Come responsabile IT o CISO (Chief Information Security Officer) di un sistema di trasporto pubblico, dovete prendere ogni giorno decisioni importanti. Dalla sicurezza dei dati alla ridondanza dei sistemi, ci sono importanti considerazioni da fare quando si tratta di pianificare e gestire la tecnologia dell'organizzazione. Una delle decisioni più importanti riguarda l'utilizzo di server locali o di server basati su cloud. Nel corso degli anni, questa è stata una delle domande più comuni e popolari che i CISO di tutti i settori hanno dovuto affrontare.
Di recente ho fatto una chiacchierata con Boris Surets, CISO di Optibus, per capire meglio i vantaggi dell'utilizzo di server basati sul cloud, rispetto a quelli locali, in particolare per le aziende di trasporto. Ecco cosa ho appreso:
Ci parli un po' del suo background. Come è entrato nel campo della cybersecurity e cosa l'ha portata a ricoprire il ruolo di CISO presso Optibus?
Ho 35 anni, sono sposato con una donna incredibile e abbiamo due figli fantastici. Ho iniziato a ricoprire diversi ruoli nel settore IT e della sicurezza durante il servizio militare nelle Forze di Difesa Israeliane (IDF). Dopo l'esercito, ho lavorato in posizioni di sicurezza in una serie di startup, PMI e aziende nazionali e globali.
La sicurezza è sempre stata una delle mie passioni. Mi piace il fatto che sia in costante evoluzione e miglioramento. La combinazione di IT, business e amministrazione mi permette di avere una prospettiva a 360 gradi che mi consente di adempiere alle mie responsabilità professionali: garantire i servizi forniti ai nostri clienti e al contempo assicurare il massimo livello di protezione della nostra proprietà intellettuale.
Quando ho scoperto che Optibus stava cercando un CISO, ho colto al volo l'opportunità. Ciò che mi ha attratto è stato scoprire il loro impatto significativo sulla società e il modo in cui stanno letteralmente cambiando il mondo. È stato un immenso privilegio far parte di questo team.
Mi ha fatto piacere scoprire che Optibus considera la sicurezza uno degli aspetti più importanti della nostra piattaforma. Lavoriamo costantemente per assicurarci che la nostra piattaforma soddisfi gli standard di sicurezza del settore, il che ci permette di fornire i migliori servizi e la migliore sicurezza possibile ai nostri clienti.
Quali sono, a suo avviso, le ultime tendenze in materia di cybersecurity di cui il settore dei trasporti pubblici dovrebbe essere maggiormente consapevole (e a cui dovrebbe essere preparato)?
La modernizzazione e la digitalizzazione presentano dei vantaggi, ma offrono anche maggiori opportunità a malintenzionati che intendano violare infrastrutture operative ed IT che elaborano e conservano dati personali e finanziari. C'è anche la minaccia di interrompere pubblici servizi rivolti ai passeggeri, con conseguente perdita di fiducia nei confronti del trasporto pubblico.
Abbiamo assistito ad un allarmante aumento del numero di attacchi alla supply chain, ransomware e Distributed-Denial-of-Service in tutti i settori della vita. Il settore dei trasporti pubblici non è immune da questi metodi di attacco e potrebbe subire anch'esso incidenti informatici significativi.
“Il settore dei trasporti pubblici non è immune da questi metodi di attacco e potrebbe subire anch'esso incidenti informatici significativi.”
Che cosa cercano gli hackers/attacchi informatici nel settore del trasporto pubblico? Che tipo di informazioni gli operatori di autobus dovrebbero assicurarsi di salvaguardare il più possibile?
Il rischio non è solo quello di gravi interruzioni e perturbazioni nelle attività di business e nei servizi critici forniti dalle aziende di trasporto pubblico ai propri clienti. Ogni giorno i passeggeri ripongono la loro fiducia nelle aziende di trasporto pubblico affinché si prendano cura dei loro dati finanziari e di altre informazioni personali. Queste informazioni sensibili, se non adeguatamente protette, potrebbero portare danni sostanziali, tra cui il furto di identità o altri usi fraudolenti delle informazioni dei passeggeri.
Cosa possono fare gli operatori del trasporto pubblico per garantire la sicurezza dei loro dati?
A mio avviso, il modo principale per garantire la sicurezza dei dati è definire i rischi principali per l'azienda e analizzarli dal punto di vista di quella che chiamiamo la "CIA triad" (Confidentiality, Integrity and Availability; Riservatezza, Integrità e Disponibilità). Tuttavia, il modo in cui vengono gestite le informazioni sensibili deve essere la priorità assoluta.
