Senza dubbio prevenire è sempre meglio che curare. Non solo per quanto riguarda il nostro sistema immunitario biologico, ma anche nei confronti dei nostri dispositivi informatici, quando diventano il bersaglio di attacchi dal "cyberspazio". In questo caso, una cyber-immunità forte e continua "dal basso verso l'alto" è altrettanto essenziale. A maggior ragione nel caso dei sistemi di sicurezza Commend, quando non sono in gioco solo beni finanziari e materiali, ma potenzialmente anche vite umane. Per questo motivo gli ingegneri Commend hanno da tempo investito molti sforzi, risorse finanziarie e collaborazioni di ricerca di alto profilo nell'implementazione del principio "Privacy and Security by Design" come standard per lo sviluppo di prodotti Cloud-nativi "Symphony". Di conseguenza, i prodotti sono dotati di sicurezza informatica fin dalle prime fasi di sviluppo.
Sicurezza grazie alla ricerca: la cooperazione fra il reparto R&D e il centro di ricerca SBA Research aumenta la sicurezza informatica in Commend
Migliore protezione grazie alla diagnosi precoce
Per garantire un livello di protezione sempre elevato, gli ingegneri software e gli esperti di prodotto Commend collaborano intensamente con partner di ricerca come SBA Research. Queste collaborazioni fanno parte di un progetto globale ("Symphony: Intercom as a Cloud Service") sponsorizzato dall'Agenzia austriaca per la promozione della ricerca (FFG). Insieme a SBA Research, un serbatoio di idee di alto profilo con sede a Vienna e specializzato nella ricerca informatica, Commend ha concluso con successo un'altra fase del progetto. Dal marzo 2022, il team di esperti si è concentrato sugli aspetti critici per la sicurezza dello sviluppo del software Commend. L'obiettivo principale era quello di implementare la capacità di eseguire analisi e test di sicurezza sistematici e approfonditi già nelle prime fasi di progettazione dei prodotti e dei moduli software.
"È una capacità fondamentale per chi sviluppa soluzioni cloud-native come la nostra piattaforma Symphony", spiega Klaus Hirschegger, responsabile del progetto Commend. "La collaborazione con SBA Research ci ha permesso di implementare metodi per verificare la presenza di potenziali rischi nelle singole parti del nostro software in fasi molto precoci del processo di codifica. In questo modo, possiamo apportare le modifiche opportune e prendere le precauzioni necessarie prima di passare alla fase successiva. In termini tecnici si parla di "approccio shift-left". Ciò significa che i test di sicurezza non vengono più eseguiti alla fine della fase di sviluppo, come avveniva fino a non molto tempo fa. I test vengono invece eseguiti nei momenti critici dell'intero processo di sviluppo. È un modo efficace per prevenire le vulnerabilità di sicurezza nel prodotto finito". In Commend, tutti questi sforzi sono raggruppati sotto il termine generale di "Privacy and Security by Design".
Tutto questo è possibile grazie all'utilizzo delle più recenti ricerche in aree quali la modellazione matematica e i test di sicurezza, come quelle fornite dal gruppo di ricerca MATRIS. "Sono sempre affascinato nel vedere come la ricerca e i metodi derivanti da cooperazioni internazionali si traducano in prodotti e servizi pratici. Soprattutto i sistemi e i processi industriali complessi traggono enormi vantaggi da questo tipo di sinergie", afferma Reinhard Kugler, responsabile del progetto SBA. "Sono le conoscenze provenienti da tutti i campi diversi, come i test di sicurezza, l'apprendimento automatico o la modellazione delle minacce, a fornire la base necessaria. Tutti questi elementi si combinano per consentire valutazioni e test di sicurezza durante la fase di ideazione e progettazione, prima ancora che venga scritta una sola riga di codice. E soprattutto, questo permette all'ingegnere del software di tracciare i flussi di dati fino alle stesse linee di codice che li generano".
Il risultato: Qualità attraverso la ricerca
"È stato un progetto di grande successo ed estremamente interessante. Ha soddisfatto tutte le esigenze in termini di contenuti, attenzione e preparazione", afferma Kugler. "Un momento speciale per noi è stato lo scambio di idee tecnologiche durante i workshop". Tutti gli aspetti del prodotto e le aree di produzione sono stati controllati e ricontrollati per individuare potenziali superfici di attacco. Allo stesso tempo, l'architettura di sistema della piattaforma Symphony è stata analizzata alla luce delle migliori pratiche di sicurezza informatica. Nel corso del processo, la piattaforma è stata sottoposta a una serie di attacchi di hacking durante frequenti cicli di pen-test. Tutto questo è culminato in un risultato altamente rassicurante: Molto robusto! Come conferma Kugler, egli stesso appassionato di pen-testing, "il sistema immunitario di Symphony non ha avuto difficoltà a respingere gli attacchi". Anche Michael Thalhammer, Responsabile Ricerca e Sviluppo di Commend International, è più che soddisfatto dei risultati. "La partnership di ricerca ha dimostrato la sua validità", afferma. "Ci permette di mantenere un livello completo di garanzia di qualità che si estende all'intero ecosistema Commend con tutti i suoi sistemi. Siamo molto contenti e soddisfatti dei risultati. Ovviamente", aggiunge, "non esiste una protezione informatica perfetta al 100%. Ma grazie alle ultime ricerche che ci aiutano a mettere in pratica 'Privacy and Security by Design', i nostri clienti possono essere certi che ci stiamo avvicinando molto".
