La mia tecnologia di sicurezza è attrezzata anche contro gli attacchi informatici?

I sistemi di sicurezza fisica devono essere sicuri, anche in termini di minacce informatiche. Per questo motivo l'Associazione SES ha risposto con una nuova guida. 

Edi Lehmann e Roger Hiestand, Gruppo di lavoro sulla sicurezza informatica dell'Associazione svizzera degli installatori di sistemi di sicurezza (SES): Il costante cambiamento della tecnologia e la trasformazione digitale devono essere presi in considerazione anche nel nostro settore. Nella tecnologia degli edifici, le varie attività, come il controllo degli accessi, la videosorveglianza, l'antifurto o la protezione antincendio, sono collegate in rete attraverso un sistema di gestione. Pertanto, la sicurezza fisica deve soddisfare anche i requisiti di sicurezza informatica. Per questo motivo, l'Associazione SES, o meglio il gruppo di lavoro incaricato di questo compito, ha iniziato qualche tempo fa a sviluppare una nuova linea guida sulla sicurezza informatica. Il documento è un aiuto per gli integratori di sistemi di tecnologia di sicurezza, ma non per un centro dati complesso. Il documento, piccolo e maneggevole, mostra in modo semplice e comprensibile come le misure tecniche e organizzative possano rendere i sistemi di sicurezza adeguati alla sicurezza informatica.

La guida non approfondisce le tecniche di sicurezza individuali. Perché? 

L'obiettivo principale è quello di sensibilizzare il settore. Abbiamo già raggiunto un primo obiettivo quando sia il fornitore di tecnologie di sicurezza che il progettista e, in ultima analisi, l'utente si chiedono innanzitutto cosa deve essere protetto e come. Il passo successivo è la segmentazione della rete: le transizioni risultanti dei singoli mestieri tecnologici dell'edificio consentono di controllare le connessioni e di evitarle in modo efficiente (vedi figura "Segmentazione della rete"). Infine, è necessario proteggere l'endpoint, ad esempio la telecamera di videosorveglianza o il sistema di allarme antincendio stesso. Non è più sufficiente lavorare solo con il software antivirus.

Quali aree delle singole tecnologie di sicurezza sono più avanti in termini di sicurezza informatica? 

Negli ultimi anni c'è stata una grande sensibilizzazione nel settore video, ma anche nelle piattaforme di gestione. In pratica, tutti coloro che da tempo sono passati dall'analogico al digitale hanno intrapreso questa strada. Perché con questo, la protezione contro gli attacchi informatici diventa logicamente rilevante. Oggi tutti gli integratori di sistemi di sicurezza dovrebbero occuparsi di questo argomento, perché le loro soluzioni sono quasi sempre integrate in una rete.

L'associazione SES non avrebbe dovuto sollevare il problema prima? 

Meglio tardi che mai! Non è così grave che l'associazione abbia aspettato. La sicurezza informatica è un argomento più giovane e la consapevolezza su di esso non è ancora così grande. Spesso viene ancora trascurato con l'osservazione "non siamo interessanti per gli hacker". Tuttavia, i criminali informatici non agiscono sempre in modo mirato, ma diffondono malware in modo indiscriminato. I vari casi recentemente resi pubblici evidenziano chiaramente il problema. Anche il settore della sicurezza deve prestare maggiore attenzione a questo aspetto e progettare le proprie soluzioni di conseguenza.

La fusione di tecnologie informatiche e di sicurezza è una grande sfida, dice la guida. Cosa significa questo per il singolo installatore di sistemi di sicurezza? 

Le reti classiche di un tempo non esistono più. In passato si diceva "mai toccare un sistema in funzione". Oggi è vero il contrario: se non si interviene sui sistemi esistenti, la situazione può diventare molto critica. Perché senza la gestione delle patch (correzione di un programma) e degli aggiornamenti, che il produttore di tecnologie di sicurezza deve offrire, non è più possibile. In passato si trattava di sistemi isolati, non integrati in una rete aziendale.

Ma con il networking - la superficie di attacco per gli hacker diventa inevitabilmente più ampia - la situazione è cambiata radicalmente e qualsiasi falla nella sicurezza deve essere rapidamente corretta. Anche la tecnologia di sicurezza, ovvero la tecnologia operativa (OT), deve essere in grado di garantirlo.

