Sicurezza e diritto

La sicurezza assoluta non esiste

Foto: Matthias Jurt
Condividere su Facebook Condividere su Twitter ch.axa.i18.share.google Condividere su LinkedIn Condividere su Xing Condividere su Pinterest Convididere per e-mail

Se gli hacker vogliono ottenere il massimo impatto in un colpo solo, i dispositivi interconnessi in un cloud sono sicuramente un ghiotto bersaglio. Ecco come si difende il produttore di macchine da caffè.

Il latte scende schiumoso dalla macchina da caffè. La cliente del bar londinese chiede l'aggiunta di caramello. La macchina da caffè invia i dati dell’ordine alla piattaforma nel cloud, dove vengono visualizzati dal produttore della macchina da caffè, l’azienda Thermoplan di Weggis, nel canton Lucerna. Ad avere accesso a questi dati è anche il fornitore di servizi di Londra. Sa che dopo 30 000 – 50 000 caffè deve effettuare la manutenzione; il promemoria gli viene inviato automaticamente dal sistema stesso. Anche l'esercente della caffetteria può accedere ai dati e sapere esattamente quanto latte e quanto caffè gli servono in quale momento. Grazie alle interfacce potrebbe anche ordinare automaticamente il caffè.

La piattaforma digitale ThermoplanConnect è stata lanciata circa un anno e mezzo fa. Non tutte le macchine dei clienti sparse per il mondo sono già state collegate. Ogni macchina che esce dalla fabbrica di Weggis, però, è preregistrata e predisposta a inviare i suoi dati al cloud. Ovviamente, solo se il cliente acconsente. Con la realizzazione della piattaforma digitale ThermoplanConnect, il produttore delle macchine da caffè è diventato anche un fornitore di software con tutte le sfide che questo comporta. «Ci siamo rivolti a un’impresa di software, da soli non ce l'avremmo mai fatta», spiega Ueli Schweizer, collaboratore del team di digitalizzazione del reparto di sviluppo di Thermoplan. «La maggior sfida per quanto riguarda il dispositivo è la connettività stessa. Come collegare a Internet le macchine distribuite a livello globale garantendo facilità, stabilità e sicurezza? Il rischio maggiore consiste nel fatto che una macchina da caffè deve innanzitutto produrre caffè. L’intera connessione di Cloud/Internet delle cose (IoT) non deve cioè interferire in alcun modo con l'esercizio della macchina». Un problema che si è presentato ad esempio in Cina, poiché inizialmente l’ubicazione della macchina era indicata con una mappa Google non compatibile con il firewall cinese.

E qual è il vantaggio dell’interconnessione delle macchine da caffè per i clienti finali? «Al momento nessuno», risponde Schweizer. Qualora però lo sviluppo dovesse procedere ulteriormente verso il caffè personalizzato, la piattaforma nel cloud sarebbe la base per l’ordine da parte del cliente finale tramite smartphone. La connessione dei dispositivi costituisce inoltre la condizione necessaria per l'attuazione di progetti di digitalizzazione a misura del cliente. La piattaforma ha creato qualche grattacapo in fase di sviluppo. Se è vero che tutte le macchine da caffè mandano i loro dati sulla piattaforma, è anche vero che l’esercente e i fornitori di servizi devono però avere accesso all’area loro riservata della piattaforma. Servire tutti – esercenti e fornitori di servizi – con un’unica piattaforma non è facile.

La connessione comporta un’altra problematica: quando numerose macchine sono connesse tra loro cresce la probabilità di cyber-attacchi. E, con l'interconnessione, maggiori sono anche le conseguenze di un attacco. Ad esempio un hacker potrebbe diffondere messaggi a sfondo razzista sui display delle macchine da caffè causando un danno d’immagine per Thermoplan e per i gestori dei coffee shop. Oppure potrebbe mettere fuori servizio tutte le macchine da caffè contemporaneamente.

Per raggiungere la massima sicurezza possibile, Thermoplan si è affidata a Oneconsult. Oneconsult ha tentato, in modo del tutto legale, di penetrare nel sistema delle macchine da caffè e nella piattaforma ThermoplanConnect. In questo caso con scarso successo, come sottolinea Tobias Ellenberger, COO di Oneconsult. «Cercare i punti vulnerabili e le falle nell’ambiente IoT è tanto affascinante quanto complesso », ammette. «Spesso si tratta di dispositivi che molti di noi conoscono e usano quotidianamente. Le lacune in materia di sicurezza dei device IoT spesso sono dovute al fatto che il dispositivo non è stato originariamente concepito per Internet – e le sue problematiche – e alla mancanza di standard di sicurezza.

