Mentre i CIO e le loro organizzazioni hanno sempre più dispositivi connessi e costruiscono ambienti IoT giorno dopo giorno più estesi, qualcuno deve nel frattempo preoccuparsi di proteggere questi ecosistemi e tutti i dati da essi generati. In questa sfida la crittografia si dimostra essere un utile strumento che sfrutta i codici per proteggere le informazioni e le comunicazioni, rendendole inaccessibili a tutti tranne a coloro che sono autorizzati a decifrarli.
I responsabili della sicurezza vedono di buon occhio il suo utilizzo in ambienti IoT, considerandola un modo ottimale per proteggere i dati sia statici che in transito e anche i canali che li trasmettono, oltre che per autenticare i dispositivi all’interno della rete IoT, fornendo così una copertura di protezione contro gli hacker.
“La crittografia in generale è una best practice di sicurezza, e questo vale anche per i casi d’uso IoT, per proteggere i dati in transito dal dispositivo al back end o statici. Dovrebbe essere impiegata ovunque, perché più si criptano i dati, maggiore è la protezione che si offre” ha detto Merritt Maxim, vice presidente e direttore della ricerca presso la società di ricerca Forrester Research.
Le sfide nella sicurezza IoT
Qualsiasi dispositivo elettronico che contiene dati può essere compromesso, indipendentemente dal fatto che sia collegato a Internet. Un criminale può rubare un computer portatile e penetrare nei file che contiene, per esempio, ma il rischio di accesso non autorizzato ai dispositivi elettronici e ai dati che contengono aumenta notevolmente non appena questi dispositivi vengono connessi a Internet.
L’Internet of Things accresce significativamente il rischio di accesso non autorizzato semplicemente a causa dell’enorme numero di dispositivi connessi a Internet che comporta, un numero impressionante. IoT Analytics, una società di ricerca di mercato IoT, ha stimato la quantità di endpoint attivi nel mondo nel 2021 con una cifra di 12,3 miliardi e prevede più di 27 miliardi di connessioni IoT entro il 2025.
I ricercatori di IDC reputano che ci saranno 55,7 miliardi di dispositivi connessi nel mondo entro il 2025, di cui il 75% connessi a una piattaforma IoT, e stimano un mole di dati da essi generati pari a 73,1 zettabyte entro il 2025, rispetto ai 18,3 zettabyte del 2019. Quel volume enorme di dati non è l’unica sfida per la sicurezza.
Le implementazioni IoT fanno aumentare anche i rischi di hacking perché i loro dati sono custoditi in vari luoghi: nei dispositivi endpoint, nei gateway e nei server centralizzati, così come nel transito tra tutti questi punti. La crittografia entra in gioco per ridurre al minimo questi rischi.
Quando applicare la crittografia nell’IoT
La crittografia può essere utilizzata in varie aree di un’implementazione IoT, le organizzazioni possono usarla per proteggere i canali di comunicazione mentre gli sviluppatori possono usare il protocollo crittografico Transport Layer Security, per assicurare comunicazioni sicure, oppure per criptare e decriptare i dati all’interno dell’ecosistema IoT, usando una delle varie opzioni disponibili.
Tra queste ci sono algoritmi di crittografia simmetrica o a chiave singola come l’Advanced Encryption Standard (AES), l’infrastruttura a chiave pubblica (PKI) o algoritmi di crittografia a chiave asimmetrica come l’algoritmo Rivest-Shamir-Adleman e l’algoritmo della firma digitale.
Il funzionamento e i benefici della crittografia nelle implementazioni IoT sono essenzialmente gli stessi di quando viene utilizzata in altri tipi di infrastrutture IT, ha detto Jason Pittman, membro di facoltà presso la School of Cybersecurity and Information Technology dell’Università del Maryland Global Campus.
“Un principio fondamentale della tecnologia e della sicurezza informatica è che solo le persone che devono poter accedere dovrebbero avere il permesso di farlo e il modo migliore per garantire che nessuno tra i non autorizzati abbia accesso a un dispositivo o a dei dati è quello di usare la crittografia“, ha detto Pittman. “Quindi, anche se non si teme un attacco, si dovrebbe tener presente che nessuno dovrebbe accedere a qualcosa se non è autorizzato a farlo e il metodo più efficace per far sì che ciò accada è la crittografia”.
