Nell’era dell’AIoT il mondo sta diventando sempre più smart e interconnesso. Praticamente tutto ha un proprio ID online e si connette in una rete vastissima di dispositivi: computer, smartphone, sensori intelligenti o telecamere di sicurezza IP.

Secondo un report di Marketsandmarkets, l’IoT è ormai impiegato diffusamente a bordo di automobili, nei complessi produttivi e nelle soluzioni di building automation. Nonostante questo, allo stato attuale non ci sono standard unificati per l’IoT, soprattutto in termini di comunicazione. Da ciò deriva una gestione dei dati non sempre efficiente e una scarsa compatibilità che possono ridurre la sicurezza delle reti IoT. Le previsioni indicano che il mercato globale della sicurezza legato a questo settore crescerà dai 12,5 miliardi di dollari del 2020 a 36,6 miliardi nel 2025, con un tasso di crescita annuo composto (CAGR) del 23,9%.

Dahua Technology, fornitore leader di servizi e soluzioni di sicurezza integrata IoT, crede fermamente nell’importanza strategica della cybersecurity. In molti mercati verticali come gestione della viabilità, finanza, strutture ospedaliere e altre infrastrutture critiche, le organizzazioni raccolgono, processano e archiviano un enorme quantità di dati su dispositivi come telecamere IP e NVR. Una porzione significativa di questi dati è costituita da informazioni sensibili o private, che possono essere soggette ad attacchi. La situazione si complica perché ci sono sempre più dispositivi. Dahua Technology continua a investire nella cybersecurity e collabora attivamente con i network di sicurezza.

Tenendo fede all’impegno di diventare un modello nella cybersecurity e nella tutela della privacy nell’industria della sicurezza, Dahua Technology sta sviluppando e valorizzando la cybersecurity da 10 anni. L’azienda continua a investire circa il 10% del fatturato annuo in R&D, e questo naturalmente include la cybersecurity. Abbiamo anche allestito un team di oltre 100 professionisti dedicato ai problemi di cybersecurity. Grazie alla comprovata esperienza e alla disponibilità di risorse Dahua Technology garantisce la massima attenzione alle responsabilità in tema di cybersecurity.

Struttura organizzativa

Per ottimizzare i processi, Dahua Technology ha implementato un sistema onnicomprensivo per far fronte alle problematiche di cybersecurity. Il sistema, guidato dal comitato di cybersecurity, comprende un gruppo di compliance a cybersecurity e protezione dei dati, un istituto di cybersecurity e un team di pronto intervento per gli incidenti di sicurezza legati ai prodotti (PSIRT). Il comitato ha la facoltà di convocare le risorse di ogni ufficio e dipartimento (R&D, ufficio legale, supply chain, dipartimento overseas business, ecc…) quando necessario. L’istituto di Cybersecurity Institute ha il compito di costruire processi SDLC e integrarli in tutte le linee di prodotti Dahua, assicurandosi che siano adeguatamente protette dai cyber attacchi.

Security Development Lifecycle

Dahua Technology adotta una serie di software di sicurezza professionali SDLC (Security Development Lifecycle) per potenziare la sicurezza dei propri prodotti. In fase di progettazione, lo schema STRIDE + Attack Tree + PIA è calibrato per migliorare la modellazione delle minacce. Nella fase di realizzazione, vengono utilizzate OWASP Top 10 e oltre 150 CWE per l’analisi statica del codice. Durante la fase di testing vengono impiegati più di 20 tool: CompTIA PenTest+/Security+, ISO 30111&290147 e MITRE org CAN.

Sistema di risposta alle emergenze

La collaborazione con professionisti in ogni parte del mondo è fondamentale per rilevare le vulnerabilità. Il Dahua Cybersecurity Center (DHCC) è stato istituito per risolvere i problemi di cybersecurity attraverso la reportistica di vulnerabilità e la condivisione delle conoscenze sulla cybersecurity con i clienti in tutto il mondo per fornire loro prodotti e soluzioni più sicuri. Il Product Security Incident Response Team (PSIRT) è parte integrante del DHCC. Composto da membri con diversi background professionali, il PSIRT si occupa dei prodotti Dahua che hanno evidenziato vulnerabilità di sicurezza. Il personale è attivo 7 giorni su 7 e garantisce una risposta alle emergenze entro 48 ore. Invitiamo tutti coloro che riscontrano rischi di vulnerabilità a contattare il PSIRT Dahua all’indirizzo CyberSecurity@dahuatech.com

Tutela della privacy e dei dati personali

Dahua Technology attribuisce grande importanza alla tutela della privacy e dei dati personali.  In conformità alle norme vigenti come il Regolamento Generale sulla Protezione dei Dati (GDPR), le linee guida dell’EDPB, il Cyber Security for Consumer Internet of Things: Baseline Requirements ETSI EN 303645 e il California Consumer Privacy Act, l’azienda ha definito il Personal Data & Privacy Protection Standard. Il documento indica le modalità di tutela della privacy come de-identificazione, crittografia dei dati e controllo accessi sistematico. Le impostazioni di privacy seguono l’intero ciclo di vita dei dati: raccolta, trasmissione, archiviazione, condivisione, copia ed eliminazione. Lavorando al fianco di istituzioni terze parti di fama mondiale, Dahua Technology ha ricevuto le certificazioni Protected Privacy IoT Product Certification e ETSI Certification da TÜV Rheinland, e le certificazioni ISO 27018 e ISO 27701 da BSI, che dimostrano ancora una volta l’attenzione dell’azienda al trattamento delle informazioni personali e la conformità con le normative privacy globali.

Security Baseline in continua evoluzione

Fondandosi sui principi di Security by Design e Security by Default, la Security Baseline di Dahua si configura con un layout "AAA+CIA+P" che garantisce una protezione sistematica per la sicurezza fisica, dei sistemi, delle applicazioni, dei dati, della rete e della privacy. Sono state sviluppate 7 versioni di baseline oltre a 100 principi per integrare Authentication, Authorization, Audit, Confidentiality, Integrity, Availability e Privacy protection nel sistema di garanzia di qualità.

Product Security Center

Il Product Security Center è a disposizione per assistere gli utenti nella configurazione di sicurezza adeguata ai diversi scenari: tutela della privacy (mascheratura dei volti e delle informazioni…), crittografia video, allarmi, gestione certificazioni…

Ecosistema di Cybersecurity