Gli attacchi ad Apple e Google, le violazioni al New York Times, le incursioni alla Nasa. Negli Stati Uniti l’attenzione per le minacce online che arrivano dalla Cina è molto forte e coinvolge ovviamente anche i big del mondo IT.
Dopo il rapporto del Congresso che concludeva l’analisi su Huawei e Zte dicendo che “Sulla base di informazioni pubbliche e riservate, non si può escludere che Huawei e Zte siano libere da influenze statali e quindi rappresentano una minaccia alla sicurezza degli Stati Uniti e dei suoi sistemi”, Microsoft, HP, Juniper Networks, e Cisco sono fra le società coinvolte in un programma governativo per proteggere l’hardware commerciale e il software dalle manomissioni illegali.
Il programma, partito in realtà nel 2010, coinvolge anche imprese che operano in altri mercati sensibili (farmaceutico e finanziario), ma a causa degli avvenimenti ha ripreso slancio ribadendo l’obiettivo di condividere le migliori pratiche per la catena di approvvigionamento.
La mossa rende evidente la preoccupazione dell’amministrazione USA, ma anche il governo della Gran Bretagna si sta muovendo, sui rischi di attacchi informatici verso il settore pubblico che sempre di più utilizza tecnologie disponibili per tutti.
“Esiste una certa preoccupazione riguardo alle possibili manomissioni di un prodotto da parte di un individuo o di un altro Paese, o che in rete vi sia un software che possa essere controllato in qualche modo“, spiega a Computer Weekly Edna Conway, a capo della sicurezza delle apparecchiature di rete di Cisco.
Il ruolo dell’Open Group
Il progetto coordinato dall’Open Group, un consorzio che si occupa degli standard IT e raccoglie tutti i nomi più importanti del settore, punta a ridurre il rischio che i componenti contraffatti possano trovare la loro strada nei sistemi IT utilizzati da governi e imprese.
“Le conseguenze dell’utilizzo di un prodotto manomesso potrebbero riguardare qualsiasi settore. Da un reattore nucleare al trading finanziario fino ad altri ambiti del business”, aggiunge Conway.
La situazione è abbastanza preoccupante. Alcuni ricercatori infatti hanno scoperto campagne di spionaggio digitale che hanno preso di mira le società energetiche.
La prima mossa di Open Group e stata di pubblicare l’Open Trusted Technology Supplier Standard, la prima guida che aiuta le organizzazioni contro la crescente sofisticazione degli attacchi alla sicurezza informatica.
Poi è previsto il varo di un programma pilota con laboratorio indipendente in grado di verificare la sicurezza dei prodotti IT.
Entro fine anno è previsto l’introduzione di un sistema di accreditamento per i fornitori IT in grado di dimostrare che la propria supply chain e i processi produttivi siano sicuri.
Tutti i vendor sono tenuti a dimostrare che stanno utilizzando le migliori “practice” per sviluppare la tecnologia in modo sicuro, identificare le potenziali vulnerabilità di sicurezza dei loro prodotti e gestire i possibili rischi che possono arrivare dai loro fornitori.
Sally Long, direttore del technology forum dell’Open Group ha dichiarato che sono gia emersi casi di codici maligni e componenti contraffatti che cercavano di introdursi nei sistemi governativi. “Ecco perché i governi, e non solo quello degli Stati Uniti, vogliono proteggere la supply chain”.
“Per questo ci sarà un innalzamento pervasivo della barra di sicurezza in tutta la catena di approvvigionamento” è l’opinione di Conway.