EO 522

TECH INSIGHT HW BASED SECURITY Lo scenario delle minacce informatiche è assai ampio e articolato e comprende diversi tipi di attacchi. Gli at- tacchi alla catena di fornitura (supply chain) prevedo- no il ricorso ai cosiddetti “bad actors” (attori delle mi- nacce) che acquisiscono il controllo dell’infrastruttura IT di un’organizzazione attraverso fornitori esterni. Un altro problema molto diffuso è rappresentato da- gli attacchi ransomware, in cui un software dannoso (o malevolo) cripta i file, rendendo dispositivi e dati inaccessibili agli utenti. Non bisogna inoltre dimenti- care le violazioni dei dati, che rappresentano una delle principali preoccupazioni: in questo caso, i crimina- li informatici prendono di mira le organizzazioni per rubare informazioni sensibili, tra cui dati personali, registrazioni finanziarie e proprietà intellettuali. Di fronte a un panorama di minacce informatiche così variegato, i rischi per singoli individui e intere orga- nizzazioni derivati dall’inadeguatezza delle misure di sicurezza e di protezione dei dati sono di notevole entità. SolarWinds , per esempio, ha subito un attacco di alto profilo alla catena di fornitura (supply chain) che ha compromesso il periodico aggiornamento del software Orion, consentendo l’accesso non autorizzato a numerose agenzie governative e aziende del settore privato.[1] Si tratta di uno tra i numerosi esempi di casi di alto profilo che dimostrano che le violazioni dei dati pos- sono essere estremamente costose. Oltre al danno di natura economica derivante dalla perdita di contrat- ti e dall’aumento delle assicurazioni, le violazioni dei dati causano anche un enorme danno alla reputazione e l’erosione della fiducia dei clienti, che può richiedere anni per essere recuperata. L’ambiente normativo per la sicurezza basata sull’hardware Per contrastare le minacce informatiche emergenti, i progetti elettronici fanno ricorso in misura sempre maggiore alla sicurezza basata sull’hardware. Si tratta di un approccio che utilizza componenti fisici, come processore, chip sicuri o moduli crittografici per raf- forzare le difese dei sistemi contro le minacce. A dif- ferenza delle misure di protezione basate sul software, che fanno ricorso a programmi e algoritmi, la sicurez- za basata sull’hardware prevede l’integrazione del- le funzionalità di sicurezza all’interno dell’hardware stesso, assicurando protezione fisica contro attacchi specifici e un elevato grado di resistenza contro ten- tativi di manomissione grazie all’inclusione diretta nell’hardware. In ogni caso, il progetto di un sistema la cui sicurez- za è basata sull’hardware richiede una conoscenza completa e approfondita dei quadri legislativi e della sicurezza per assicurare che i sistemi e i componenti siano sicuri e i prodotti o le soluzioni finali risultino pienamente conformi ai requisiti legali. Tra i numerosi esempi di standard si possono segnalare la legge euro- pea sulla resilienza informatica (EU Cyber Resilience Act), ISO/IEC e GDPR. Di seguito verranno analizzati alcuni dei principali regolamenti e standard che carat- terizzano il panorama della sicurezza basata sull’har- dware, per comprendere in che modo possano contri- buire all’adozione di misure di sicurezza più efficaci. La legge europea sulla resilienza informatica A livello di obiettivi, la legge europea sulla resilien- za informatica (CRA - Cyber Resilience Act) - che ha ottenuto l’approvazione informale dal Parlamento Europeo nel marzo del 2024 - mira a salvaguardare i consumatori e le imprese che acquistano o utilizzano prodotti che contengono prodotti digitali. Attraverso una serie di regole armonizzate, essa stabilisce una serie di requisiti relativi alla sicurezza informatica che regolano la pianificazione, la progettazione, lo sviluppo e la manutenzione di questi prodotti, con ob- blighi da rispettare in ciascuno stadio della catena del valore. Lo scopo è migliorare la sicurezza informatica dei prodotti digitali commercializzati nell’Unione Eu- ropea e responsabilizzare i produttori relativamente all’intero ciclo di vita dei loro prodotti. Per i progetti- sti, ciò significa integrare misure di sicurezza robuste “end-to-end”, a partire dalla fase iniziale di sviluppo di un prodotto fino ad arrivare a quella di fine vita del- lo stesso. La conformità con il CRA aiuta i progettisti a sviluppare sistemi in grado di resistere ad attacchi sofisticati, proteggendo in tal modo sia gli utenti sia le infrastrutture critiche. La certificazione CRA dell’Unione Europea riguarda i prodotti disponibili in commercio. Solitamente, lo sviluppatore effettua una valutazione basata sul ri- schio che prevede la consultazione di altri standard e linee guida attinenti, al fine di stabilire la catego- ria di rischio in cui rientra un determinato prodotto. Le categorie sono le seguenti: Default (rischio ridot- to di sicurezza informatica), Classe I (rischio elevato) o Classe II (rischio massimo). Nella prima categoria (Default) rientrano prodotti come altoparlanti smart e termostati domestici. Per quanto riguarda la Classe I, tra i prodotti tipici si possono annoverare dispositivi IIoT (Industrial Internet of Things) o componenti elet- tronici consumer con accesso limitato a dati sensibi- li o funzioni critiche. Nella Classe II, infine, vi sono i ELETTRONICA OGGI 522 - NOVEMBRE/DICEMBRE 2024 37