Per quanto la sicurezza dei sistemi informatici sia un problema noto ormai da diversi anni, la recente impennata nella diffusione dei sistemi IoT, nonostante presenti molti vantaggi, comporta anche una sfida sostanziale per le imprese in termini di gravi rischi di sicurezza derivanti da dispositivi collegati alla rete, né monitorati né protetti.
Garantire una adeguata attenzione alla sicurezza dei sistemi IoT
I dispositivi IoT installati a oggi nel mondo sono circa 10 miliardi e si prevede che nel 2025 arriveranno a 16 miliardi – un incremento annuo medio di circa il 10%, escludendo i dispositivi consumer (Fonte Statista).
Diventa quindi evidente come, di fronte a una tale diffusione di oggetti connessi e quindi teoricamente raggiungibili da qualunque terminale o server collegato alla rete Internet, associata alla estrema diversificazione nei sistemi operativi, linguaggi e protocolli utilizzati, oltre a una non sempre adeguata attenzione alla sicurezza, sia arduo implementare un approccio sistematico nella mitigazione dei rischi.
Infatti, mentre le procedure per proteggere i dispositivi IT standard hanno raggiunto un elevato livello di affidabilità, la stessa cosa non si può dire per i dispositivi IoT, per i quali rischi e vulnerabilità sono meno noti e la loro messa in sicurezza è troppo spesso trascurata. La ragione è duplice. In primo luogo, i sistemi standard di cybersecurity non hanno la capacità di riconoscere i tipi specifici di dispositivi IoT, i cui profili di rischio sono unici, così come lo sono i comportamenti associati ad essi.
In secondo luogo, i dispositivi IoT possono essere distribuiti da qualsiasi centro aziendale e non sono tipicamente visti come parte dell’IT, quindi bypassano i tipici controlli e processi di sicurezza, come la gestione delle risorse, le patch di sicurezza, ecc.
Per questi motivi, i dispositivi IoT sono diventati uno degli obiettivi dei cybercriminali, utilizzati sia come elemento vulnerabile all’interno di una rete protetta, consentendo quindi l’accesso e permettendo di sferrare un attacco dall’interno aggirando le difese perimetrali, sia come strumento attivo per organizzare un attacco coordinato tipo DDoS (Distributed Denial of Service).
Rischi e tipologie di attacco alla sicurezza dei sistemi IoT
In generale, l’hacker che realizza un attacco informatico sfrutta le vulnerabilità del firmware o del software di un dispositivo, oppure approfitta degli errori umani nella configurazione dei dispositivi – ad esempio password inadeguate. Nel caso specifico dei dispositivi IoT essi, oltre a essere un anello debole nella gestione della sicurezza informatica, rappresentano anche un potenziale vettore di malware.
I timori sulle tecnologie 5G di Huawei, basati sul fatto che gli apparati cinesi potessero essere dotati di backdoor atte a trasformare gli apparati in dispositivi di spionaggio delle telecomunicazioni italiane, al netto delle valutazioni politiche, dimostra che la possibilità è percepita come reale.
Senza scendere nel dettaglio delle tecniche utilizzate, le azioni dell’hacker mirano ad assumere il controllo di un sistema per raggiungere un determinato obiettivo. Nel caso dei sistemi IoT, le due tipologie di attacco che hanno avuto finora una maggiore diffusione sono il Distributed Denial of Service e il ransomware.
DDoS attack (Distributed Denial of Service)
L’attacco DDoS è una delle armi informatiche più vecchie. Consiste nell’accesso simultaneo da più terminali a un server o un sito web, rendendone di fatto impossibile l’utilizzo o per sovraccarico delle risorse del server stesso o per intasamento della connessione. Per quanto esista un’intera industria dedita allo sviluppo di difese contro questo tipo di attacchi, in definitiva si tratta solo di una questione di banda: se l’attaccante dispone di una larghezza di banda superiore a quanto il difensore possa sopportare, l’attaccante vince.
A differenza degli altri tipi di cyber attacco, il DDoS non è sempre mosso da intenti prettamente criminali, ma presenta un ampio spettro di motivazioni, tra cui le principali sono:
Ideologiche/politiche
Quando il DDoS è usato come una forma di attivismo, tesa ad attaccare obiettivi che rappresentano un simbolo in contrasto con la propria ideologia. In questo caso si va dalla difesa dei diritti civili, quando l’attacco viene portato alle infrastrutture di un regime autoritario fino ad arrivare ad atti di vero e proprio terrorismo.
