Lo abbiamo chiesto a Ernest Hayden di Verizon. I temi aperti: cloud e sicurezza, componenti statiche e dinamiche, a chi toccano le policy e come un utente finale risulta coinvolto.
Con Ernest Hayden (la sua lunga qualifica è Cissp Ceh, Managing Principal for Industrial Control Systems Cybersecurity del Verizon Risk Team) abbiamo voluto affrontare il tema delle infrastrutture critiche, alla luce del fatto che il cloud, e l’uso che se ne fa, paiono cambiare lo scenario di valutazione della disponibilità e della tenuta delle stesse.
D: Delineiamo subito il concetto di infrastruttura critica, oggi, al tempo del cloud e dell’interconnessione globale. Cosa è critico e cosa non lo è?
H: Il termine infrastruttura critica può assumere diversi significati, che sono normalmente definiti dai governi nazionali. Recentemente in un Executive Order e in una Presidential Policy Directive del Presidente degli Stati Uniti Obama sul miglioramento della cybersecurity per l’infrastruttura critica , il termine infrastruttura critica ha assunto il significato di sistemi e asset, siano essi fisici o virtuali, così importanti per gli Stati Uniti che la loro inabilità o distruzione avrebbe un impatto debilitante sulla sicurezza, sulla sicurezza economica nazionale, sulla sicurezza della sanità pubblica o qualsiasi combinazione di questi element”. Paragonandola con la definizione data dal governo inglese, il termine infrastruttura critica include strutture, sistemi, sedi e reti necessari per il funzionamento del Paese e per il rilascio di servizi essenziali da cui dipende la vita di tutti i giorni all’interno del Regno Unito.
Le definizioni sono simili, ma sono soggette ad analisi accademiche.
Nel complesso, la parola chiave è dunque l’aggettivo critica poiché non tutte le infrastrutture sono da considerarsi “critiche”. Per esempio, un ponte di campagna non può influire sulla sicurezza o sulla sanità pubblica se cede o è inagibile.
Tuttavia, un ponte importante che collega due Paesi, come il Øresund Bridge tra Copenhagen e Malmo, può essere considerato un’infrastruttura critica per la Danimarca, la Svezia e l’economia dell’Unione Europea.
Alcuni aspetti di un’implementazione cloud possono essere considerati come critici, poiché un guasto o la loro distruzione potrebbero avere un impatto negativo sulla sicurezza nazionale/globale e sulle attività economiche.
Per esempio, l’utilizzo del cloud al fine di facilitare le transazioni globali delle carte di credito può essere considerato una infrastruttura critica, così come un guasto del cloud che supporta un centro di emergenza operativa. Tuttavia, la non disponibilità di una rete sociale globale causata da un guasto al cloud che la supporta non avrebbe un impatto tale da considerarla una infrastruttura critica.
D: Quali sono le componenti statiche e quali quelle dinamiche delle infrastrutture?
H: Le infrastrutture possono avere componenti statiche e dinamiche. Per un’infrastruttura fisica, l’assemblaggio di tutte le parti e di tutti i pezzi è generalmente statico di natura. Tuttavia, gli elementi che comunicano con l’infrastruttura fisica possono essere considerati come dinamici.
Per esempio un ponte permette ai veicoli di comunicare via terra e di oltrepassare i corsi d’acqua. Allo stesso modo, i cavi di fibra ottica sono dispositivi statici, ma trasportano bit e byte, pacchetti di dati e impulsi di luce che sono invece da considerarsi dinamici.
D: Stabiliamo il concetto di protezione dell’infrastruttura. A chi tocca?
H: Sinceramente, chiunque si occupi ogni giorno di infrastrutture dovrebbe essere consapevole anche degli aspetti legati alla sicurezza. Tuttavia, se ci si chiede “chi è il responsabile del le infrastrutture?”, la risposta è che chiunque possiede l’infrastruttura, è comunque responsabile anche del suo funzionamento, della manutenzione, della protezione e del ripristino. Per esempio, le infrastrutture pubbliche come strade, ponti, alcuni sistemi di comunicazione di emergenza, sono solitamente sotto l’egida del governo associato.
