ACN

Cyber, come funzionano i laboratori accreditati di prova (Lap)

Home Sicurezza digitale
Indirizzo copiato

I Lap sono i laboratori accreditati di prova che l’Agenzia per la cyber nazionale deve accreditare. Supporteranno le attività del suo Cvcn per la valutazione dei soggetti del perimetro nazionale di sicurezza cibernetica

Pubblicato il 17 ott 2023
Alvise Biffi

Ceo di Secure Networks

Laboratori Accreditati di Prova (LAP) accreditabili da acn

Il Cyber Resilience Act è la legge approvata dal Consiglio europeo che ha introdotto una vasta gamma di norme finalizzate a garantire la sicurezza dei prodotti rispetto alle possibili minacce informatiche.

Nel solco di questa regolamentazione unitaria e condivisa vanno progettati e sviluppati hardware e software conformi alle regole comunitarie per i prodotti di uso quotidiano, come smartphone, giocattoli apparecchiature biomedicali, macchine utensili e tanti ancora, affinché tutti i dispositivi connessi siano sicuri.

Operativo il Centro di Valutazione e Certificazione Nazionale (CVCN): un traguardo per la cyber nazionale

L’obiettivo è quello di elevare, ulteriormente, la sicurezza nella supply chain, eliminando i potenziali rischi che possono discendere dall’adozione di norme differenti da parte dei singoli Stati Ue.

Cosa sono i Laboratori accreditati di prova (LAP) accreditabili da Acn

Per aiutare le imprese nella transizione verso il Cyber Resilience Act, nascono quindi i Laboratori accreditati di prova (LAP): hub specializzati in cybersecurity concepiti per verificare e certificare software, applicazioni e prodotti “connessi” secondo i requisiti previsti dall’Unione europea e recepiti dagli stati membri attraverso le agenzie nazionali (in Italia Acn), creando così le condizioni per un comparto produttivo più sicuro e, quindi, maggiormente competitivo. Accreditati dall’Agenzia per la cybersicurezza nazionale (Acn), i Lap valutano e certificano i requisiti e le misure minime di sicurezza dei prodotti in uno scenario globale che presenta un alto coefficiente di complessità.

Come funzionano i Laboratori accreditati di prova

Queste strutture dedicate ai test di software, device e macchinari connessi, devono essere attrezzate con un sistema di rilevamento intrusioni con sensori a porte e finestre, sensori volumetrici a doppia tecnologia e un sistema di notifica allarmi alla vigilanza con all’interno anche un laboratorio con pareti perimetrali rinforzate antisfondamento con lamiera metallica, porta blindata con accesso a doppio fattore di autenticazione ed il personale deve avere requisiti tecnici specialistici e passare il vaglio d’esame da parte di ACN.

Laboratori accreditabili dall’Agenzia cyber: i punti principali

  • I laboratori Accreditati di Prova (LAP) sono dettagliati nell’ultimo decreto attuativo (vedi Gazzetta Ufficiale), del decreto-legge che ha istituito il Perimetro di Sicurezza Nazionale Cibernetica.
  • Supporteranno il Centro di Valutazione e Certificazione Nazionale (Cvcn), presso l’Agenzia cyber nazionale, per valutare la sicurezza di beni, sistemi e servizi ICT dei soggetti inseriti nel Perimetro di sicurezza nazionale cibernetica.
  • Sono previsti 29 laboratori, con un bando dell’Agenzia che assegna 200mila euro ciascuno.
  • Ad oggi, a quanto riferiscono dall’Agenzia, sono quattro i laboratori in corso di valutazione, che può durare per legge massimo 180 giorni.
  • L’Agenzia deve valutare il rispetto dei requisiti previsti, in termini di risorse, documenti e infrastrutture disponibili al laboratori.

