La pandemia di COVID-19 ha sconvolto le nostre vite in molti modi, a livello personale, sociale o lavorativo. Ora ci affidiamo a Internet e alle piattaforme online per rimanere in contatto con i nostri cari, con i colleghi di lavoro e per acquistare più servizi e prodotti online.

Il COVID-19 ha spinto molte aziende ad accelerare i progetti per migrare i propri sistemi su cloud e per supportare il lavoro da remoto. Con le aziende che migrano ai servizi online e supportano un numero senza precedenti di persone che lavorano da remoto, il tradizionale approccio perimetrale e i modelli alla sicurezza informatica non sono più validi. Questo approccio parte dall'assunto che tutti i dispositivi, servizi e utenti all'interno del perimetro sono affidabili, mentre quelli all'esterno non lo sono. Ma ora il perimetro a tutti gli effetti non esiste più.

A rendere questa nuova problematica ancora più critica è la rivoluzione dell'Internet of Things (IoT), che fa sorgere una moltitudine di questioni legate all'affidabilità di questi dispositivi. Ora abbiamo TV, luci, impianti di riscaldamento, auto e molti altri oggetti che sono connessi a internet, e la lista dei dispositivi connessi, che siano smart o meno, cresce ogni giorno.

Alcuni di questi dispositivi IoT sono connessi alle reti aziendali, come quella smart TV in sala riunioni, ad esempio. E spesso questi dispositivi sono a loro volta connessi con la piattaforma del fornitore per supporto, aggiornamenti o funzionalità operative aggiuntive. Quindi ora i nostri sistemi aziendali devono a tutti gli effetti considerare come affidabile un dispositivo IoT che a sua volta è connesso con la piattaforma di un fornitore al di fuori del nostro perimetro e del nostro diretto controllo.

Inoltre, non tutti i fornitori IoT investono tempo e risorse in modo adeguato per rendere sicuri i loro prodotti. Ci sono molti esempi di dispositivi IoT con un'autenticazione debole, o con credenziali predefinite, oppure ci sono fornitori che non dispongono di modi appropriati per fare aggiornamenti di sicurezza. L'aumento di reti 5G supporterà l'aumento di dispositivi IoT, e questo non farà altro che aggravare il problema.

Quelli che sono tradizionalmente i tre pilastri della sicurezza - riservatezza, integrità e disponibilità - devono essere integrati da un quarto elemento. Quel pilastro è l'affidabilità. Come possiamo fidarci dei servizi online che usiamo? Come possiamo fidarci dei sistemi a cui accediamo? Come possiamo fidarci dei dispositivi che accedono alla nostra rete? E come possiamo fidarci di aggiornamenti, messaggi e qualsiasi altra interazione effettuata dai nostri computer ogni giorno, spesso senza che ce ne accorgiamo e spesso senza il nostro intervento?

La fiducia non è un qualcosa che appare magicamente. Per sua stessa natura deve essere sviluppata e alimentata nel tempo. Nasce dalle interazioni positive e si rafforza nel tempo ripetendo quelle stesse interazioni positive. Tuttavia, anche se può volerci del tempo per creare fiducia, non ci vuole molto a perderla a causa di un'interazione o di un evento negativo. Nel 1987, dopo aver firmato l'Intermediate-Range Nuclear Forces Treaty, l'allora presidente degli Stati Uniti, Ronald Reagan, alla domanda su come potesse essere certo che l'Unione Sovietica avrebbe rispettato il trattato, rispose con la frase "fidati, ma verifica". La frase, che deriva da un vecchio proverbio russo, "Doveryai, no proveryai", sottolinea come non ci si deve fidare ciecamente, ma cercare la conferma del fatto che quella fiducia venga rispettata.

I certificati digitali sono una parte essenziale delle fondamenta su cui si crea quell'affidabilità di cui abbiamo bisogno per gestire le nostre vite private e professionali in modo sicuro. Sono utili perché proteggono i dati, sia quando sono in transito nelle reti che quando sono salvati in computer e dispositivi. Possono anche fornire una tecnologia efficace per l'autenticazione nei nostri sistemi di persone e dispositivi, inclusi quelli IoT, e in questo modo possiamo essere certi che siamo connessi e stiamo comunicando con qualcuno di cui ci fidiamo.

È importante sottolineare che da soli i certificati digitali potrebbero non bastare per creare e mantenere i livelli di affidabilità necessari. In passato il cybercrime ha approfittato di una cattiva gestione dei certificati digitali e delle chiavi a loro associate. Criminali hanno rubato certificati da aziende rispettabili e li hanno poi usati per firmare digitalmente aggiornamenti software o compiere altre azioni dolose.

Nel mondo post-pandemico continueremo a vedere sempre più persone e aziende ricorrere al remote working, impegnate a implementare nuove piattaforme online e a distribuire dispositivi IoT in case e uffici. Questo porterà a un'impennata nel numero di certificati digitali che le aziende si troveranno a dover gestire. Con l'erosione del perimetro di sicurezza, questi certificati dovranno essere emessi, rinnovati, revocati e costantemente gestiti per assicurarne l'integrità. La dimensione e il volume dei certificati digitali da gestire richiederanno alle aziende l'uso di soluzioni scalabili per gestire i certificati digitali senza problemi nel cloud privato o pubblico, in locale o tramite una soluzione di gestione ospitata da una CA.

Nel mondo digitale dobbiamo creare affidabilità, ma abbiamo anche bisogno di piattaforme scalabili e automatizzate per gestire e verificare quell'affidabilità.

Argomenti in primo piano