Internet of Things è una delle espressioni più utilizzate attualmente all’interno delle comunità di chi si occupa di tecnologie digitali in Italia. Siamo sicuri di conoscerne davvero il significato? Vediamo di chiarire cosa vuol dire questo termine.
Internet of Things, una definizione molto vaga
Secondo ENISA, l’Agenzia Europea per la Cybersecurity (della parola cyber parleremo un’altra volta), l’Internet of Things è “un ecosistema cyber-fisico di sensori ed attuatori interconnessi, che permette di prendere decisioni intelligenti”. Il bello di queste definizioni è che sono talmente vaste ed ampie che ci rientra dentro praticamente di tutto. Ad es. il bus CAN (Controller Area Network) che interfaccia i dispositivi intelligenti detti ECU (Electronic Control Units) di un’automobile è in uso all’incirca dal 1994 ed è obbligatorio in Europa su tutti i veicoli successivi al 2001, il che sicuramente fa di ogni automobile che ha meno di 20 anni un sistema “cyber-fisico” (perché ci sono le ECU, quindi è cyber, e c’è un motore e cammina, quindi è fisico) di “sensori e attuatori” (ovviamente…) che “permette di prendere decisioni intelligenti” e anche attuarle, aggiungerei, sterzando, frenando, decidendo di cambiare velocità, etc. Quindi da almeno 20 anni ogni auto è un oggetto IoT, secondo la definizione ENISA. Senza uno straccio di connessione Internet, peraltro.
Un discorso analogo potrebbe essere applicato al mondo dell’automazione industriale. Fin dagli anni ‘80 fu sviluppato un protocollo di rete, standardizzato dall’IEEE (IEEE 802.5, Token Ring), con l’idea di avere un network privo delle latenze sostanzialmente aleatorie della rete Ethernet (prima che le reti con switch diventassero di uso comune), quindi utilizzabile in un contesto industriale in cui sistemi digitali collegati in rete devono cooperare con dei timing precisi. Le caratteristiche sempre migliori delle reti Ethernet, e il costo sempre più basso degli switch (perché questi oggetti che oggi compriamo a 20 euro al supermercato una volta erano gioiellini costosissimi) hanno poi fatto scomparire dal panorama del networking tale tipo di interconnessione.
Tuttora è in uso un protocollo noto come Common Industrial Protocol, che può essere utilizzato su Ethernet, su bus CAN o su altri supporti fisici, progettato esplicitamente per l’automazione industriale.
L’utilizzo di sensori e attuatori interconnessi controllati da sistemi digitali è un concetto talmente vecchio che difficilmente può essere considerato una novità, tanto meno una novità epocale. Il concetto di reti di sensori in particolare ha decenni di vita (almeno dagli anni ‘80, come una semplice ricerca del termine su Google Scholar dimostra). E raramente un sistema embedded, inteso come un dispositivo digitale, parte di un sistema più vasto, progettato per adempiere ad uno scopo specifico in un contesto industriale, ha mai operato da solo, privo di contatto con altri sistemi embedded.
Ciò che è nuovo, semmai, è il rapporto che questi “ecosistemi cyber-fisici” hanno con la rete Internet globale, anche se in realtà il rapporto si pone tipicamente in termini assai diversi da quelli a cui siamo abituati. Quello che accade è che per varie ragioni, che alla fine ricadono sempre in ragioni di costo, i protocolli di comunicazione soggiacenti diventano sempre più simili a quelli utilizzati per le comunicazioni digitali tradizionali (Ethernet su area locale ai livelli più bassi della pila dei protocolli, TCP/IP come protocolli di trasporto dei dati) e quindi l’interoperabilità del networking industriale con sistemi informatici collegati in rete e con la rete Internet più in generale fa nascere nuove opportunità e rischi ancora più grandi. Il problema concreto della cosiddetta Internet of Things diventa pertanto come mitigare tali rischi, cercando di ottenere il massimo dei vantaggi possibili.
