Il 5G: opportunità e problemi di cybersicurezza. Ne parliamo con Fortinet

Il 5G: opportunità e problemi di cybersicurezza. Ne parliamo con Fortinet

Abbiamo intervistato Giosuè Vitaglione, Director Global Alliance Telco Sales Development EMEA in Fortinet, per parlare di come il 5G cambi lo scenario della cybersicurezza e come le aziende debbano cambiare la propria impostazione

di pubblicata il , alle 15:31 nel canale Security
Fortinet5G per le aziendeCloud Security
 

Il 5G che ormai è sempre più una realtà concreta per utenti privati e aziende. Ne abbiamo parlato con Giosuè Vitaglione, Director Global Alliance, Telco Sales Development EMEA di Fortinet, per capire meglio quali sfide si presentino innanzi alle aziende dal punto di vista della sicurezza con l'arrivo di questa nuova forma di connettività.

L'influenza del 5G sulla cybersicurezza: ne parliamo con Fortinet

Edge9: il 5G viene spesso definito come intrinsecamente più sicuro rispetto agli standard precedenti, ma è davvero così?

Vitaglione: "I vari dispositivi che compongono una rete possono avere delle vulnerabilità, a maggior ragione quando sono nuovi, ed esse possono essere tante e non conosciute. Le specifiche dello standard 5G sono più sicure, perché sono state redatte tenendo in considerazione i problemi nelle versioni precedenti. Le implementazioni reali, cioè le reti 5G di ogni specifico operatore, non è detto che siano più sicure delle precedenti. Un secondo aspetto è che, per esigenze di ultra-scalabilità, si sono adottate soluzioni architetturali e tecnologiche derivanti dal mondo IT più complesse dove la superficie d'attacco è più ampia: si parla di service based architecture, in cui ciascun nodo di rete può comunicare con gli altri nodi; questo offre una serie di vantaggi in termini di flessibilità, ma incrementa il rischio per la cybersicurezza. Quindi, le specifiche sono più sicure, le implementazioni invece non lo sono necessariamente in quanto il software è per sua natura fragile, specialmente quando è nuovo e poco testato. Inoltre le architetture sono più complesse, sono più distribuite e, rispetto a prima, le reti degli operatori saranno sempre più multi vendor, e quando ci sono diversi vendor con funzioni di rete che si parlano, in questi casi la sicurezza tipicamente peggiora. Il 5G ha tutte le carte in regola per essere più sicuro, ma lo dovrà diventare guadagnandosi questo pregio sul campo. Data la quantità di applicazioni possibili, la messa in sicurezza dell'ecosistema 5G sarà un'attività continuativa, non semplicemente nel momento di progettazione delle reti degli operatori."

Edge9: la sicurezza non è (più) questione di attaccare un dispositivo alla rete o installare un software, ma un problema di approccio. Come possono dunque le aziende difendersi efficacemente dagli attacchi?

Vitaglione (in foto): "Il problema è di approccio e serve quello che viene chiamato 'security by design'. Spesso la sicurezza viene affrontata in una fase successiva a quella di progettazione funzionale di un servizio o di una rete (in questo caso si usa l’espressione “after-thought”), mentre la sicurezza andrebbe considerata in ogni fase, sin dall’inizio della fase progettuale.
Per i dispositivi già in campo bisogna essere pronti a gestire le vulnerabilità, che prima o poi emergeranno. Talvolta semplicemente non ci sono molte opzioni: è possibile cambiare, riprogettare o aggiornare il software dei sistemi industriali tutti i giorni? No, perché i tempi dei cicli di manutenzione ed ammodernamento sono molto più lunghi (nell'ordine degli anni) quindi bisogna adottare delle soluzioni di sicurezza che siano disponibili e che permettano di convivere con le vulnerabilità. Molte aziende hanno già ben chiaro che la cybersicurezza è importante per loro e hanno di conseguenza un buon focus sul loro data center, sugli endpoint e, in alcuni casi, anche sul lavoro da remoto. Questo approccio dovrà poi maturare assieme all'evoluzione dell'infrastruttura, poiché le aziende stanno adottando il cloud, e con il 5G adotteranno anche il telco cloud, quindi risorse di calcolo, di rete e di archiviazione all'interno dell'infrastruttura dell'operatore o nell'edge.

