ACN

Cyber, come funzionano i laboratori accreditati di prova (Lap)



Indirizzo copiato

I Lap sono i laboratori accreditati di prova che l’Agenzia per la cyber nazionale deve accreditare. Supporteranno le attività del suo Cvcn per la valutazione dei soggetti del perimetro nazionale di sicurezza cibernetica

Pubblicato il 17 ott 2023

Alvise Biffi

Ceo di Secure Networks



Laboratori Accreditati di Prova (LAP) accreditabili da acn

Il Cyber Resilience Act è la legge approvata dal Consiglio europeo che ha introdotto una vasta gamma di norme finalizzate a garantire la sicurezza dei prodotti rispetto alle possibili minacce informatiche.

Nel solco di questa regolamentazione unitaria e condivisa vanno progettati e sviluppati hardware e software conformi alle regole comunitarie per i prodotti di uso quotidiano, come smartphone, giocattoli apparecchiature biomedicali, macchine utensili e tanti ancora, affinché tutti i dispositivi connessi siano sicuri.

L’obiettivo è quello di elevare, ulteriormente, la sicurezza nella supply chain, eliminando i potenziali rischi che possono discendere dall’adozione di norme differenti da parte dei singoli Stati Ue.

Cosa sono i Laboratori accreditati di prova (LAP) accreditabili da Acn

Per aiutare le imprese nella transizione verso il Cyber Resilience Act, nascono quindi i Laboratori accreditati di prova (LAP): hub specializzati in cybersecurity concepiti per verificare e certificare software, applicazioni e prodotti “connessi” secondo i requisiti previsti dall’Unione europea e recepiti dagli stati membri attraverso le agenzie nazionali (in Italia Acn), creando così le condizioni per un comparto produttivo più sicuro e, quindi, maggiormente competitivo. Accreditati dall’Agenzia per la cybersicurezza nazionale (Acn), i Lap valutano e certificano i requisiti e le misure minime di sicurezza dei prodotti in uno scenario globale che presenta un alto coefficiente di complessità.

Come funzionano i Laboratori accreditati di prova

Queste strutture dedicate ai test di software, device e macchinari connessi, devono essere attrezzate con un sistema di rilevamento intrusioni con sensori a porte e finestre, sensori volumetrici a doppia tecnologia e un sistema di notifica allarmi alla vigilanza con all’interno anche un laboratorio con pareti perimetrali rinforzate antisfondamento con lamiera metallica, porta blindata con accesso a doppio fattore di autenticazione ed il personale deve avere requisiti tecnici specialistici e passare il vaglio d’esame da parte di ACN.

Per avere un’idea ad alto livello delle attività svolte in un Laboratorio di prova, vediamo ad esempio quelle sui dispositivi embedded – sistemi informatici specializzati per il controllo industriale, l’elettronica di consumo, i dispositivi IoT, gli strumenti medici. I security engineer avviano i test a partire dall’accesso fisico dei componenti interni del dispositivo per esaminarli da vicino, ricostruirne il funzionamento e cercare eventuali punti di accesso non protetti da sfruttare, come ad esempio porte di debug non disabilitate. I componenti hardware, la cui sicurezza viene spesso trascurata, possono costituire un prezioso punto di partenza per arrivare al firmware, il “sistema operativo” dei dispositivi embedded, dove tipicamente si concentrano le vulnerabilità più importanti. Per valutare la sicurezza del firmware, i security engineer ricorrono a decompilatori per ricostruirne il codice sorgente, oltre che a strumenti di debug per interagirci e osservarne il funzionamento.

Fondamentale è anche la sicurezza dei protocolli di comunicazione tra i dispositivi o verso l’esterno, come Wi-Fi, Bluetooth, ZigBee e LoRaWAN. Attraverso strumenti specializzati ci si interpone tra dispositivi e infrastruttura e si tenta di carpire informazioni sensibili o di alterare i dati che vengono trasmessi. Nel caso di protocolli non standard, le tecniche di reverse engineering consentono di ricostruire le comunicazioni a partire dai segnali catturati.

Se i dispositivi in analisi comunicano con un’app per smartphone, come spesso capita per i dispositivi IoT, l’analisi dell’applicazione costituisce parte integrante dei test. I security engineer usano smartphone appositamente configurati per studiare il comportamento dell’app e osservarne le interazioni; eventualmente, il codice dell’app può anche essere modificato mentre l’app è in esecuzione per bypassare restrizioni di sicurezza o per scatenare comportamenti non previsti nel dispositivo in analisi.

Infine, una parte di analisi più tradizionale coinvolge i server di back-end con cui i dispositivi o le applicazioni comunicano. Spesso i server custodiscono i dati degli utenti, che in alcuni casi (come quello degli strumenti medici) possono essere particolarmente sensibili. È quindi fondamentale assicurarsi che i sistemi di autenticazione e di autorizzazione siano sufficientemente robusti, e che gli utenti non possano accedere ai dati di altri utenti. Per condurre questo tipo di analisi, i security engineer intercettano le richieste che il dispositivo o l’applicazione invia al server, le modificano e le re-inviano, tentando di volta in volta di ottenere dal server più informazioni di quelle che sarebbero autorizzati a ricevere.

Conclusioni

La sicurezza informatica è oggi stabilmente parte integrante del ciclo di vita del prodotto e deve essere garantita dall’azienda produttrice a beneficio dell’utente finale. Una sfida che non poteva più essere rinviata: questo, d’altra parte, è il tempo della transizione digitale ed ecologica e, per affrontare con successo le sfide del prossimo futuro, sarà necessario lavorare su solide basi sempre più orientate alla cybersecurity.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2