L'hacker legale in primo luogo si chiede come fa il pirata digitale a penetrare nel dispositivo; poi tenta di usare o modificare funzioni o ordini di cui un potenziale aggressore può servirsi». Secondo Ellenberger, oltre a una gestione efficiente degli update e dei diritti, all’impostazione di password sicure e a metodi di cifratura affidabili, è importante tenere separate le reti informatiche. Nel caso di Thermoplan ciò significa che la produzione delle macchine da caffè deve essere esterna al cloud. Le macchine vengono quindi collegate al cloud appena prima dell’imballaggio. È inoltre fondamentale dividere le reti di produzione dalle reti di ufficio. «Altrimenti è facile che una mail infetta acceda attraverso la rete di ufficio alla produzione, danneggiandola », spiega Ellenberger. La maggiore difficoltà in fatto di sicurezza informatica è che non si sa mai da dove e per quale motivo avviene un attacco. In più la creatività degli hacker non conosce limiti. Spesso questo è uno dei motivi per cui si è colti di sorpresa. L’unica soluzione resta prepararsi a questo tipo di attacchi.

«La sicurezza assoluta non esiste», commenta lapidario Schweizer. È comunque importante chiudere regolarmente le falle. Questo richiede anche un aggiornamento continuo della macchina da caffè, reso possibile dalla connessione al cloud. Anche perché con un ciclo di vita dell’hardware della macchina di 7–10 anni le lacune nella sicurezza sono inevitabili.

Il peggiore scenario per Thermoplan sarebbe che un fornitore di servizi non mantenesse segrete le password. È l’essere umano, quindi, il rischio maggiore? «Per un verso, sì», risponde Ellenberger, ma è anche la migliore opportunità per difendersi dagli attacchi, aggiunge. Per questo Thermoplan valorizza l’approccio orientato alla sicurezza: in tutto il mondo ogni tecnico deve assolvere una formazione prima di ottenere l'accesso al sistema cloud.

Assicurazione Cyber di AXA

La criminalità su Internet costituisce una minaccia crescente per le aziende: attacchi completamente automatizzati con virus o cavalli di Troia sono sempre più frequenti. Firewall e software di protezione spesso non riescono a tenere il passo con questo sviluppo. Quando tutti i sistemi di protezione falliscono, potete tutelarvi dalle conseguenze finanziarie con l’assicurazione Cyber.

Se i vostri dati sono resi inutilizzabili da una manipolazione, AXA si fa carico delle spese di ripristino, risarcisce la perdita di reddito a causa di un'interruzione d'esercizio e le spese supplementari per la prosecuzione dell'attivita aziendale. AXA copre anche eventuali danni di responsabilità civile – ad esempio se le ordinazioni online vanno perse a causa di un attacco e i vostri clienti subiscono un danno.

È inoltre possibile assicurare la manipolazione dell’online banking o del sistema di pagamento online.

Se tutte le misure di protezione falliscono e si verifica un danno assicurato, AXA si assume le spese per

  • l’assistenza immediata da parte di un cyber-esperto competente di Oneconsult AG;
  • un esperto per l’individuazione delle lacune di sicurezza;
  • la consulenza al fine di prevenire casi simili in futuro;
  • l’identificazione delle persone colpite dalla violazione delle norme sulla protezione dei dati, inclusi i costi per informarle;
  • un’agenzia di pubbliche relazioni che scongiuri il rischio di un danno di reputazione. 

Anche in caso di sospetto di un cyber-evento, AXA si fa carico dei costi di Oneconsult AG per un primo supporto telefonico di emergenza e di assistenza in caso di crisi.

PER SAPERNE DI PIÙ >

Articolo correlato

AXA e lei

Contatto Avviso sinistro Offerte di lavoro Media Broker myAXA Valutazioni dei clienti Portale officine Abbonare la newsletter

AXA nel mondo

AXA nel mondo

Restare in contatto

DE FR IT EN Avvertenze per l'utilizzazione Protezione dei dati © {YEAR} AXA Assicurazioni SA

Utilizziamo cookie e tool di analisi per migliorare la navigazione sulla pagina internet e personalizzare la pubblicità di AXA e dei partner pubblicitari. Maggiori informazioni: Protezione dei dati