In un mondo di oggetti connessi e intelligenti, si parla sempre più spesso di Product Cybersecurity, ossia, dell’insieme di metodologie, processi, misure e strumenti che hanno il compito di proteggere dati e comportamenti degli oggetti da possibili interferenze malevole esterne. A che punto siamo oggi con la Product Cybersecurity? Il tema è stato affrontato, nel corso del Cybersecurity Summit 2023 di Milano, lo scorso 8 e 9 marzo, da Simone Pezzoli, Group Chief Technology Officer di Haier Europe. Riportiamo sotto le principali argomentazioni del suo intervento.
TIG. Cosa si intende oggi con Product Cybersecurity?
Simone Pezzoli. In una realtà come la nostra, che vende moltissimi prodotti nel settore del bianco, con numerose dinamiche di smart home, le logiche di sicurezza sono molto specifiche. Abbiamo un piano quinquennale per cui tutto quello che venderemo in futuro sarà connesso o connettibile: questo ci porta a cambiare le modalità per la protezione degli asset aziendali, a riconsiderarne la postura di sicurezza. Noi puntiamo ad anticipare le norme, in particolare quanto arriverà con il Cyber Resilience Act (CRA), che prevede regole di trasparenza verso il mercato e una gestione delle vulnerabilità lungo tutto il ciclo di vita del prodotto. Bisognerà dare in futuro al consumatore la possibilità di valutare la cybersecurity come fattore di scelta decisionale in fase di acquisto. Questo sta portando la cybersecurity a un livello di discussione più alto: abbiamo il commitment da parte della senior leadership nella creazione di organi dedicati alla product security, un product security Incident response team, analisi di vulnerabilità sui prodotti, fino alla possibilità di fare disclosure di vulnerabilità. Si sta lavorando per ottenere certificazioni, ad esempio la ISO 21.827 sull’ingegnerizzazione di prodotto, per spingerci sempre più in là nella catena del valore dei nostri prodotti.
TIG. In previsione potrebbero arrivare le certificazioni di sicurezza: quando ne parleremo?
Simone Pezzoli. Con il Cyber Resilience Act ci sarà proprio questo tema, la necessità di valutare il rischio di un bene che va a casa del consumatore. Per avere il bollino CE, sarà richiesto un assessment del Bill of Materials (BoM) delle componenti che vanno a costituire un determinato bene, sia le componenti hardware, sia anche firmware, backend e frontend, tutto quello che può incidere direttamente o indirettamente sulle possibilità che si arrivi a un danno. Ad esempio, si può pensare a un attacco a un forno connesso che può essere settato a una temperatura molto alta e quindi eventualmente esplodere. Noi puntiamo a collaborare a livello europeo e a portare la nostra voce, perché queste norme siano poi effettivamente gestibili nei diversi mercati di riferimento, una volta entrate in vigore.
TIG. Parliamo di governance complessiva dei processi di sicurezza che riguardano i prodotti: qual è la vostra esperienza?
Simone Pezzoli. Portiamo avanti una traiettoria che punta a creare sinergie tra il mondo della cybersecurity aziendale e la cybersecurity del prodotto. Sulla sicurezza del prodotto, abbiamo uno steering commitee, con la presenza del CEO, dei responsabili delle product line, responsabili dell’area legale e del mondo ICT, per discutere della gestione di vulnerabilità nel mondo del prodotto: quali iniziative si seguono, le certificazioni raggiunte, i piani di remediation che provengono da eventuali assessment. Parlando di investimenti di cybersecurity, oggi è abbastanza risaputo che bisogna prioritizzare quanto da implementare. Quindi, andare a definire le aree di intervento e i piani. Il business nel nostro settore è molto dinamico, le cose cambiano velocemente, l’azienda entra in nuovi mercati con nuovi prodotti, per cui serve ripensare le strategie infrastrutturali, tecnologiche e di cybersecurity. Ogni prodotto deve avere embedded il concetto di cybersecurity fin dall’inizio, e da questo segue un inevitabile impatto sul costo del prodotto.
Riguarda l’intervento di Simone Pezzoli, Group Chief Technology Officer di Haier Europe al Cybersecurity Summit di Milano.
