Cybersecurity: i dispositivi periferici come rischio sottovalutato per le infrastrutture critiche
Un'analisi completa condotta dal National Cybersecurity Test Centre (NTC) mostra che tastiere, cuffie e webcam di produttori affermati presentano significative vulnerabilità di sicurezza. In circa 30 dispositivi testati sono state identificate oltre 60 vulnerabilità, di cui 3 critiche. Lo studio evidenzia che le periferiche rappresentano una superficie di attacco spesso trascurata nell'ambiente di lavoro digitale.
Lo scenario sembra opprimente: una videoconferenza riservata presso un operatore di un'infrastruttura critica sembra essere perfettamente protetta. La rete, il server e il laptop sono all'avanguardia e la connessione è crittografata end-to-end. Ciononostante, un aggressore riesce ad accedere: utilizzando un'antenna del vicino parcheggio, intercetta il traffico radio del microfono da tavolo wireless, non adeguatamente protetto, e può ascoltare la conversazione riservata in pochi secondi. Questo scenario reale è un esempio di come i dispositivi periferici possano diventare un punto debole in infrastrutture IT altrimenti ben protette.
In un'analisi tecnica completa, il National Cyber Security Test Centre (NTC) ha analizzato il grado di sicurezza dei dispositivi periferici sul posto di lavoro digitale. I risultati sono allarmanti: l'NTC ha individuato oltre 60 vulnerabilità in circa 30 dispositivi testati, tra cui tastiere, cuffie, webcam e sistemi di conferenza di produttori affermati come Logitech, Yealink, Jabra, HP, Eizo e Cherry. 13 di queste sono state classificate come gravi, 3 addirittura come critiche.
Asimmetria tra costi di acquisizione e test di sicurezza
«Nella pratica, i dispositivi periferici sono spesso considerati come semplici accessori e quindi non vengono testati sistematicamente o integrati in modo coerente nei concetti di sicurezza esistenti», spiega Tobias Castagna, responsabile degli esperti di test dell'NTC. Eppure questi dispositivi costituiscono l'interfaccia critica attraverso la quale scorrono le informazioni sensibili: Le password vengono inserite tramite tastiere e le conversazioni riservate vengono trasmesse tramite microfoni e webcam.
L'analisi rivela una pericolosa asimmetria: i costi per le analisi di sicurezza professionali spesso superano di molte volte il prezzo di acquisto di questi dispositivi. Di conseguenza, vengono trascurati nell'acquisto e nella gestione.
Principali modelli di rischio identificati
Nel corso di un anno, l'NTC ha sottoposto i dispositivi cablati e wireless a un'analisi sistematica della sicurezza. Le vulnerabilità individuate sono state segnalate ai produttori interessati e la maggior parte di esse è stata rapidamente corretta. In un caso specifico, tuttavia, un produttore non ha risposto: nel caso di un sistema di presentazione wireless, l'NTC ha segnalato il caso all'Ufficio federale per la sicurezza informatica (BACS), che ha poi pubblicato un avviso pubblico.
Il rapporto pubblico evita deliberatamente i dettagli tecnici e le vulnerabilità relative ai prodotti. Al contrario, identifica modelli di rischio generali: impostazioni predefinite non sicure, debolezze nell'accoppiamento dei dispositivi, comunicazioni wireless non adeguatamente protette e carenze nel firmware e nella gestione del ciclo di vita. Lo studio chiarisce che la sicurezza dei dispositivi periferici non è solo una caratteristica del prodotto, ma dipende in larga misura dalla configurazione, dal funzionamento e da chiare linee guida organizzative.
L'analisi mostra anche che le periferiche moderne possono raggiungere un livello di sicurezza accettabile con una configurazione sicura e un firmware aggiornato. Tuttavia, i rischi aumentano con l'aumentare della complessità del dispositivo, ad esempio nei sistemi di conferenza o in altri dispositivi IoT, nonché quando si utilizzano tecnologie wireless obsolete.
Cinque raccomandazioni per ridurre al minimo i rischi
Sulla base dei risultati, l'NTC ha formulato cinque raccomandazioni generali per ridurre i rischi associati all'uso di dispositivi periferici, in particolare per gli operatori di infrastrutture critiche e le organizzazioni con maggiori requisiti di sicurezza: standardizzazione e approvvigionamento sicuro attraverso canali fidati, inclusione dei dispositivi periferici nel ciclo di vita dell'IT e nella gestione degli asset, segmentazione della rete per i dispositivi abilitati alla rete come i sistemi di conferenza, preferenza per le soluzioni cablate nelle aree con maggiori requisiti di protezione e sensibilizzazione dei dipendenti sui rischi fisici e organizzativi.
L'implementazione di queste misure consente alle organizzazioni di ridurre significativamente la loro superficie di attacco con uno sforzo ragionevole. Lo studio è stato condotto nell'ambito di un'iniziativa congiunta dell'NTC con il supporto di autorità federali e cantonali e di organizzazioni del settore finanziario. Per garantire l'indipendenza dei risultati, i produttori dei dispositivi testati non sono stati coinvolti né nella selezione né nell'esecuzione dei test e sono stati contattati solo nell'ambito della notifica riservata per correggere le vulnerabilità.
Ulteriori informazioni: www.ntc.swiss
