“Oggi è sempre più difficile trovare oggetti che siano puramente meccanici o puramente digitali nel loro funzionamento. E questo contesto vale ovviamente anche nel campo della security: non può e non deve esistere una differenziazione tra la sicurezza logica e la sicurezza fisica: nella maggior parte degli oggetti che utilizziamo ogni giorno, infatti, l’hardware senza software non potrebbe funzionare, né funzionerebbe il software senza hardware. L’anello di collegamento tra questi due ambiti è l’uomo, che è il punto debole, dal momento che può causare gravi danni anche al sistema più sicuro a causa di un comportamento incauto. La compliance alle norme che regolano la cybersecurity è quindi la conditio sine qua non, perché riguarda tutti, dalle aziende ai loro fornitori ai loro collaboratori: ogni componente della supply chain ha una responsabilità a cui non può abdicare nei confronti dei propri clienti e della comunità”.
Lo afferma in un’intervista a CorCom Andrea Monteleone, national sales manager di Axis Communications, società specializzata nel campo della security, che ha fatto dell’approccio innovativo al settore il proprio punto di forza, con una value proposition orientata a combinare tecnologia intelligente e immaginazione umana in soluzioni basate su video, audio e analisi, con l’obiettivo di migliorare la sicurezza e ottimizzare le prestazioni aziendali. Proprio sul tema della Cybersecurity Monteleone è stato recentemente tra i relatori della tavola rotonda online “Sicurezza delle infrastrutture critiche, cosa cambia nella nuova normalità”, a cui hanno preso parte anche Gabriele Faggioli, presidente di Clusit, Corradino Corradi, membro del direttivo dell’Associazione Italiana Professionisti Security aziendale (Aipsa), e Corrado Giustozzi, esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale (Agid). “Quello di rispettare le norme e le prescrizioni sulla sicurezza informatica è un contributo che deve arrivare dalle imprese che mettono in campo le soluzioni, ma anche dai singoli installatori, che devono essere formati e consapevoli delle implicazioni di ogni loro decisione. Altrimenti il rischio – prosegue Monteleone – è di mettere un ragazzino di 13 anni al volante di una Ferrari: il mezzo di per sé è tra i migliori in termini di prestazioni, ma non viene messo nelle condizioni per dispiegare le proprie potenzialità, e questo mette a rischio il raggiungimento degli obiettivi”.
Monteleone, in che modo le norme europee – come la direttiva Nis – impattano sull’attività di un operatore specializzato sulla sicurezza fisica?
L’impatto per chi cerca di fare propria la disposizione normativa è enorme. Da un lato impone una serie di nuovi approcci ai clienti finali, e dall’altro distribuisce la responsabilità su tutta la filiera: questo è il fil rouge delle norme moderne, lo avevamo già visto con il Gdpr. E’ un approccio che i Paesi del Sud Europa come l’Italia trovano spesso destabilizzante, perché siamo stati abituati ad avere norme impositive, che non prevedano l’autovalutazione e la definizione secondo parametri costanti e comuni di quale sia il livello di sicurezza – logica e fisica – al quale tendere e al quale mirare. C’è però da aggiungere che l’opportunità è enorme: siamo in un contesto che è diventato altamente regolato, perché le società per rispondere alle prescrizioni della Nis sono chiamate ad approcciare il problema molto più in profondità, e ad appoggiarsi a fornitori che siano in grado di supportarle. In palio (per vendor e installatori) c’è la possibilità di differenziarsi dalla concorrenza supportando a pieno il cliente, e non in molti sono in grado di giocare a questo tavolo. Il costo finale non è più quindi il parametro di valutazione da considerare, ma conta sempre di più la qualità dell’intera catena di fornitura. E poi emerge con prepotenza il discorso della professionalità del fornitore. Per gli utenti finali diventa sempre più facile, da un punto di vista pratico, operativo ed economico appoggiarsi a un unico installatore che sia in grado di pensare alla security a 360° piuttosto che fare scouting e individuare esperti in singole soluzioni. Approccio, quest’ultimo, che risulta essere invece il modo migliore per arrivare ad acquisire soluzioni a valore aggiunto, rivolgendosi a realtà che hanno il know how per valutare le esigenze e individuare le risposte migliori in termini complessivi. Altrimenti, se si utilizza la logica di rincorrere il prezzo più basso, si rischia di implementare soluzioni non performanti, difficilmente gestibili o addirittura potenzialmente pericolose.
Quanto conta la cybersecurity per un operatore come Axis?