"Il data center aziendale non è più dunque l’unico punto di partenza per elaborare una strategia di cybersicurezza, ma bisogna considerare tutta la superficie d'attacco; con il 5G tutto è connesso, serve davvero una consapevolezza più ampia della protezione dei dati, dei servizi e degli oggetti connessi. Prima, se un'azienda era infettata da un ransomware, doveva fare attenzione ad avere il backup del CRM, ora si parla di oggetti connessi usati dall'azienda, come telecamere, sensori o dispositivi di tracciamento della flotta di autoveicoli, quindi l’analisi sui rischi e le soluzioni di sicurezza deve considerare un numero superiore di scenari. Ma gli oggetti connessi sono innanzitutto un’opportunità per gli imprenditori, grazie alla possibilità di lanciare servizi tramite il 5G. Ad esempio, le aziende che producono biciclette farebbero bene ad analizzare quali servizi possono essere proposti nel loro settore grazie al 5G, indicando con ciò l'ecosistema composto non solo dai dispositivi in sé ed il loro accesso ad Internet, ma anche delle applicazioni connesse pervasivamente ai vari oggetti. Si tratta di un'opportunità, in particolare in ambito del mercato europeo. L'innovazione, tuttavia, non è implementabile in un giorno, è un percorso, ma è una gara dove bisogna correre dall'inizio, altrimenti si resta indietro."

Edge9: Com'è, dunque, la situazione italiana ed europea da questo punto di vista?

Vitaglione: "Come Fortinet lavoriamo molto con gli operatori telefonici e bisogna dire che la maggior parte degli operatori sta facendo il proprio dovere nel mettere in sicurezza l'infrastruttura. Ci sono delle difficoltà per quanto riguarda la sostenibilità degli investimenti, con una capacità di spesa nell'ambito della sicurezza ridotta sia per la competizione che per gli investimenti per lo spettro, cioè le 'gare per le frequenze' dove gli operatori hanno sostenuto enormi costi a beneficio dello Stato. Questa ridotta capacità di investimento può trasformarsi in una criticità se si limiteranno gli investimenti in un'infrastruttura sicura. Le aziende, invece, si sono mosse in ordine più sparso: negli ultimi due anni alcune hanno visto una prima fase di sperimentazione di servizi 5G con un approccio prototipale, dove il tema della sicurezza non è stato davvero affrontato, mentre, in altri casi è stato affrontato in maniera blanda e solo iniziale. Bisogna entrare nell'ottica dell'approccio di security by design e deve esserci non solo una corrispondenza funzionale nell'idea dell'applicazione, ma anche una robustezza dal punto di vista della sicurezza, altrimenti il rischio è che tutte le biciclette dell'esempio precedente si blocchino per un ransomware, ad esempio. Le aziende hanno quindi del lavoro da fare in termini di consapevolezza e investimenti; ci arriveremo passo passo, ma capiterà sicuramente che alcuni servizi nel contesto del 5G falliranno per problemi di cybersicurezza. Il 5G in sé non fallirà, i vantaggi sono evidenti e stiamo andando verso una piattaforma digitale pervasiva. Probabilmente, inoltre, alcune aziende perderanno valore per problemi di cybersicurezza. Non parliamo più solo del PC che si blocca per avere subito un attacco, ma di un’economia che potenzialmente può subire rallentamenti. Questa nuova consapevolezza rende auspicabile, anzi necessaria, l’inclusione di una strategia per la cybersicurezza nelle priorità aziendali."

Edge9: È lecito dunque dire che c'è necessità di leggi, a livello statale o europeo, per regolamentare il settore della cybersicurezza e offrire incentivi perché le aziende adottino le pratiche migliori o punizioni per sanzionare i comportamenti scorretti? Ad esempio, ciò è stato fatto con il trattamento dei dati con il GDPR.

Vitaglione: "Sia in Europa che, più nello specifico, in Italia ci sono state alcune iniziative, per esempio relative alla notifica di una violazione dei sistemi, e questo va nella direzione giusta. Bisogna aiutare le aziende a implementare politiche di sicurezza, non necessariamente con investimenti, ma con la costruzione di un ecosistema; in alcuni settori specifici si vede un progresso più evoluto, come nel mondo degli operatori telefonici. Nel Regno Unito, ad esempio, esiste il TSR, che è un organo per la sicurezza delle infrastrutture telefoniche, che sta introducendo non solo dei principi generali, ma anche raccomandazioni più specifiche a livello architetturale. Si tratta di un passo molto interessante, analogo all'ENISA europeo che dall'elaborazione di principi generali sta entrando più nel dettaglio con il toolbox, ovvero una serie di documenti che danno una serie di raccomandazioni specifiche. C'è un progresso in questo senso e la via europea è quella giusta: confrontarsi in ambito ENISA e accelerare quel lavoro di consapevolezza e raccomandazioni, che poi possono diventare a livello nazionale delle raccomandazioni o addirittura delle leggi."

