12.06.2020 Prodotti

Conciliare la cibersicurezza con un prodotto rappresenta spesso una fatica di Ercole

La sicurezza per design e sul dispositivo rappresenta la chiave per un futuro sicuro. Datensicherheit.de in un'intervista con Tomáš Vystavěl, responsabile della produzione presso 2N

Autore: Carsten Pinnow

Nella pratica la cibersicurezza viene dimostrata dalla protezione di dispositivi, sistemi, reti e programmi contro attacchi digitali. Questi attacchi di solito sono concepiti per accedere a, modificare, distruggere o interrompere il flusso di informazioni sensibili o processi aziendali normali.

L’attuazione di pratiche efficaci, non solo contro minacce alla rete ma anche alla sicurezza, è davvero una sfida importante. Per saperne di più sull'impegno in termini di cibersicurezza, oggi mi trovo a parlare con Tomáš Vystavěl, responsabile della produzione presso 2N, sviluppatore europeo e produttore di citofoni IP e tecnologia per sistemi di accesso. Le sue soluzioni sono dotate di strati multipli di protezione che coinvolgono tutti i prodotti e tutte le applicazioni, il design e il test, la privacy GDPR per design e il controllo degli accessi.

"Tutti i componenti 2N formano insieme una difesa efficace. Un punto debole in un singolo prodotto può mettere in pericolo l'intero sistema; ecco perché è cruciale concentrarsi sulla sicurezza di ciascun livello e di ciascuna applicazione. I nostri dispositivi basati su IP sono i componenti chiave delle soluzioni di controllo delle porte e degli accessi. Per assicurare qui la cibersicurezza, 2N si concentra sulla sicurezza fisica. All'inizio dello sviluppo della nuova apparecchiatura, la sicurezza gode di un'elevata priorità ed è integrata nel design fin dal principio", spiega Vystavěl.

"Quindi per noi il primo passo verso la cibersicurezza è la sicurezza fisica dei prodotti. In aggiunta ai materiali rinforzati, un interruttore antimanomissione integrato (ottico o meccanico) contribuisce ad impedire l'accesso non autorizzato al prodotto. Fondamentalmente si può fare affidamento sui seguenti aspetti: la sicurezza integrata non è una novità; la comunicazione sicura è la spina dorsale della sicurezza IT e bisogna prestarle la massima attenzione, soprattutto nelle zone in cui sono conservati dati sensibili. I dati dei clienti nelle aziende, pertanto, sono protetti dalle funzioni e dai protocolli integrati nei dispositivi - ad esempio attraverso una combinazione di meccanismi. La criptazione dei dati HTTPS è utilizzata per la connessione tra browser web e server. Si impedisce la violazione della porta anche mediante una connessione da punto a punto utilizzando il protocollo 802.1X. In questa maniera si evita l'accesso non autorizzato alla porta LAN. I messaggi SIP sono criptati utilizzando un protocollo specifico che impedisce così attacchi di tipo man-in-the-middle o perfino il furto dell'identità. I dati vocali sono criptati utilizzando un altro protocollo".

Il Responsabile di produzione di 2N ci ha anche fornito informazioni sulle password:

"I nostri sistemi sono dotati del controllo delle password. Questa funzione ci assicura che l'amministratore ha provveduto a cambiare le informazioni di accesso dopo il primo accesso e che la nuova password è abbastanza forte. In caso di password 'deboli' il sistema fornisce un feedback diretto. Le password quindi sono memorizzate in forma criptata e gli hacker non hanno la possibilità di ottenere le informazioni di accesso dalla configurazione. I livelli diversi dei permessi per l'utente limitano l'accesso solo ai diritti di cui si ha realmente necessità".

Un punto debole è spesso rappresentato dagli aggiornamenti: in che modo assicurate che i vostri clienti lavorino sempre con la versione più recente?

"L’aspetto interessante a riguardo è che la soluzione software IP di 2N sviluppata internamente è utilizzata dalla maggior parte dei prodotti. Questo assicura che i prodotti siano in grado di eseguire tutte le funzioni in modo ottimale. Tutte le interfacce relative alla sicurezza sono quindi nelle nostre mani. I prodotti rimanenti funzionano sia su Android che su una soluzione software basata su Linux".