Mentre le infrastrutture private, come ad esempio i data center, le aziende manifatturiere critiche, le linee di trasmissione elettrica rientrano invece sotto la responsabilità del proprietario.
Tuttavia, in situazioni di emergenza estrema, come ad esempio durante l’uragano Katrina o la tempesta Sandy, il ripristino delle infrastrutture, siano esse pubbliche o private, diventa uno sforzo congiunto da parte dei governi e dei privati.
D: Infrastruttura vuol dire anche ultimo miglio e, quindi, utente finale. Con che grado di complessità è coinvolto?
H: Uno dei modi per osservare tutto ciò è quello di considerare l’utente finale come il beneficiario delle infrastrutture installate. La possibilità di utilizzare internet a casa esiste grazie a un ampio numero di infrastrutture internet costituite da server, data center, energia elettrica, acqua per il raffreddamento, cavi per la rete telefonica/dati, software e protocolli di dati. Nonostante l’utilizzatore di Internet non veda realmente queste cose, trae comunque beneficio dall’esistenza di questi dispositivi e sistemi.
D: Chi detta le policy di gestione sicura e come le implementa?
H: Questo è un argomento di discussione con diversi governi che stanno rivedendo le regole di gestione per la protezione delle infrastrutture nazionali, soprattutto quelle riguardanti il cyberspazio. Tuttavia, come affermato in precedenza, la sicurezza globale delle infrastrutture appartiene essenzialmente ai loro proprietari.
Le infrastrutture pubbliche sono di competenza del governo, che decide le regole e le policy della gestione della sicurezza; se l’infrastruttura è privata, il proprietario ne è responsabile. Tuttavia, fare riferimento allo stesso set di standard minimi, di base, di sicurezza, ha senso per tutte le parti coinvolte come punto di partenza.
D: Come Verizon declina e implementa tutto quanto descritto?
H: Innanzitutto, in qualità di uno dei principali operatori e proprietari di infrastrutture critiche, con una presenza globale pari al 70% del traffico Internet mondiale, siamo attualmente molto interessati e coinvolti nella protezione di questi sistemi e dispositivi. Stiamo, inoltre, monitorando da vicino le attività dei governi in questo campo per assicurare che le policy in fase di sviluppo abbiano senso e garantiscano la protezione di questi sistemi – sia dal punto di vista cyber sia da quello fisico, senza costi eccessivi o oneri per utenti, clienti e dipendenti. Inoltre, forniamo commenti, feedback e osservazioni esperte alle agenzie governative che operano in questo settore.
- Più sicurezza e disponibilità nel cloud di Verizon Terremark
- Verizon: i cinque trend per il 2013
- Verizon protegge il Byod
- Check Point automatizza il controllo di sicurezza e conformità
- Ca Technologies: la sicurezza al tempo delle identità digitali
- Hp fa trovare la sicurezza nei big data
- I 5 pilastri della sicurezza mobile in azienda
- Ibm: approccio big data alla sicurezza
- Attacchi Ddos, la storia è maestra di sicurezza
- Si fa sicurezza guardando oltre l’endpoint
- La sicurezza It secondo Bruxelles
- Fare sicurezza non è cercare l’immunità, ma governare
- Ibm, la sicurezza è un’analisi, costante
- Ibm: l’opensource aprirà il cloud
- Fortinet in campo nel cloud contro le minacce Apt
- Compuware: le sfide del cloud sono cinque
- Scegliere il cloud sulla base di chi si è
- Apt, Byod, Cloud, Ddos: gli attacchi nel quotidiano di chi fa rete
- Passare al cloud, con il giusto giudizio
- Vale 620 milioni di euro il cloud italiano
- Cloud e Byod fanno una giacca da operations al Cio