Secure by Design non è un’etichetta, ma un cambio di paradigma. È la risposta strutturale a un problema sistemico: la fragilità intrinseca dei prodotti digitali. Lanciato nel maggio 2024 dalla Cybersecurity and Infrastructure Security Agency (Cisa) degli Stati Uniti, il Secure by Design Pledge rappresenta un impegno volontario ma concreto per i produttori di tecnologia. L’obiettivo è chiaro: spostare la responsabilità della sicurezza dalle mani degli utenti finali a quelle dei vendor, imponendo che la protezione sia integrata fin dalla fase di progettazione.
Il contesto che ha portato alla nascita del Pledge è quello di un ecosistema digitale sempre più interconnesso, dove ogni vulnerabilità può diventare un punto d’ingresso per attacchi su larga scala. La Cisa ha quindi definito un insieme di principi guida, destinati a diventare standard globali. L’adesione al programma non è solo una dichiarazione d’intenti, ma un impegno verificabile, che richiede modifiche profonde nei processi di sviluppo, distribuzione e manutenzione dei prodotti.
Indice degli argomenti
I sette principi del Secure by Design
Il cuore del Pledge è rappresentato da sette principi fondamentali, che definiscono cosa significa davvero progettare in modo sicuro. Ogni principio è pensato per ridurre la superficie di attacco, aumentare la trasparenza e garantire una risposta rapida agli incidenti.
Autenticazione a più fattori di default
Il primo principio impone che tutti i prodotti digitali supportino l’autenticazione a più fattori (Mfa) come impostazione predefinita. Non si tratta di un’opzione da attivare, ma di una misura di sicurezza strutturale, pensata per proteggere gli accessi da attacchi basati su credenziali compromesse.
Eliminazione delle credenziali predefinite
Il secondo principio vieta l’uso di password di default. Ogni dispositivo deve essere distribuito con credenziali uniche e casuali, da modificare obbligatoriamente al primo utilizzo. Questo elimina una delle vulnerabilità più comuni nei sistemi connessi.
Riduzione delle vulnerabilità comuni
Il terzo principio richiede l’adozione di pratiche di sviluppo sicuro, come l’analisi statica del codice, i test automatizzati e l’aderenza alle linee guida Owasp. L’obiettivo è prevenire le vulnerabilità note prima ancora che il prodotto venga rilasciato.
Patch rapide e automatizzate
Il quarto principio impone la capacità di correggere le vulnerabilità in modo tempestivo, attraverso aggiornamenti automatici o facilmente applicabili. La velocità nella distribuzione delle patch è cruciale per limitare l’impatto degli attacchi.
Trasparenza nella gestione delle vulnerabilità
Il quinto principio promuove la pubblicazione di una politica di divulgazione responsabile (Vdp), con canali chiari per la segnalazione delle falle. La trasparenza è vista come un elemento di fiducia, non come una debolezza.
Logging e audit di sicurezza
Il sesto principio richiede che i prodotti registrino le attività rilevanti per consentire audit, analisi forense e gestione degli incidenti. La visibilità è fondamentale per rilevare comportamenti anomali e rispondere in modo efficace.
Verifica indipendente della sicurezza
Il settimo principio incoraggia la collaborazione con enti terzi per la verifica della sicurezza, attraverso penetration test e audit esterni. L’obiettivo è garantire che le misure adottate siano efficaci e aggiornate.
Zyxel, il primo vendor taiwanese ad aderire al Pledge
Zyxel Networks è stato tra i primi vendor globali ad aderire al Secure by Design Pledge, distinguendosi come il primo produttore taiwanese a farlo. L’azienda, specializzata in soluzioni di rete cloud e AI-driven per le Pmi, ha integrato i sette principi nel proprio portafoglio di prodotti, con un approccio metodico e trasparente.
ùTutti i dispositivi gestiti tramite la piattaforma Nebula, inclusi firewall, router, switch e access point, supportano l’autenticazione a più fattori. Zyxel è stato il primo vendor al mondo a introdurre la Mfa per l’accesso wireless, grazie alla funzione Secure WiFi, che consente agli amministratori di imporre credenziali forti anche per gli access point remoti. Ogni dispositivo viene fornito con password uniche e casuali, da modificare al primo accesso. Per le reti gestite via cloud, la creazione di credenziali robuste è parte integrante del processo di configurazione iniziale.
Sicurezza proattiva e trasparente
Zyxel ha adottato pratiche di sviluppo sicuro basate sulle linee guida Owasp Top 10, utilizza strumenti avanzati di analisi statica del codice come Checkmarx e si avvale di test combinatori automatizzati. Inoltre, collabora con società indipendenti specializzate in penetration testing per identificare e correggere eventuali falle.
Dal 2021, Zyxel è Cve Numbering Authority (Cna), il che le consente di assegnare codici Cve ufficiali alle vulnerabilità scoperte nei propri prodotti. Negli ultimi cinque anni, il tempo medio di risoluzione delle vulnerabilità è rimasto costantemente in linea con gli standard di settore, a conferma di un approccio reattivo e coordinato. La politica di divulgazione delle vulnerabilità è pubblica, dettagliata e accessibile. Grazie a questa trasparenza, Zyxel ha ottenuto il massimo livello di riconoscimento da parte della Cna, un risultato unico tra i brand di networking per le Pmi.
Logging esteso e visibilità centralizzata
Tutti i prodotti Nebula conservano da 7 a 30 giorni di registrazioni dettagliate dell’attività di rete. I dati vengono analizzati tramite SecuReporter, una piattaforma cloud che offre una visione centralizzata delle attività e delle minacce. Per firewall e router, i log vengono mantenuti fino a 12 mesi, permettendo audit approfonditi e una gestione efficace degli incidenti.
“Crediamo che la sicurezza debba essere integrata fin dall’inizio, non aggiunta successivamente”, ha dichiarato Ken Tsai, Presidente di Zyxel Networks. “Il nostro impegno verso il principio Secure by Design ci permette di proteggere clienti e partner in un panorama di minacce in continua evoluzione”.
Banda ultralarga e sicurezza: due facce della stessa medaglia
L’adozione del modello Secure by Design si inserisce in un contesto più ampio, dove la banda ultralarga rappresenta l’infrastruttura abilitante per la digitalizzazione. Le reti ad alta capacità amplificano il potenziale delle soluzioni cloud e AI-driven, ma al tempo stesso aumentano la superficie di attacco. Per questo, la sicurezza nativa diventa imprescindibile.
Verso uno standard globale
In questo quadro, il Secure by Design Pledge è destinato a diventare uno standard globale. La sua adozione da parte di vendor internazionali, unita al supporto delle autorità pubbliche, può trasformare radicalmente il modo in cui vengono progettati e distribuiti i prodotti digitali. In un mondo sempre più interconnesso, la sicurezza non può più essere un’opzione. Deve essere il punto di partenza.
