasi ogni industria è critica

L’interruzione dei servizi essenziali di una nazione, quali l’approvvigionamento di energia e acqua, la fornitura di assistenza sanitaria, l’interferenza con la produzione e altro ancora, sono stati nel corso della storia gli obiettivi strategici degli aggressori durante i conflitti.

Prima dell’era digitale, ovviamente, gli attacchi erano esclusivamente fisici. Ma l’impiego universale delle tecnologie connesse in tutti gli ambiti della vita, negli ultimi decenni ha creato per i malintenzionati l’opportunità di utilizzare mezzi sia fisici che digitali per interrompere i servizi essenziali per la società.

Non è un segreto che gli attacchi informatici stiano crescendo di numero e di sofisticatezza e che vengano intrapresi da una gamma sempre più ampia di aggressori. Che si tratti di hacker per hobby, di criminali informatici ben organizzati alla ricerca di compensi finanziari o di attori sostenuti da uno Stato che cercano di minare la società di un rivale, gli attacchi informatici si presentano in numerose forme e da più fonti.

A causa della natura altamente interconnessa delle catene di approvvigionamento globali, è cresciuta anche l’ampiezza di quei settori industriali ora definiti come entità essenziali. Solo due o tre anni fa, molte persone non avrebbero considerato critica la produzione e la fornitura di semiconduttori. Ma i problemi di fornitura durante la pandemia hanno dimostrato quanto i chip siano essenziali per diversi – se non per la maggior parte – dei processi industriali moderni.

L'”effetto farfalla”, in cui una piccola interruzione in un sistema può avere un impatto importante in un altro in futuro, si è dimostrato essere reale per la catena di fornitura tecnologica integrata a livello globale.

La sfida della cybersecurity per gli organi di regolamentazione

Vista la natura dinamica e mutevole del mondo della cybersecurity, i governi e le autorità di regolamentazione stanno ovviamente lottando per tenere il passo. La loro reazione è sempre più spesso quella di cambiare il modo in cui regolano, dando sempre maggiore importanza alla cybersecurity.

In generale, piuttosto che definire ciò che i fornitori di servizi essenziali devono implementare circa la sicurezza informatica, la tendenza nell’ambito della regolamentazione è quella di attribuire ai fornitori l’onere di dimostrare di possedere le caratteristiche necessarie per rimanere al sicuro.

Questo cambiamento ha gravi implicazioni non solo per i fornitori stessi, ma per qualsiasi soggetto che fornisca competenze e soluzioni all’interno della catena di approvvigionamento delle entità essenziali. L’intera catena del valore, a monte e a valle, sarà sotto esame.

NIS2 come esempio dell’evoluzione del contesto normativo

Le normative sulla sicurezza informatica differiscono in tutto il mondo. Dal NIST Cybersecurity Framework negli Stati Uniti al Cyber Resilience Act proposto nell’UE, le autorità di regolamentazione regionali e nazionali stanno definendo quello che considerano l’approccio più efficace per proteggere i servizi essenziali dagli attacchi informatici.

La direttiva NIS2, entrata in vigore nel Gennaio di quest’anno, con gli Stati membri dell’UE che hanno tempo fino all’Ottobre 2024 per recepirla, fornisce un utile esempio per evidenziare le implicazioni della nuova regolamentazione per le entità essenziali.

NIS2 è una risposta all’evoluzione del panorama delle minacce, mira a migliorare il livello generale di cybersecurity nell’UE e colma le lacune riscontrate nella direttiva NIS originale. La direttiva mira a creare “una cultura della sicurezza in tutti i settori che sono vitali per la nostra economia e società e che dipendono fortemente dalle tecnologie dell’informazione e della comunicazione (TIC), come l’energia, i trasporti, l’acqua, le banche, le infrastrutture del mercato finanziario, la sanità e le infrastrutture digitali”.

È un chiaro esempio del riconoscimento, da parte delle autorità di regolamentazione, di quanto ogni settore sia diventato dipendente dalla tecnologia e di come eventuali vulnerabilità vengano costantemente ricercate e sfruttate dai criminali informatici.

Ai sensi della direttiva, gli Stati membri dell’UE identificheranno le imprese e le organizzazioni che sono operatori di servizi essenziali e tali organizzazioni dovranno adottare misure di sicurezza adeguate e notificare alle autorità nazionali competenti eventuali gravi incidenti di cybersecurity.

Inoltre, anche i principali fornitori di servizi digitali, come i servizi di cloud computing, dovranno rispettare i requisiti di sicurezza e notifica previsti dalla direttiva. L’estensione al di là dei fornitori di servizi essenziali e verso l’intera catena di approvvigionamento tecnologico è evidente.

Soluzioni di sorveglianza come parte della catena del valore delle entità essenziali

Come accennato, la tutela dei servizi essenziali è sempre stata una priorità. Le misure fisiche, recinzioni perimetrali, controllo degli accessi e guardie di sicurezza, sono state migliorate attraverso la tecnologia, con soluzioni di videosorveglianza avanzate operanti in ogni struttura di servizio essenziale. La natura sempre più connessa di queste soluzioni ha però posto anche esse in prima linea per gli attacchi informatici e sotto il controllo della regolamentazione in evoluzione.