Scheda a cura della Redazione

Per avere un’idea ad alto livello delle attività svolte in un Laboratorio di prova, vediamo ad esempio quelle sui dispositivi embedded – sistemi informatici specializzati per il controllo industriale, l’elettronica di consumo, i dispositivi IoT, gli strumenti medici. I security engineer avviano i test a partire dall’accesso fisico dei componenti interni del dispositivo per esaminarli da vicino, ricostruirne il funzionamento e cercare eventuali punti di accesso non protetti da sfruttare, come ad esempio porte di debug non disabilitate. I componenti hardware, la cui sicurezza viene spesso trascurata, possono costituire un prezioso punto di partenza per arrivare al firmware, il “sistema operativo” dei dispositivi embedded, dove tipicamente si concentrano le vulnerabilità più importanti. Per valutare la sicurezza del firmware, i security engineer ricorrono a decompilatori per ricostruirne il codice sorgente, oltre che a strumenti di debug per interagirci e osservarne il funzionamento.

Fondamentale è anche la sicurezza dei protocolli di comunicazione tra i dispositivi o verso l’esterno, come Wi-Fi, Bluetooth, ZigBee e LoRaWAN. Attraverso strumenti specializzati ci si interpone tra dispositivi e infrastruttura e si tenta di carpire informazioni sensibili o di alterare i dati che vengono trasmessi. Nel caso di protocolli non standard, le tecniche di reverse engineering consentono di ricostruire le comunicazioni a partire dai segnali catturati.

Se i dispositivi in analisi comunicano con un’app per smartphone, come spesso capita per i dispositivi IoT, l’analisi dell’applicazione costituisce parte integrante dei test. I security engineer usano smartphone appositamente configurati per studiare il comportamento dell’app e osservarne le interazioni; eventualmente, il codice dell’app può anche essere modificato mentre l’app è in esecuzione per bypassare restrizioni di sicurezza o per scatenare comportamenti non previsti nel dispositivo in analisi.

Infine, una parte di analisi più tradizionale coinvolge i server di back-end con cui i dispositivi o le applicazioni comunicano. Spesso i server custodiscono i dati degli utenti, che in alcuni casi (come quello degli strumenti medici) possono essere particolarmente sensibili. È quindi fondamentale assicurarsi che i sistemi di autenticazione e di autorizzazione siano sufficientemente robusti, e che gli utenti non possano accedere ai dati di altri utenti. Per condurre questo tipo di analisi, i security engineer intercettano le richieste che il dispositivo o l’applicazione invia al server, le modificano e le re-inviano, tentando di volta in volta di ottenere dal server più informazioni di quelle che sarebbero autorizzati a ricevere.

Conclusioni

La sicurezza informatica è oggi stabilmente parte integrante del ciclo di vita del prodotto e deve essere garantita dall’azienda produttrice a beneficio dell’utente finale. Una sfida che non poteva più essere rinviata: questo, d’altra parte, è il tempo della transizione digitale ed ecologica e, per affrontare con successo le sfide del prossimo futuro, sarà necessario lavorare su solide basi sempre più orientate alla cybersecurity.

Spese crescenti per la cyber security

La cybersecurity è sempre di più una importante voce di spesa per i paesi: un trend che trova spiegazione nei numeri presentati da CLUSIT – l’Associazione Italiana per la Sicurezza Informatica – nel suo ultimo rapporto. Lo scorso anno, in tutto il mondo, si sono verificati 2.489 attacchi gravi; di questi, 188 quelli registrati in Italia, in crescita del 169% rispetto al 2021, anche come conseguenza del conflitto in Ucraina.

L’83% di quelli andati a segno nel nostro Paese hanno avuto conseguenze molto gravi o critiche alle organizzazioni che li hanno subiti. Conseguentemente a ciò, nel 2022 l’Italia ha speso poco meno di 2 miliardi di euro in prodotti e servizi di sicurezza informatica, il 18% in più rispetto all’anno precedente.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Intelligenza Artificiale

    Il futuro del lavoro con l'IA visto da LinkedIn: cifre e tendenze

    30 Nov 2023

    di Fabio Moioli

    Condividi

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

Il futuro del lavoro con l'IA visto da LinkedIn: cifre e tendenze

Articolo 1 di 3