Il numero relativamente basso di stazioni di ricarica “violate” nel mondo fino ad oggi non deve far calare l’attenzione sul tema della sicurezza informatica di questi dispositivi.
Come ogni altro dispositivo connesso in rete, anche la stazione di ricarica può rappresentare una porta di accesso per eventuali attacchi e minacce. Ad essere a rischio non è solo l’utilizzatore finale, ma tutti i potenziali attori coinvolti nel processo, come il produttore di colonnine stesso e il produttore di veicoli elettrici.
La mitigazione di questi rischi è uno degli obiettivi principali del design delle Dazebox e della collaborazione tra Daze e Graftholders.
Questo percorso di design si appoggia ai principali standard e framework di cybersecurity come la ISA IEC 62443, la ISO 27001 e l’SP 800-53 che è pubblicato dal NIST (National Institute of Standards and Technology) al pari delil Cybersecurity Framework e delle linee guida NISTIR 8228 che trattano la sicurezza per dispositivi IoT.
Questi framework, oltre alla padronanza della tecnologia, richiedono un approccio sistematico e strutturato, focalizzato sulla gestione del rischio fin dall’inizio della progettazione (security by design) che semplifica e ottimizza le successive attività come la gestione delle vulnerabilità, la gestione degli accessi, la protezione dei dati, il rilevamento degli incidenti. Oltre a questo la security by design permette di affrontare le sfide sulla sicurezza in un contesto meno dispendioso di risorse grazie all’ottimizzazione dei processi di sviluppo del prodotto.
Con l’obiettivo di sviluppare un prodotto sicuro, si sviluppa un prodotto che meglio aderisce alle aspettative ed esigenze del cliente.
Per applicare efficacemente questi complessi standard, Daze si avvale anche di un partner qualificato, Graftholders, che ha come missione proprio lo sviluppo di sistemi embedded/IoT sicuri.
Com’è nata la collaborazione tra Daze e Graftholders?
Federico: All’incirca due anni e mezzo fa Daze era una piccola startup che iniziava a crescere e, in particolare, a dover espandere il proprio team Tecnico. Come responsabile del Dipartimento, ho dovuto iniziare a valutare collaborazioni che permettessero di aumentare la nostra velocità di sviluppo e progettazione. Graftholders ci è venuta incontro proprio a questo fine: per supportarci in attività di sviluppo software. Abbiamo avuto il piacere di conoscere Vincenzo e iniziare a collaborare con loro. All’epoca era sufficiente solo una delle loro risorse ai fini della nostra collaborazione, oggi invece i membri del team di Graftholders che lavorano quotidianamente con noi sono saliti a cinque.
Oltre allo sviluppo software, Graftholders ci sta aiutando particolarmente sulla tematica della cybersecurity, un tema che in Daze diventa sempre più importante man mano che cresce l’orizzonte e l’ambizione dei nostri progetti e collaborazioni con grosse realtà aziendali. In questo caso non parliamo solo di protocolli di sicurezza per i nostri software, ma anche e soprattutto di best practice che vanno adottate in primis dal nostro dipartimento tecnico, e poi anche da tutto il resto dell’azienda.
Quali sono le principali sfide da affrontare/affrontate?
Federico: Sicuramente da parte di Daze la sfida più importante che si prefigura all’orizzonte è quella di internalizzare e implementare tutte le best practice di sicurezza non solo nel team tecnico, ma in tutti gli ambiti e processi aziendali includendo le relazioni con terzi. Soprattutto, è importante che questi processi vengano implementati senza rallentare la nostra velocità di sviluppo e progettazione , un’operazione molto delicata.
Vincenzo: Confermo, lavorare sulla cybersecurity è un compromesso costante. Sono convinto che l’ottimo sia nemico del bene, bisogna sfruttare al meglio le risorse che si hanno per rendere i processi leggeri e non zavorre. La cybersecurity, approcciata da una startup o da una multinazionale è diversa. Cambiando la scala del team, la superficie di attacco dei sistemi in gioco e la disponibilità di risorse economiche ed umane, anche la strategia adottata va personalizzata.