"Per aggiornare questi dispositivi l'amministratore riceve anche un messaggio sull’eventuale disponibilità di un nuovo patch. In origine era stato previsto di non coinvolgere l'utente in questo processo e di effettuare gli aggiornamenti a livello centrale in azienda; questa però non è sempre la scelta preferibile. L'aggiornamento è un processo continuo e gli aggiornamenti importanti sono offerti ogni quattro mesi. Gli aggiornamenti sono gratuiti per tutti i clienti. Per rendere tutto questo possibile, circa il 15% del profitto annuale è investito nello sviluppo. Se la tecnologia lo consente, anche i dispositivi vecchi sono aggiornati. Oltre a questa pagina, viene proposto anche un supporto tecnico completo. Si potrebbe pensare che – poiché molti utenti non sono preparati dal punto di vista tecnico – forse sarebbe meglio lasciare il prodotto così com’è una volta effettuata l’installazione; questo però non è l'approccio giusto. I prodotti collegati a internet richiedono sempre il firmware più recente. È dunque fondamentale procedere con un approccio del tipo 'rendiamo l'aggiornamento una cosa semplice'".

Fruibilità e sicurezza si escludono a vicenda?

"L'app 2N® Mobile Key e i nostri lettori Bluetooth consentono agli utenti di entrare negli edifici utilizzando solo il telefono cellulare. Questo vuol dire che le credenziali mobili devono essere protette contro eventuali abusi. Abbiamo adottato speciali misure di sicurezza anche in questo campo. La criptazione è eseguita al livello più elevato possibile. La comunicazione Bluetooth è possibile mediante l’apposito canale in modo separato per lo scambio della chiave e per la successiva comunicazione. Il periodo di validità del codice di accoppiamento iniziale può essere definito dall'amministratore del sistema e inizia a partire da un valore di dieci minuti. La portata della distanza massima per la comunicazione Bluetooth con i dispositivi può anche essere impostata singolarmente, a partire da soli 50 centimetri. L'autenticazione multi-fattore richiede agli utenti di combinare le loro credenziali Bluetooth con altri tipi di credenziali, come chip RFID o un codice PIN mediante tastiera in-app. Se si perde lo smartphone, gli amministratori possono cancellare rapidamente i diritti di accesso attraverso l'interfaccia web del lettore o Access Commander; ed entrambi sono criptati", spiega il responsabile della produzione di 2N.

Come funziona la manutenzione in remoto presso 2N?

"Grazie a My2N noi mettiamo a disposizione una piattoforma cloud affidabile. Essa abilita gli amministratori a gestire in remoto i siti dell'installazione e i prodotti e servizi 2N, consentendo così di risparmiare sui costi legati alla manutenzione sul posto e ai viaggi. 2N® Mobile Video è il servizio più importante offerto mediante la piattaforma My2N."

Dati biometrici come "chiavi" per entrare negli edifici: ma come la mettiamo con la sicurezza?

"Il lettore di impronte digitali utilizza i dettagli minuti e le caratteristiche principali di un'impronta digitale. Questi elementi sono filtrati e salvati come chiave biometrica criptata o rappresentazione matematica. Il modulo lettore di impronte digitale utilizza solo una serie di numeri sotto forma di codice binario. L'impronta digitale non viene salvata in nessun momento. Questo tipo di algoritmo non può essere riconvertito in un'immagine dell'impronta digitale. Ed è importante ricordare che nessun altro tipo di dato personale è utilizzato o trattato quando il prodotto è in uso.

Inoltre, i moduli e gli scanner per le impronte digitali contengono una tecnologia antifrode. Questa tecnologia blocca in modo efficace i tentativi di ingannare il sistema utilizzando impronte digitali false create con carta, lattice, silicone, gomma o gelatina. Questa apparecchiatura "Green Label" è utilizzata in molti settori: settore bancario, istruzione e programmi governativi. La precisione e la sicurezza sono essenziali in queste applicazioni. Presso la 2N, ad esempio, ci concentriamo su misure di sicurezza esaustive relativamente al controllo degli accessi e alla sicurezza dei dati nel campo IoT, sicurezza degli edifici e protezione dati", conclude Tomáš Vystavěl illustrando il proprio impegno per la sicurezza.