Una cosa che si può iniziare a fare è implementare la segmentazione della rete, enfatizzando la separazione tra le reti della tecnologia operativa e quelle della tecnologia dell'informazione.
- È meglio adottare un approccio basato sul rischio per la gestione delle patch: dando priorità alle risorse critiche per l'azienda.
- Mantenere regole basate sui ruoli e sul contesto quando si impostano i controlli di accesso.
- Crittografare la trasmissione e i dati con ciò che è meglio per la vostra azienda e assicurarsi sempre che sia compatibile con le tecnologie in uso.
Affinché i processi aziendali critici funzionino come dovrebbero, è indispensabile che questi componenti lavorino sistematicamente insieme. In questo modo si garantisce che la visione, gli obiettivi e le missioni aziendali siano innovativi e d'impatto, non solo per i clienti ma anche per l'intero settore del trasporto pubblico.
Quando si aggiorna e si modernizza un sistema di trasporto pubblico, quali sono le domande che il reparto IT dovrebbe prendere in considerazione?
- Chi controlla e aggiorna i nostri protocolli di cybersecurity e come formiamo il nostro personale?
- Con quale frequenza dobbiamo analizzare ed eseguire gli aggiornamenti della cybersecurity?
- Qual è il nostro piano di disaster recovery e chi deve conoscerlo?
- Qual è il punto più vulnerabile del nostro sistema (fisico o digitale) e come possiamo renderlo meno vulnerabile?
- Come possiamo dimostrare la conformità ai nostri controlli di cybersecurity?
Server locali, cloud-based o cloud-native? - Qual è la soluzione più sicura e perché?
Indiscutibilmente, cloud-native.
Esiste un’errata opinione comune per cui l'infrastruttura on-premise e il software legacy sarebbero più sicuri. È importante sapere che il software on-premise presenta rischi legati alla sicurezza che devono essere gestiti in modo adeguato, come la gestione delle vulnerabilità, la gestione delle patch, il networking e gli accessi.
Il software legacy di solito non è crittografato, né in transito né a riposo, e se lo è, i metodi di crittografia utilizzati sono vecchi e vulnerabili a minacce di sicurezza.
L'utilizzo di una piattaforma cloud-native consente elevati livelli di Recovery Time Objective (RTO) e Recovery Point Objective (RPO) e supporta i processi di Business Continuity e Disaster Recovery con backup e repliche dei dati di alto livello. La sicurezza di alto livello e le migliori risorse di cloud computing assicurano ai clienti sempre la migliore funzionalità e sicurezza per i loro dati e per quelli dei loro passeggeri.
Cosa rende Optibus più sicuro dei nostri concorrenti? Soprattutto dei software legacy o on-premise (o anche di Excel)?
Attualmente, la maggior parte degli strumenti di pianificazione, programmazione e turnazione del trasporto pubblico sono piattaforme software legacy on-premise o semplici file Excel gestiti dal personale IT. Queste piattaforme e questi file sono considerati mission-critical e ogni singola azione eseguita su di essi è significativa.
Poiché queste vecchie soluzioni legacy sono state sviluppate utilizzando server e tecnologie di codifica obsoleti a causa di problemi di compatibilità, non sono compatibili con gli strumenti di sicurezza più recenti e nella maggior parte dei casi non possono essere aggiornate. Sfortunatamente, ciò li espone a gravi vulnerabilità di sicurezza.
Fin dall'inizio, Optibus ha implementato diversi controlli e meccanismi di sicurezza, sia tecnici che amministrativi, per assicurarsi di avere il massimo livello di sicurezza.
Sono di parte, ma una delle decisioni più impressionanti prese da Optibus è stata quella di utilizzare meccanismi di sicurezza di prim'ordine per mantenere tutte le reti e i dati criptati. Abbiamo sviluppato la nostra piattaforma come cloud-native, utilizzando approcci di privacy e security-by-design. Tutte le infrastrutture Optibus e gli ambienti della piattaforma dei clienti sono archiviati in server Amazon Web Services (AWS) conformi e altamente sicuri, situati in varie località.
Sappiamo tutti che il trasporto pubblico è una parte significativa dell'infrastruttura critica che influisce sul funzionamento delle città e sulla loro efficienza. In quest'ottica, le aziende di trasporto pubblico dovrebbero prendere sul serio la sicurezza della rete, in particolare quando si tratta delle informazioni e dei dati personali dei loro utenti.
In definitiva, la scelta del tipo di server da utilizzare dipende dalle esigenze e dagli obiettivi specifici di un'organizzazione. Tuttavia, vale la pena considerare i vantaggi dei server basati sul cloud come un'opzione valida per un sistema di trasporto pubblico.