Architetti, ingegneri e consulenti che progettano e specificano soluzioni di sorveglianza hanno significative responsabilità. Garantire che le soluzioni di sorveglianza siano progettate non solo per i requisiti di sicurezza fisica e informatica di oggi, ma che si adattino alle sfide in evoluzione è essenziale per mantenere la conformità normativa.

Ciò richiede un “pensiero di sistema”. I consulenti devono vedere la soluzione di sicurezza nel suo complesso piuttosto che una selezione di dispositivi separati e considerare le relazioni tra l’hardware e il software della soluzione stessa, insieme alla sua integrazione nell’infrastruttura più ampia del fornitore di servizi essenziali. La progettazione, l’implementazione, l’integrazione e la manutenzione della soluzione svolgono tutti un ruolo essenziale nella sicurezza informatica e un riconoscimento del fatto che qualsiasi soluzione si evolverà nel tempo. Una soluzione che rimane statica alla fine sarà esposta a vulnerabilità.

Le implicazioni per i progettisti di soluzioni di sorveglianza

Coloro che progettano e specificano soluzioni hanno l’obbligo di considerare i principali rischi posti dall’offerta tecnica che raccomandano. Mentre l’obiettivo principale delle soluzioni dovrebbe essere quello di soddisfare i requisiti operativi, anche le disposizioni in materia di IT e sicurezza informatica risultano ora essenziali. Le specifiche odierne devono essere allineate a normative come la direttiva NIS2 per supportare la conformità di un’organizzazione.

Pertanto, i consulenti devono essere certi che i prodotti di qualsiasi fornitore soddisfino le politiche di sicurezza del singolo cliente, comprese tutte le normative pertinenti applicabili all’organizzazione del cliente. È essenziale intraprendere un’adeguata due diligence nell’approccio all’approccio alla cybersecurity di qualsiasi fornitore che stanno raccomandando.

I consulenti devono anche cercare di specificare politiche e processi per i fornitori di tecnologia che raccomandano, nonché le caratteristiche tecniche che forniscono. Funzionalità come secure boot, il firmware firmato, i componenti di sicurezza che consentono l’identificazione automatica e sicura dei dispositivi e un TPM (Trusted Platform Module) risolvono i rischi posti oggi e dovrebbero essere specificati.

Le specifiche dovrebbero includere anche importanti certificazioni di terze parti, come la ISO27001, policy di vulnerabilità, avvisi di sicurezza e un modello di sviluppo della sicurezza chiaramente definito.

Infine, dovrebbe essere incluso un approccio alla gestione del ciclo di vita del sistema. L’uso di management tools di dispositivi e soluzioni e una strategia firmware documentata mitigano il futuro rischio di un attacco e salvaguardano i clienti nel tempo. Queste funzionalità consentono ai clienti di utilizzare il proprio sistema e i propri dispositivi nel modo più sicuro possibile durante l’intero ciclo di vita.

Insieme, queste politiche e processi dimostrano la maturità della sicurezza informatica di un’organizzazione e la sua capacità di adattarsi al panorama delle minacce in evoluzione.

Cambiare ruolo in un ambiente che muta

Per ogni nazione, l’importanza di ridurre al minimo la potenziale interruzione dei servizi essenziali è evidente e non può essere sopravvalutata. Come minimo, l’interruzione porterà quasi immediatamente a un impatto economico. Ciò può rapidamente trasformarsi in problemi sociali significativi e in potenziali rischi per la salute e la vita umana.

Da qualunque parte provenga la minaccia, la tutela dei servizi essenziali e degli enti che li erogano è quindi vitale. Ciò è stato anche riconosciuto dalle autorità di regolamentazione di tutto il mondo, che le minacce siano di natura fisica o digitale.

Tuttavia, hanno anche riconosciuto che le minacce derivanti dagli attacchi informatici si stanno evolvendo così rapidamente che qualsiasi tentativo di definire misure di sicurezza informatica sarà obsoleto prima della loro pubblicazione. Pertanto, l’approccio normativo è cambiato, richiedendo ai fornitori di servizi essenziali di dimostrare di disporre della tecnologia, dei processi e delle risorse per affrontare il panorama delle minacce.

L’effetto è che chiunque sia coinvolto nella catena del valore delle entità essenziali deve rispondere a questa sfida, compresi coloro che progettano e specificano soluzioni di sorveglianza. Mitigare i rischi delle minacce informatiche è una responsabilità condivisa. Sebbene le nostre attività dipendano da questo, le conseguenze per la società potrebbero essere molto maggiori.

Maggiori informazioni sul nostro approccio alla sicurezza informatica, sulle risorse e sulle linee guida sulle best practice qui.

Cybersecurity