Rischi e vantaggi di un sistema di IoT
Facciamo qualche esempio. Praticamente tutte le reti di distribuzione di risorse (dall’energia elettrica all’acqua e al gas, tanto per essere concreti) utilizzano sistemi digitali di telecontrollo, ovvero la rete di distribuzione può essere monitorata, gestita, insomma controllata, centralmente da un centro operativo (o da più centri operativi se è particolarmente estesa), dove dei sistemi SCADA (Supervisory Control And Data Acquisition), cioè dei normali computer dotati di apposito software, ricevono dati da una rete distribuita nel territorio di sensori (che misurano la effettiva distribuzione della risorsa in questione, rivelano guasti, etc.) e operano su attuatori (che ne regolano la distribuzione e intervengono in caso di guasti o anomalie), sensori e attuatori che a loro volta sono dislocati in appositi locali adibiti al controllo della distribuzione della risorsa, distribuiti sul territorio (cabine di distribuzione). Le cabine di distribuzione tipicamente hanno al loro interno una rete LAN in cui gli eventuali sensori e attuatori sono interconnessi, insieme ad altri strumenti di controllo e a un sistema di comunicazione, un terminale di telecontrollo ovvero RTU (Remote Terminal Unit) che intermedia le loro comunicazioni con il sistema SCADA.
La rete di distribuzione dunque, distribuita sul territorio, è a sua volta affiancata da una rete dati parallela che provvede al telecontrollo degli apparati e delle risorse, evitando di dover mandare addetti in giro per il territorio a svolgere funzioni di controllo.
È evidente che, avendo dunque bisogno di un’architettura di rete LAN (nelle cabine di distribuzione) e di una rete geografica (per tenere insieme il tutto e collegarlo al centro operativo) la scelta non può non cadere in tecnologie standard: Ethernet, Frame Relay e tecnologie similari, reti wireless GSM/GPRS/3G/LTE, e TCP/IP come protocollo di networking utilizzato per i protocolli ad alto livello specifici del mondo della distribuzione dell’energia (IEC60870, IEC61850, etc.).
Cosa può andare storto? Una quantità di cose. Difficilmente una rete TCP/IP isolata, ad esempio, è davvero isolata. La rete del telecontrollo, sopra succintamente descritta, ad esempio, utilizzerà i medesimi provider delle reti commerciali; sarà collegata, sia pure mediante uno o più firewall, alla rete aziendale della società elettrica, che a sua volta tramite uno o più firewall sarà connessa alla rete Internet pubblica. Errori di configurazione, bug nell’infrastruttura (ad es. nel software dei firewall), azioni di phishing mirato possono condurre alla compromissione della rete in teoria isolata del telecontrollo ad opera di attori ostili che agiscono da lontano.
Purtroppo ancora la natura dei problemi di sicurezza in questo settore è studiata con la consueta ottica di confidenzialità, integrità, disponibilità dell’informazione, importata di peso dal mondo dell’informatica gestionale in cui il bene primario è l’informazione: in questo settore in realtà il bene fondamentale è la funzione. Mentre quello di informazione è un concetto astratto che trova applicazione nei settori più diversi restando quello che è, e che pertanto può essere considerato, dal punto di vista della sicurezza, secondo le tre dimensioni sopra menzionate indipendentemente dal settore industriale, le funzioni sono le più diverse e risulta difficile, se non impossibile, trovare degli assi lungo i quali valutare la sicurezza di un componente di una architettura digitale industriale secondo parametri omogenei, che prescindano dal settore industriale specifico.
Le problematiche del mondo dell’IoT domestica
Il mondo dell’IoT domestica, noto anche da molti anni come domotica, ha poi tutta una serie di problematiche specifiche, diverse da quelle industriali: l’utenza è diversa, il bene fondamentale è diverso (non solo le funzioni, ma la sicurezza (anche nel senso della parola inglese safety) e la privacy), gli incentivi e le motivazioni per gli attori ostili sono diversi, ed inevitabilmente le infrastrutture fisiche sono diverse (anche dal punto di vista informatico: tra un Arduino o un Raspberry Pi e un controller industriale c’è qualche differenza, si veda ad esempio il costo…).
Ci sembra comunque che finché si resta nello schema tradizionale di confidenzialità, integrità, disponibilità, ponendosi problemi quali modelli di autenticazione e autorizzazione, protezioni di tipo crittografico e così via, si scalfisca appena la reale dimensione del problema, comprensione che deve partire dall’analisi del bene da difendere e dallo studio dei modelli di rischio specifici del settore.