ICT Security: Beware CopyCats!

É stato correttamente fatto notare da un ex Consulente CNIPA, che alcuni sedicenti fornitori di prodotti di sicurezza, hanno inventato soluzioni di firma digitale automatica a costi sicuramente competitivi ma creando, altrettanto sicuramente, soluzioni poco serie.

ICT Security:  Beware Copycats!

Beware Copycats!

Alcuni di questi, hanno infatti provato a copiare il metodo, messo a punto da Secure Edge e proseguito poi da GT50, che si basa sull’uso di lotti di chip crittografici oltre ad una serie di misure di sicurezza, di procedure e di security policy.

Questo approccio integrato ha permesso lo sviluppo della Piattaforma Appliance 2D-Plus ed il superamento con successo di alcune ispezioni effettuate congiuntamente dal Ministero dell’Interno e dalla (allora) DigitPA, su installazioni da noi effettuate e tuttora operative presso importanti Enti di Pubblica Amministrazione.

Da sempre, come nostra politica e buona prassi nel campo della sicurezza ICT, abbiamo rilasciato pubblicamente tutta la documentazione e la descrizione delle architetture, delle procedure e delle security policy consigliate in questo tipo di progetti.

Questa trasparenza è uno dei motivi per cui la nostra soluzione è in esercizio presso piú di100 Clienti, tra Pubblica Amministrazione Centrale e Locale, Università ed Enti di Previdenza.

Contemporaneamente la disponibilità al pubblico di questa importante mole di informazioni e know how, ha sicuramente consentito a qualche improvvisato, di vestirsi di panni non propri e di sviluppare soluzioni di firma digitale automatica scarsamente valide, come ha evidenziato l’Autore della nota di cui stiamo parlando.

Non si diventa professionisti della sicurezza da un giorno all’altro, ne copiando il lavoro altrui, ne tantomeno semplicemente perché si rivendono prodotti intrinsecamente seri e validi.

Vale sempre la pena di ricordare che:

Security is a not a product, but a process
(Security Engineer Mantra)
[Bruce Schneier – Communications of the ACM October 1999]

Al contrario, questi fornitori –senza per altro possedere abbastanza competenza tecnica e capacità di attenzione alla norma, tale che gli permettesse di impostare una soluzione corretta sia tecnicamente che legalmente– hanno tutt’al più connesso una o più smart card ad un server senza preoccuparsi di molto altro; al massimo qualcuno, tentando di copiare un’altra nostra idea, ha chiuso questi lettori di smart card all’interno di “scatole” di varia natura.

Siamo quindi sicuramente d’accordo con chi ha detto (e scritto) prima di noi:

“[…] è necessario, per evitare sorprese, utilizzare prodotti seri
e non affidarsi a soluzioni di dubbia sicurezza o completamente illegali.”

In Secure Edge prima ed in GT50 oggi, siamo particolarmente attenti alle architetture, allo sviluppo software, alle procedure e security policy presenti nelle piattaforme tecnologiche che forniamo ai nostri Clienti e che -tipicamente- comprendono la completa gestione e controllo sulla firma digitale automatica.

Questo, probabilmente, anche a fronte di un’esperienza nel settore della sicurezza, della crittografia e della firma digitale, che conta (ahimè) ormai più 20 anni ed è supportata da una serie di certificazioni professionali.

Da tutto ciò ne deriva che le applicazioni di firma digitale automatica da noi proposte, comprendono tutti i meccanismi descritti in precedenza, necessari a rendere queste applicazioni valide tecnicamente e legalmente, all’interno di una corretta gestione e completo controllo sulla generazione di firme digitali.

Inoltre, allo scopo di mantenere al livello più alto la certezza delle operazioni, abbiamo scelto anche di accreditarci come Registry Authority, con le due Certification Authority più importanti del mercato italiano.

In questo modo, anche il “semplice” processo di erogazione di un certificato qualificato, nel contesto particolare della procedura automatica, viene gestito con il corretto livello di attenzione, nel rispetto del Cliente/firmatario e della sua completa consapevolezza.

Siamo una delle poche aziende interamente italiane che opera a livello di architettura e di sviluppo software, realizzando soluzioni di sicurezza tecnologicamente adeguate ed economicamente convenienti nel mercato della firma digitale.

Fortunatamente i nostri clienti e le nostre referenze parlano più di chiunque altro.

Advertisements

, , , , ,

  1. Lascia un commento

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: