Tino Canegrati, Managing Director HP Italia, evidenzia come sia fondamentale per il settore pubblico effettuare investimenti che pongano al centro la cyber-resilienza.
Oggi i dispositivi endpoint sono diventati la prima linea del campo di battaglia della sicurezza informatica. Naturalmente, tutti i sistemi IT devono affrontare minacce sempre più diffuse. Tuttavia, la sicurezza è particolarmente problematica per i PC, le stampanti, gli smartphone e i dispositivi IoT emergenti che connettono sempre più strettamente il mondo fisico con quello digitale. Le organizzazioni del settore pubblico sono ben consapevoli dei pericoli associati al fatto di essere bersagliate da organizzazioni criminali ben finanziate, e persino da Stati, che cercano di accedere ai dati o di compromettere le infrastrutture. Le minacce possono andare da attacchi altamente mirati contro dipartimenti governativi a tentativi indiscriminati di interrompere i servizi di organizzazioni commerciali e pubbliche.
Un esempio di alto profilo è l’attacco WannaCry dello scorso anno, che ha paralizzato circa 300.000 sistemi informatici in tutto il mondo. Il worm ha compromesso gravemente il servizio sanitario nazionale del Regno Unito, causando l’annullamento di 19.000 appuntamenti clinici.
Acquisto di dispositivi endpoint nel settore pubblico: una decisione di sicurezza
I governi di tutto il mondo senza dubbio possono trarre vantaggio da competenze di alto livello nel campo della sicurezza informatica. L’Italia con le Misure minime di sicurezza ICT per la Pubblica Amministrazione di Agid, il DPCM Gentiloni e nuova strategia nazionale Cybersecurity ha sicuramente migliorato notevolmente il suo assetto di governance per le questioni cyber con una particolare attenzione al settore pubblico. Tuttavia, secondo uno studio di IDC, la sicurezza non è sempre un fattore chiave nelle decisioni di acquisto dei dispositivi endpoint nel settore pubblico.
L’acquisto di questi dispositivi è una decisione di sicurezza. Tuttavia, la ricerca di IDC suggerisce una tendenza tra i responsabili degli acquisti nel settore pubblico a considerarli come semplici merci, senza chiedersi se dispongano o meno di caratteristiche di sicurezza integrate.
In uno studio commissionato da HP, IDC ha valutato 130 bandi di gare d’appalto nel settore pubblico in nove paesi: Australia, Canada, Estonia, Francia, Germania, Italia, Regno Unito, Spagna e Stati Uniti. La società di analisi ha valutato in che misura viene considerata la sicurezza dei dispositivi negli appalti pubblici, prendendo in esame otto criteri:
1. Gestione dell’identità e dell’accesso
2. Protezione degli endpoint
3. Sicurezza del dispositivo
4. Sicurezza della rete
5. Sicurezza Web
6. Sicurezza e gestione delle vulnerabilità
7. Sicurezza dei dati
8. Analisi e protezione dalle minacce specializzate
Tutte e nove le nazioni hanno dimostrato prestazioni molto basse rispetto al modo in cui specificano i requisiti di sicurezza nelle proprie offerte. Il punteggio medio dei paesi per la specificazione di questi requisiti è stato di appena 19 su 100. Anche la nazione con il punteggio migliore a questo proposito, proprio l’Italia, ha totalizzato solo 38 su 100. All’altra estremità, la Spagna ha registrato il punteggio più basso, con 8 punti.
I punteggi medi sono stati particolarmente bassi nell’ambito degli appalti per l’istruzione e la sanità (entrambi solo 7 su 100), nonostante questi siano settori in cui vengono regolarmente raccolti ed elaborati dati personali sensibili.
Inoltre, in termini di dispositivi endpoint, sembra che la sicurezza delle stampanti venga trascurata.Nelle gare per acquisire stampanti la probabilità che criteri di sicurezza siano inclusi èdi 72% inferiore alle gare d’appalto di PC.
Spostare i traguardi
Naturalmente, uno studio di questo tipo consente di gettare solo uno sguardo nel mondo degli approvvigionamenti IT nel settore pubblico. Tuttavia, i risultati suggeriscono che le funzionalità di sicurezza integrate non rappresentano una priorità nel settore pubblico al momento dell’acquisto di PC e stampanti. In particolare, la sicurezza delle stampanti risulta essere un punto cieco, nonostante sia quasi impossibile rendere più sicure le stampanti con l’aggiunta di funzionalità di protezione in un secondo momento.
Al tempo stesso, gli aggressori stanno cercando di bypassare le soluzioni di sicurezza tradizionali basate solo sul software. Sempre più spesso assistiamo a tentativi di colpire il software e il firmware incorporato nei dispositivi, un’osservazione confermata anche dalla ricerca pubblicata.
Si tratta di una tendenza che evidenzia ulteriormente l’importanza della sicurezza dei dispositivi endpoint. I criminali informatici stanno sviluppando metodi per compromettere tutti i tipi di sistemi embedded nel sempre più vasto ecosistema IoT, incluse le stampanti e il firmware dei PC. Generalmente, il loro scopo è di nascondersi e intercettare oppure muoversi liberamente in una rete per trovare il prossimo bersaglio all’interno dell’infrastruttura. Tuttavia, stanno anche sviluppando una tendenza distruttiva a rendere inutilizzabili i dispositivi endpoint al livello più profondo.
Progettare per la cyber-resilienza
Per aiutare le organizzazioni a rilevare, respingere ed effettuare il ripristino dagli attacchi informatici, HP ha raggiunto una posizione di leadership a livello di settore nella progettazione di sistemi e dispositivi con caratteristiche di sicurezza integrate a partire dall’hardware.
Noi lo chiamiamo “progettare per la cyber-resilienza”. Con questa espressione intendiamo lo sviluppo di una sicurezza basata sull’hardware, dal livello più basso del firmware di un dispositivo endpoint fino allo stack del software e alle soluzioni di gestione. In tal modo, i dispositivi non solo possono trarre vantaggio da robuste funzionalità di protezione; possono anche identificare gli attacchi riusciti ed eseguire attività di correzione automatica in seguito alle violazioni.
La progettazione per la cyber-resilienza è una vision su cui lavoriamo da anni in HP Labs e nelle nostre varie unità di business. Ora la stiamo realizzando nella sicurezza integrata nei PC e nelle stampanti aziendali che produciamo. Se si considera il complesso panorama delle minacce informatiche che attualmente ci troviamo a fronteggiare, la questione non è se sarete attaccati, ma quando. La cyber-resilienza deve quindi essere al centro degli approvvigionamenti IT nel settore pubblico, a partire dai dispositivi endpoint.