Ci sono progetti per il futuro?
Federico: Continueremo sicuramente a collaborare nello sviluppo software. Poi, sono previsti numerosi corsi di cyber security destinati al team di sviluppo e in generale alla totalità del team di Daze, come dicevamo prima.
Vincenzo: Ci impegniamo a dare particolare attenzione alla formazione della direzione aziendale, enfatizzando l’importanza che i processi fondamentali per la cybersecurity siano fatti propri dal management prima che dagli operativi. La cybersecurity è un processo di miglioramento continuo, mirato a mantenere l’organizzazione sempre un passo avanti agli attaccanti. Così come per essere avanti ai competitor è essenziale avere sia tecnici qualificati che un management competente, lo stesso vale per stare davanti agli attaccanti. Lo “shift left” rappresenta l’anticipazione della sicurezza, ponendola come priorità nelle fasi preliminari di ogni processo. Come un prodotto di successo viene concepito per soddisfare le esigenze dei clienti fin dalla sua ideazione, un prodotto sicuro è direttamente progettato per contrastare gli attaccanti. Questo è il concetto di “security by design”.
Perché è importante educare tutti alla sicurezza informatica?
Vincenzo: Educare ogni individuo all’interno di un’organizzazione sulla sicurezza informatica è fondamentale per proteggere l’intero sistema da potenziali minacce. Questo principio si basa sulla consapevolezza che, così come una catena si rompe nel suo anello più debole, anche la sicurezza di un’organizzazione può essere compromessa da un singolo errore o distrazione.
Si dice che un vampiro non possa varcare una porta se non invitato, così gli attacchi di phishing sfruttano un principio simile nel mondo digitale: non possono infiltrarsi nei nostri sistemi senza un’azione, per quanto ingenua, da parte nostra. Questo può avvenire quando, ingannati da messaggi fraudolenti, forniamo inconsapevolmente le nostre credenziali, permettendo così agli attaccanti di accedere.
Il Verizon Data Breach Investigations Report (DBIR) del 2023 rileva che il 74% delle violazioni coinvolge l’elemento umano, evidenziando l’importanza della formazione alla sicurezza per tutti i livelli dell’organigramma, dal dirigente all’addetto alle pulizie. Una tale formazione mira a rafforzare ogni anello della catena, insegnando a riconoscere e respingere i tentativi di intrusione degli “attaccanti vampiri” che cercano di sfruttare la nostra ospitalità digitale involontaria.
Questo impegno collettivo verso l’educazione e l’adozione di pratiche di sicurezza efficaci costruisce una difesa robusta contro le minacce esterne, trasformando l’organizzazione in una fortezza impenetrabile agli assalti dei predatori digitali.
Qual è l’errore più comune che viene commesso a lavoro in termini di cybersecurity?
Vincenzo: L’errore più comune commesso in termini di cybersecurity non è tanto tecnico quanto strategico: si tratta della mancata comprensione, a livello direzionale, che le competenze sviluppate nell’ambito della cybersecurity possono essere un vantaggio trasversale per l’organizzazione. Questa abilità, spesso attribuita erroneamente solo alla gestione delle minacce informatiche, riguarda in realtà la capacità dell’azienda di rispondere velocemente a stimoli esterni, sia che si tratti di minacce alla sicurezza o di opportunità di mercato.
Una corretta implementazione delle pratiche di cybersecurity contribuisce a sviluppare un’organizzazione più agile e reattiva. La capacità di individuare rapidamente i problemi e implementare soluzioni in tempi brevi è uno skill fondamentale che va oltre la mera protezione dagli attacchi informatici. Questo approccio proattivo e dinamico alla gestione dei rischi e delle opportunità non solo migliora la sicurezza ma anche la competitività e l’efficienza operativa dell’azienda.
Pertanto, il principale errore è sottovalutare l’impatto che una cultura di sicurezza ben integrata può avere sull’intera organizzazione, limitando la percezione della cybersecurity a una funzione di supporto piuttosto che vederla come una componente strategica essenziale che abilita l’azienda a navigare con successo in un ambiente sempre più complesso e interconnesso.