E’ un punto decisamente importante, che riguarda tutta la filiera. Se facciamo l’esempio delle aziende che operano in contesti critici e che forniscono servizi essenziali per la comunità, è chiaro che la sicurezza informatica non riguarda soltanto la singola realtà, ma anche tutta la filiera dei consulenti esterni e dei fornitori. È lo stesso discorso che vale ad esempio per la sicurezza di un’abitazione privata, dove si deve stare attenti non soltanto a che tipo di allarme si installa e a chi esegue il lavoro, ma anche a chi si affidano le chiavi dell’appartamento e a chi si consente di entrare con le chiavi in nostra assenza e con l’allarme spento. Per questo moltissimi “giganti” stanno rimettendo in discussione i fornitori ai quali si affidano per singoli prodotti, soluzioni o servizi, perché dal momento in cui si vanno ad acquistare hardware o software e si inseriscono in un’infrastruttura se ne risponde direttamente. Così ogni infrastruttura critica che debba rispondere ai criteri del Nis è chiamata ad appoggiarsi a fornitori che a loro volta offrano le garanzie del caso. Questo ragionamento non riguarda singoli verticali, perché tutti sono chiamati allo stesso modo a rispondere alle norme. Focalizzando però l’attenzione sull’Italia, è chiaro che la cifra distintiva del nostro Paese è quello della grande presenza di piccole e medie imprese, che sono fornitrici delle critical infrastructures e che quindi sono chiamate ad adeguarsi secondo standard diversi. Nel nostro caso partiamo da una posizione di vantaggio, perché l’Iot come lo vediamo oggi è figlio anche di quello che noi per primi abbiamo immesso sul mercato: la security over Ip per Axis è nata anni fa con il primo print server, rendendo disponibili le tecnologie che hanno consentito al mercato di crescere ed evolversi, con totale trasparenza e controllo dello sviluppo dell’hardware, dell’aggiornamento e del costante monitoraggio.
Quali sono gli ostacoli più importanti che si incontrano in questo percorso?
Le aziende che hanno piena contezza di quello che sia veramente fattibile con la tecnologia sono ancora poche, essenzialmente per due ragioni: la prima sono le fake news, le informazioni scorrette che circolano nell’ambiente, e la seconda sono una pesantissima mancanza di conoscenza. Quindi da una parte bisognerebbe uscire dalla sindrome di CSI, quella per cui tutto sembra possibile grazie alla tecnologia, come spesso si vede nelle serie Tv. Perché se si propongono ai clienti soluzioni mirabolanti che poi non trovano riscontro nella realtà questo probabilmente nell’immediato consentirà di accrescere le proprie quote di mercato, ma poi i clienti si renderanno conto che le soluzioni non funzionano per come erano state illustrate. E in secondo luogo è necessario rendersi conto che nel nostro campo l’evoluzione della tecnologica è stata molto più veloce rispetto all’evoluzione della formazione delle persone, e il livello di complessità e interoperabilità è ormai tale che certe operazioni e certi settori non possono né devono essere gestite da una sola persona.
Se dovesse immaginare come si svilupperà il vostro settore da qui ai prossimi anni, su cosa è prioritario investire in termini di ricerca e sviluppo?
Partirei dal principio che i singoli componenti hardware sono essenzialmente diventati una commodity. Il fattore critico, per il vero sfruttamento della tecnologia, è la capacità di raccogliere, elaborare ed interpretare le informazioni all’interno di un ecosistema eterogeneo (hardware) ma coerente (firmware e software). Questo perché i principali filoni su cui si muoverà l’evoluzione sono tre. Si parte dagli analytics, perché si va nella direzione della security non più fine a sé stessa, ma applicata anche ai controlli di processo, di safety in senso trasversale. Il secondo elemento riguarda l’Edge e il Fog computing: in presenza di dispositivi distribuiti e connessi tra loro e verso il centro, l’infrastruttura dovrà necessariamente essere resiliente e difficilmente attaccabile. Infine i protocolli e le interfacce aperte, standard e sicure by design. L’esempio lampante viene dall’industria 4.0: recentemente la quasi totalità degli attacchi informatici in ambito industriale è stata portata dall’interno e attraverso flaw di protocolli industriali che hanno 30 anni. Senza l’evoluzione dei protocolli, aggiornati alle esigenze moderne e cloud-ready, il rischio che le aziende corrono è enorme.
Quali sono le richieste più frequenti che vi arrivano dai vostri clienti in ottica “digitale”?
Il concetto con il quale ci misuriamo più spesso è il binomio “bisogni infiniti – risorse finite”. Riceviamo le richieste più disparate e spesso fantasiose. Spesso si cerca nella tecnologia anche ciò che non è necessario. Per quanto la tecnologia sia, e debba essere, in costante evoluzione, il rincorrere soluzione “immature” per ambienti critici può essere rischioso. L’importante è però aiutare gli utenti a rimanere al passo con l’innovazione, fornendo soluzioni che oggi arrivano fino a un certo punto, ma che in futuro potranno essere aggiornate facilmente con nuove potenzialità. Sappiamo già dove sta andando l’R&D e cosa arriverà sul mercato da qui a 10 anni, e per questo miriamo a consentire ai nostri clienti di estendere nel tempo ciò che implementano oggi, traguardando i loro investimenti dal punto di vista strategico.
Quanto pesa in un cliente il timore di incidenti informatici quando si approccia a soluzioni di sicurezza fisica erogate attraverso dispositivi connessi?
La paura ovviamente c’è. Ma ho la fortuna di lavorare con un team a cui ho potuto chiedere di non limitarsi a rassicurare i clienti: il nostro obiettivo è affiancarli, nella pratica e anche dal punto di vista culturale. Di sicuro non è vero che fermare l’evoluzione risolva il problema, ma anzi espone ad altri tipi di criticità che a un certo punto diventano completamente ingestibili. Nessuno – ad esempio – può più usare Windows 95, perché non è più supportato né aggiornato, e porta con sé problemi che nessuno va più a considerare. Questo genere di consapevolezza è necessario se si vuole affrontare la security con attenzione e valutando i rischi in modo corretto.