Un altro punto è importante: la diversa durata di vita delle tecnologie informatiche (IT) e delle tecnologie di sicurezza. L'informatica è in rapida evoluzione e viene rinnovata regolarmente. La durata della tecnologia di sicurezza, invece, è più lunga. L'integratore di sistema deve tenerne conto, perché la sua tecnologia di sicurezza deve essere ancora in grado di comunicare in modo sicuro con l'IT quando quest'ultimo viene aggiornato.

La questione della responsabilità non è un argomento delle Linee guida SES. Perché? 

Come già detto, l'installatore dei sistemi di sicurezza dovrebbe fornire automaticamente all'utente le patch per colmare rapidamente le lacune di sicurezza. Tuttavia, per quanto riguarda la responsabilità, le nuove linee guida del SES affermano subito: "La base

La responsabilità dell'autoprotezione spetta alle rispettive aziende e organizzazioni". Il rischio è quindi fondamentalmente a carico del gestore di un impianto. Non desideriamo commentare ulteriormente la questione della responsabilità nelle linee guida.

La sicurezza informatica è inclusa nei contratti di manutenzione?

Il settore della sicurezza deve ancora recuperare terreno e le questioni di sicurezza informatica dovrebbero essere sempre più regolamentate nei contratti di manutenzione. Si tratta di un'opportunità soprattutto per le aziende di installazione più piccole, che possono offrire ai loro clienti opzioni di manutenzione adeguate, che rafforzano la fedeltà dei clienti.

Vorremmo sottolineare che un tecnico di un fornitore di sicurezza oggi deve avere un grande know-how nell'area delle reti, perché deve anche essere in grado di mantenere un sistema per quanto riguarda la sicurezza informatica.

C'è sempre una tensione tra sicurezza, comfort e costi. Cosa si può dire della questione costi-benefici?

È come per la sicurezza fisica: ogni azienda stabilisce requisiti di sicurezza diversi a seconda della propria attività. Ogni dirigente d'azienda può calcolare da solo quanto gli costa al giorno la paralisi dell'azienda o anche solo di alcune sue parti.

La sicurezza informatica riguarda aspetti organizzativi e tecnici. La misura in cui un'azienda deve "aggiornarsi" per prevenire gli attacchi informatici dovrebbe essere discussa congiuntamente da utenti, progettisti e produttori. Un livello di sicurezza migliore di solito costa di più.

Ogni tecnologia di sicurezza al giorno d'oggi non dovrebbe essere testata o certificata per quanto riguarda la sicurezza informatica?

In teoria, sarebbe una buona cosa. L'ordinanza sulla protezione antincendio prevede requisiti assicurativi e di polizia antincendio. Ma tali regolamenti non sono noti nel campo della sicurezza informatica. Inoltre, se un'autorità di controllo dovesse testare un sistema di sicurezza informatica oggi e trovarlo buono, tale certificato di prova sarebbe probabilmente superato in breve tempo. Nella protezione antincendio, le ispezioni del sistema vengono effettuate annualmente. Nel campo della sicurezza informatica, gli intervalli sarebbero molto più brevi, con conseguente aumento dei costi. Tuttavia, sarebbe ipotizzabile che la tecnologia di sicurezza venga testata o certificata per l'aspetto della sicurezza informatica in fase di progettazione.

Sicurezza informatica nella struttura SES

L'Associazione degli Installatori Svizzeri di Sistemi di Sicurezza, o SES in breve, è suddivisa nei due settori "Incendio" e "Sicurezza". Nell'organigramma del SES, la sicurezza informatica si trova ora al di sopra della sicurezza e della tecnologia antincendio. Attualmente è costituito da un gruppo di lavoro dell'associazione con i quattro membri Edi Lehmann, Roger Hiestand, Patrik Kamber e Christian Sigrist. La modifica dell'organigramma deve ancora essere approvata dall'Assemblea generale del SES il 9 giugno 2020. Solo allora la nuova Commissione per la sicurezza informatica esisterà ufficialmente all'interno dell'Associazione SES.

Info: www.sicher-ses.ch