Le aziende che implementano una infrastruttura per la
videosorveglianza lo fanno per vedere più garantita la propria sicurezza. Pochi si preoccupano che, paradossalmente, proprio i componenti di questa infrastruttura potrebbero diventare
punti di vulnerabilità. In realtà casi che dovrebbero far suonare un campanello d'allarme ci sono già stati. La
thingbot Mirai è probabilmente quello più noto. Ma è stato un po' frettolosamente catalogato come problema collegato a prodotti di
basso costo. E quindi ovviamente di limitata affidabilità.
La questione però - spiega
Massimo Grassi, System Engineer Security di
Panasonic System Communications Company Europe - è molto più articolata. "
C'è una mancanza di cultura proprio sul concetto di sicurezza del dato nella videosorveglianza - spiega -
e il punto chiave non è la protezione delle immagini in sé, ma il rischio che la rete di videosorveglianza venga usata per penetrare nel resto della rete dell'azienda utente".
È un tema che Panasonic ha affrontato direttamente dopo l'acquisizione di Sanyo. L'operazione ha portato in dote HSBC come cliente, e alla banca di investimento britannica Panasonic ha proposto i suoi sistemi di videosorveglianza. HSBC ha
un suo "red team" di hacker che mettono sotto test le soluzioni legate alla sicurezza, cercando di violarle. E nel caso di Panasonic sono riusciti a penetrare in sistemi che il vendor giapponese considerava sicuri.
Questo ha dato vita a una
collaborazione tecnologica con HSBC che continua ancora adesso, alla ricerca costante della maggiore sicurezza possibile. E ha cambiato il modo in cui Panasonic
affronta la "blindatura" dei suoi sistemi di videosorveglianza. Improntandolo al concetto di
Secure Communication, esteso a tutte le principali famiglie di prodotti. Dalle videocamere IP ai video recorder, dalle piattaforme di gestione al firmware dei singoli dispositivi.
Il concetto di fondo è che una videocamera IP
è comunque un oggetto vulnerabile. È sul campo, spesso all'esterno, e bene o male accessibile. E va protetta come si proteggerebbe un qualsiasi dispositivo IP, perché è comunque connessa in qualche modo al resto della rete d'azienda.
Nel caso di Panasonic, la protezione si basa su funzioni che vanno dalla gestione sicura delle
credenziali di identificazione alla telecamera (e addio password di default definite in hardware, per ricordare il caso Mirai) al
filtro degli indirizzi IP che vi si possono connettere. Dalla disattivazione di protocolli inutili (come HTTP) all'uso esteso della
cifratura delle comunicazioni. Dall'anti-tampering dei dispositivi all'utilizzo di firmware criptati.
La cifratura è un fattore fondamentale nella sicurezza della videosorveglianza per come la intende Panasonic. I dispositivi e le piattaforme della casa giapponese integrano a bordo e utilizzano
certificati digitali emessi da DigiCert (ex Symantec). Il che permette un livello elevato di sicurezza, tanto da aver ottenuto le certificazioni necessarie per fornire prodotti alle istituzioni militari statunitensi. Un vantaggio a disposizione anche delle "semplici" aziende. Ai livelli di sicurezza
più elevati se si usa una infrastruttura completamente Panasonic, ma in qualche misura anche nelle installazioni eterogenee.
Tecnologie a parte, però, per Panasonic
il nodo principale resta quello della cultura. Delle aziende utenti come di chi la videosorveglianza la implementa. "
Anche se la situazione sta migliorando - spiega Grassi -
in Europa non c'è ancora una reale richiesta di soluzioni di videosorveglianza improntate alla sicurezza". L'idea delle aziende, sostanzialmente, è che vada protetta la rete dati aziendale classica. Fatto questo, il problema sicurezza è considerato
risolto in generale anche per tutto quello che, dopo, si collegherà alla rete dati stessa.
In generale, sappiamo che
non è così ovvio. La visione di Panasonic è comunque opposta: la rete di videosorveglianza deve essere messa in sicurezza
indipendentemente dallo stato di protezione del resto della rete aziendale. E questo lo si può fare solo se chi sviluppa e vende i sistemi di videosorveglianza ha pensato alla protezione delle informazioni e dei dispositivi
sin dalla fase di progettazione delle sue piattaforme. Il principio è quello classico della
security by design e della security by default, a cui dovrebbero aderire
molti più produttori di quanto non accada ora.
Ma non solo i produttori e gli utenti. Serve che anche
chi installa i sistemi badi sin da subito alla sicurezza e sfrutti le funzioni mirate che ha a disposizione. Cosa non scontata, perché richiede tempo e sforzi che molti non sono abituati a dedicare. Cosa che spinge a scegliere piattaforme
apparentemente più "amichevoli", ma semplicemente più insicure. E con il rischio che siano anche più costose, se si considerano i danni economici causati da una violazione delle reti.