Criminali
Quando l’attacco è finalizzato a una estorsione economica
Cyberwar
Quando il DDoS è utilizzato per ottenere obiettivi politico-militari da un’organizzazione militare o paramilitare. Questa attività è normalmente associata a Stati che utilizzano questo tipo di attacco per ottenere vantaggi di tipo geopolitico. Non è un mistero il fatto che dietro a diversi attacchi a infrastrutture statunitensi ed europee ci siano gruppi dislocati in Russia e Cina, presumibilmente riconducibili a strutture governative.
Poiché per effettuare un attacco DDoS è necessario realizzare una rete di apparati distribuiti, che a un determinato comando inizi ad eseguire accessi verso l’obbiettivo prefissato, il sistema IoT, proprio per la sua diffusione capillare, diventa uno dei mezzi ideali per realizzare questo tipo di attacco.
Un esempio è il botnet “Mirai” uno dei più diffusi malware progettati per operare prevalentemente su dispositivi IoT; scoperto nel 2016, ha avuto una notevole diffusione anche nel 2019.
Ransomware
A differenza di un DDoS, questo tipo di attacco ha finalità esclusivamente criminali. Infatti, l’obiettivo è quello di rendere indisponibile una risorsa, tipicamente i dati contenuti in un server o in un personal computer, chiedendo poi un riscatto per la restituzione della risorsa stessa.
In pratica l’attacco consiste nell’introdurre nel computer vulnerabile un malware che cifra i dati dell’utente, rendendoli inaccessibili, informando poi la vittima che i suoi dati potranno essere recuperati solo tramite una password che viene fornita dietro pagamento di un riscatto.
Il coinvolgimento di sistemi IoT in questo tipo di crimine informatico è ancora marginale. Una possibile strategia consiste nel prendere il controllo di un impianto industriale e chiedere un riscatto, come avvenuto in Ucraina nel 2015, quando un gruppo di hacker si impossessò della rete SCADA di un gruppo di aziende di distribuzione dell’energia, provocando un grosso black-out. Nel caso specifico, in contrasto con gli attacchi ransomware più comuni, tenuto conto della situazione geopolitica del periodo è più probabile che l’operazione avesse fini militari e non criminali.
Conclusioni
Le problematiche connesse alla sicurezza informatica rimangono prima di tutto una questione culturale – si può avere un sistema con avanzati accorgimenti di sicurezza organizzati in più strati, continuamente aggiornato per essere in grado di tener testa agli attacchi più raffinati ma, finché la password rimane il nome di nostro figlio, nessuno di quei sistemi ci risulterà utile. Risulta evidente come sussistano tuttora problemi di percezione del rischio, e questo atteggiamento dovrebbe cambiare: le eventuali conseguenze catastrofiche del crimine informatico sono per ora, fortunatamente, relegate al cinema, ma il fenomeno potrebbe peggiorare. Risale allo scorso settembre la notizia del primo decesso direttamente collegato a un crimine informatico, quando un paziente ricoverato d’urgenza all’ospedale di Düsseldorf, in Germania, è stato dirottato a un altro ospedale a causa del blocco dei sistemi informatici causato da un ransomware, morendo poi a seguito del ritardo nelle cure.
Per questo diventa sempre più importante un’opera di capillare “alfabetizzazione” digitale che consideri le nuove tecnologie non solo dal punto di vista del mero utilizzo, ma che anche dal punto di vista dell’utilizzo sicuro. La migliore arma di difesa dagli attacchi informatici è una società pienamente consapevole dei rischi e non una semplice utilizzatrice dei mezzi informatici.
Inoltre, poiché la sicurezza di un sistema IoT, dal punto di vista della cybersecurity, è un parametro di difficile valutazione, ancor più della qualità del prodotto o della sua affidabilità, diventa fondamentale una chiara e trasparente tracciabilità della supply chain. È quasi impossibile, infatti, garantire la sicurezza di un prodotto quando provenga da un paese “opaco”, come, per esempio, la Cina, paese dal quale viene lanciata, tra l’altro, una percentuale rilevante dei cyberattacchi.
Anticipare le nuove sfide e non subirle per miopia, quando ormai il problema è emerso in tutta la sua gravità, può essere una scelta strategica nell’ambito della attuale stagione politico-economico, nella quale si auspica una decisa ripresa economica, per questo non si può non prendere in considerazione un recupero della nostra capacità interna di controllare la progettazione e la produzione dei sistemi IoT. Sfruttare questa criticità, cavalcando la necessità di sicurezza e di alte prestazioni è senz’altro alla portata del nostro sistema produttivo, abbiamo le competenze, mettiamole a frutto.