Il caso Verkada lo ha mostrato molto chiaramente: la sicurezza fisica e quella cyber sono un tutt’uno.
Verkada è una startup della Silicon Valley che fornisce servizi di telecamere di sicurezza cloud-based, che ha subito una grave violazione. Gli hacker hanno ottenuto l’accesso a oltre 150.000 telecamere della società, comprese quelle nelle fabbriche e nei magazzini Tesla, le palestre Equinox, ospedali, carceri, scuole, stazioni di polizia, e potremmo continuare. La responsabilità della violazione è di un collettivo internazionale di hacker che voleva mostrare quanto fosse facile violare le telecamere di sicurezza.
Di questo ne abbiamo parlato con Christian Morin, lead strategist per i servizi cloud di Genetec, azienda specializzata in soluzioni di sicurezza basate su tecnologia IP.
La violazione di Verkada può essere considerato un caso preoccupante?
Premesso che nessuno è immune al 100% ai breach, la notizia del caso Verkada mi ha scioccato. Loro sono una cloud company, ma un fatto del genere poteva accadere a chiunque perché il problema è stato di governance e di controllo. Oggigiorno è impensabile avere dei super user che possano avere accesso a tutto: bisogna compartimentalizzare, come nei sottomarini, così se c’è un danno è limitato. In Verkada invece avevano un compartimento unico, e il breach ha travolto tutto.
Le aziende non devono fornire accessi privilegiati a tutti. Questi account devono essere pochi e assolutamente necessari. Non come in Verkada dove username e password erano presenti in uno script, e i criminali sono riusciti ad impossessarsi delle credenziali senza fatica.
Insomma, ci sono state moltissime piccole cose che non sono state implementate e che insieme hanno creato un grande fallimento. Ma è molto importante non prendere la sicurezza alla leggera: ogni piccola cosa è importante.
Come si possono contrastare i criminali informatici?
I gruppi hacker sono delle imprese. I loro affari sono illegittimi, ma si tratta pur sempre di imprese che come tali ricercano il profitto. Gli hacker non spenderanno 101 dollari per rubarvene 100: lo faranno solo se riescono ad ottenere un profitto. Spesso quindi è sufficiente rendere loro la vita abbastanza difficile per scoraggiarli e convincerli a desistere. Quindi noi dobbiamo fare questo: rendere la loro vita il più difficile possibile.
Quali sono i primi passi da compiere per progettare una sicurezza efficace?
Prima di tutto non bisogna pensare che sicurezza fisica e sicurezza cyber siano due questioni separate; è importante che il team IT parli costantemente con i responsabili della sicurezza. Ad esempio, ad alcune aziende è successo che bruciasse un server: anche questo è un incidente di sicurezza, ed è un data breach. I dati possono essere rubati, ma anche distrutti, corrotti o modificati.
Questo dimostra come la sicurezza sia un problema di tutta l’organizzazione, ogni persona deve fare la propria parte, così come ciascuno si preoccupa di chiudere a casa la porta di casa propria quando esce, o di vestirsi in maniera appropriata quando fuori fa freddo.
Cosa bisognerebbe fare quindi?
Bisogna iniziare ad entrare nell’ottica che user name e password da sole sono inutili: serve l’autenticazione multifattore, o addirittura dei dispositivi specifici per accedere ai computer e alle altre periferiche aziendali. Le password devono sparire.
Servono inoltre soluzioni tecnologiche all’avanguardia con sistemi basati sull’intelligenza artificiale e machine learning.
Poi, naturalmente, bisogna tenere sempre bene a mente che una volta implementato il sistema di sicurezza non ci può considerare completamente al sicuro. Servono aggiornamenti. Noi rivediamo le nostre policy tutti gli anni; non sempre le cambiamo, ma facciamo una valutazione, anche sulla base delle cose che sono successe nei 12 mesi precedenti.
Servono quindi in azienda figure specializzate?
Il panorama delle minacce cambia molto velocemente, e quindi bisogna aggiornarsi sempre. E’ sempre più necessario avere almeno una persona che si occupi solo della sicurezza. Purtroppo però molte medie imprese ritengono che non ne valga la pena, che sia troppo costoso, ma rischiano molto grosso.
Come gli incidenti di sicurezza capitati ad altri possono essere utili?
Un qualsiasi incidente impone una revisione delle policy. Anche se l’incidente è capitato ad altri: ogni volta che avviene qualcosa di straordinario o veramente massivo, con il team di sicurezza è bene analizzare il breach e domandarsi: cosa accadrebbe se capitasse a noi?
La prevenzione è molto importante, ma è la detection l’ultima linea di difesa. Già riuscire ad identificare un breach entro 6 mesi riduce significativamente le perdite. Ci sono molti software che producono alerts, in continuazione: serve una piattaforma che li raccolga e degli analisti che li trasformino in insight. La detection è la chiave, per poter dare delle risposte efficaci: un compromise email attack in poche ore può avere conseguenze irrilevanti, ma se dovesse qualche mese può causare danni incalcolabili.
Cosa fare quando ci si rende conto di aver installato dei dispositivi non sicuri?
Bisogna sostituirli, immediatamente. Naturalmente può volerci molto tempo, anche qualche mese se non addirittura un paio di anni. Quindi bisogna immediatamente stendere un piano dettagliato per la sostituzione, e una strategia da adottare nel frattempo. E’ necessario cercare si isolarli al massimo dal resto della rete, se si tratta di videocamere ad esempio risulta opportuno cercare di limitarne l’uso allo stretto necessario.
Quindi dobbiamo avere paura della connettività?
Assolutamente no, al contrario: accoglietela a braccia aperte!
È sufficiente seguire tutte le best practice e fare le cose per bene. E ricordare sempre che la sicurezza non è una cosa da prendere alla leggera.