Sfide e limitazioni nella crittografia per IoT
Ci sono però delle sfide e delle peculiarità tecniche all’interno degli ambienti IoT che possono impattare sull’uso della crittografia. “Quello a cui deve badare chi si occupa di IoT sono i vincoli dei dispositivi, soprattutto perché sono a bassa potenza, e la crittografia, per via della matematica impiegata, è hardware intensive“, ha detto Pittman.
I vincoli a livello di hardware – in particolare la potenza e la memoria limitate – possono aggiungere elementi nella valutazione dell’uso della crittografia in ambienti IT che non sono da considerare in situazioni più convenzionali, ha detto Yale Fox, membro IEEE, TED fellow e CEO di Rentlogic, una piattaforma che analizza grandi quantità di dati pubblici per generare valutazioni degli edifici di New York City in lettere.
Anche i requisiti di velocità possono essere un fattore importante da considerare nelle decisioni sull’uso della crittografia in un’implementazione IoT. Si devono considerare questi vincoli quando si scelgono i protocolli crittografici utilizzare. “Ce ne sono alcuni con migliori performance nel trasmettere informazioni in modo più efficiente dal punto di vista energetico”, ha aggiunto Fox.
Per esempio, alcuni esperti hanno scoperto che AES non è abbastanza leggero per alcuni casi d’uso IoT, mentre altri hanno notato che alcune opzioni leggere non offrono una protezione abbastanza forte per casi d’uso IoT altamente sensibili.
Un’altra sfida potenziale per la crittografia nell’IoT è la gestione delle chiavi di crittografia a causa dell’alto volume di dispositivi coinvolti. Alcune implementazioni IoT coinvolgono centinaia di migliaia di dispositivi che generano dati crittografati, creando una complessità che non esiste in ambienti non-IoT. Le organizzazioni devono quindi assicurarsi che la crittografia scelta offra una protezione sufficiente per i casi d’uso che di loro interesse sapendo però che nessuna soluzione di sicurezza offre una garanzia completa e che la crittografia non fa eccezione.
Per esempio, il Data Encryption Standard è significativamente più suscettibile agli attacchi crittografici brute-force rispetto ad altre opzioni ed è uno dei motivi per cui questo standard, uno dei più vecchi algoritmi di crittografia, è caduto in disuso e non è molto usato oggi.
“Bisogna stare attenti a come viene implementata la crittografia, e le aziende devono assicurarsi che anche se implementano gli algoritmi più avanzati, i dispositivi stessi non possano essere compromessi”, ha aggiunto Maxim.
Adozione della crittografia nell’IoT: casi d’uso
Gli esperti di sicurezza e gli analisti non avevano dati disponibili sull’uso della crittografia negli ambienti IoT, ma hanno detto che il suo uso sembra essere in aumento.
“Viene usata più di prima, ma non sono sicuro sia usata quanto sarebbe opportuno farlo”, ha detto Pittman. “Tutti i dispositivi moderni sono dotati della capacità di impiego nativo della crittografia, non è più un’opzione aggiuntiva, quindi la sua implementazione è diventata banale rispetto anche solo a cinque anni fa”. Eppure gli esperti affermano che molte organizzazioni non stanno usando la crittografia per proteggere i loro ambienti IoT. Gli esperti IT forniscono ragioni diverse per sostenere il loro evitare la crittografia, alcuni non la impiegano perché blocca la visibilità, rendendo difficile l’analisi della rete e la risoluzione dei problemi. Altri scelgono di non usarla perché credono che gestirla o configurarla vada oltre le loro competenze attuali e la loro capacità di pagare le competenze necessarie. Alcune organizzazioni decidono invece di utilizzare la crittografia per proteggere solo una parte del loro ambiente IoT, come ad esempio i dati statici.
Alcuni esperti hanno risposto a queste osservazioni mostrando che i benefici della crittografia superano le sfide legate alla sua implementazione. “La sicurezza è spesso un centro di costo e una preoccupazione – ha detto Fox – Ma usare la crittografia può essere il modo migliore per mostrare rapidamente il suo valore e persuadere la gente a sfruttarla”