Rendere sicuro un sistema di videosorveglianza: progettarlo e gestirlo con occhi esperti.

Le vulnerabilità dei dispositivi IoT emerse negli ultimi anni e la proliferazione delle botnet hanno mostrato quanta poca security by design si faccia in questo ambito e quanto sia facile compromettere dispositivi annoverandoli nel proprio esercito di soldati pronti a compiere gli attacchi richiesti.

Ma non è solo una mancanza dei costruttori di dispositivi IoT, chi “dice” di saper progettare e mettere in campo un sistema di videosorveglianza dovrebbe essere in grado di farlo in maniera sicura sulla base della sua esperienza e delle competenze da mettere in pratica sul progetto.

SECURITY BY DESIGN

Assicurare il corretto deployment dei dispositivi affinché abbiano tutti l’ultimo firmware, niente password di default e una configurazione blindata dal punto di vista security (hardening). Particolare attenzione va posta anche all’architettura, ovvero a come i dispositivi vengono attestati alla rete e segregati dal resto del sistema.

SECURITY BY MONITORING

In questo caso occorre corredare il progetto con un insieme di politiche e procedure che rendano sicuro il processo di gestione dei dispositivi e del sistema nella sua interezza: password policy dei dispositivi e delle componenti di controllo, gestione dei profili di accesso ai dispositivi e al sistema (provisioning e de-provisioning), procedura di aggiornamento delle componenti, policy di accesso e rilascio delle immagini e policy di retention/condivisione con le Forze dell’Ordine.

SECURITY BY GOVERNANCE

A questo livello è importante l’aspetto gestionale del sistema di videosorveglianza, ovvero va posta particolare attenzione al governo della sicurezza nel suo complesso: monitoraggio costante del livello di sicurezza del sistema, valutazione periodica dell’aderenza alle normative vigenti (fra cui ovviamente il GDPR), rilevamento tempestivo di eventuali vulnerabilità o di eventuali campagne mirate attraverso servizi di cyber intelligence, impostazione di un processo efficace di incident handling con la classica “chiusura del cerchio” effettuata con improvement e feedback.