Edge9: L'intelligenza artificiale può aiutare nella lotta al cybercrimine, in particolare quando la superficie d'attacco si espande a dismisura come avviene quando si connettono sempre più dispositivi in Rete?

Vitaglione"Usiamo già l'IA per applicazioni specifiche e da anni in maniera massiccia nei nostri laboratori per identificare i malware, così come da tempo abbiamo soluzioni basate su intelligenza artificiale che le aziende usano per proteggersi. È anche vero che pure gli hacker possono usare questo strumento. C'è da dire che spesso gli hacker riescono a guadagnare moltissimo anche utilizzzando tecnologie 'povere', con una sorta di 'pesca a strascico' con cui trovano sempre qualcuno da attaccare in maniera facile. Ci sono invece attacchi mirati, a volte su commissione, che prevedono l'utilizzo delle tecniche di IA per rendere gli attacchi più efficienti. Il futuro è tutto da vedere; di sicuro, chi progetta soluzioni di protezione dovrà stare molto al passo con i tempi e investire molto in ricerca e sviluppo usando tutta la tecnologia avanzata disponibile, inclusa l'IA."

Edge9: Tornando al discorso dell'aggiornabilità del software, uno dei problemi più grossi che ci troviamo ad affrontare è che sempre più oggetti sono pensati come "usa e getta" e vengono dimenticati poco dopo il lancio, lasciando i proprietari esposti ad attacchi. Avere a disposizione software aperto può essere d'aiuto per aziende e privati o può essere anche un rischio?

Vitaglione: "L'argomento è complesso, ma ci sono delle dinamiche significative. Storicamente l'approccio open source ha avuto un vantaggio in termini di sicurezza, perché più un software è diffuso e più velocemente vengono individuate le vulnerabilità e corrette, e perché c'è una maggiore probabilità che qualcuno si accorga se qualcuno tenta di introdurre una vulnerabilità nel codice. Dopo una certa soglia, però, si va nella direzione inversa: se un cybercriminale ha a disposizione il codice sorgente di un'applicazione, è più facile trovare una vulnerabilità. È difficile dire quali siano i pesi sulla bilancia e si ritorna al discorso dell'IA: teoricamente, i criminali informatici potrebbero acquistare un motore di IA che elabora il codice sorgente e ne identifica le vulnerabilità. Viste le enormi risorse di chi attacca, l'accesso al codice sorgente può essere uno strumento utile per chi abbia intenzioni malevole. La corretta strategia è comunque quella di adottare delle misure di protezione: in alcuni contesti il software open source può avere dei vantaggi, in altri può introdurre delle fragilità, ma in ogni caso il fatto che sia open source non garantisce che esso sia sicuro. In ottica 5G questo è rilevante quando si parla di software nuovo: sia nell'infrastruttura degli operatori che nelle service platform che andranno a erogare servizi 5G c'è tanto software di questo tipo, che ha spesso molti vantaggi come un approccio di security by design, ma dall'altra parte magari contiene vulnerabilità ancora non scoperte. Ci sarà dunque da fare un'attività di messa in sicurezza dell'infrastruttura con tecniche di virtual patching, di segmentazione, ecc... Ci sono diverse soluzioni, bisogna considerarne l'adozione insieme all'evoluzione della piattaforma e non come pensiero successivo."

Edge9: quali consigli è possibile dare alle aziende che si trovano ad affrontare la transizione verso il 5G, con il conseguente aumento della superficie d'attacco?

Vitaglione: "Il primo passo per le aziende è quello di porsi domande sulla cybersicurezza e quindi rispetto ai fornitori e alle tecnologie che adottano. Le aziende non si muovono più all'interno di una logica che dice 'ho il mio rack da proteggere', ma in un ecosistema digitale pervasivo in cui è necessario fare domande ai propri fornitori su quali sono gli aspetti rilevanti per la cybersicurezza, sia sui servizi di connettività (ad esempio le SD-WAN), sia sui servizi come cloud, IaaS, SaaS... Le aziende dovrebbero fare più domande e dare meno cose per scontate, anche verso i fornitori di tecnologie. Lo stesso vale anche per gli utenti privati, che dovrebbero prestare maggiore attenzione alle applicazioni che installano sullo smartphone, o alla disponibilità di software aggiornato quando acquistano un oggetto connesso. Fare più domande è un suggerimento che vale per tutti."

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^