Normative

IoT, aspetti legali e nodi critici della sicurezza

Passiamo in rassegna tutte le normative nazionali ed europee che regolano la materia dell’internet delle cose. Dal GDPR alla direttiva NIS a quelle di Enisa

Pubblicato il 31 Mar 2020

intelligent-manufacturing

Per analizzare gli aspetti legali e quelli connessi con la protezione dei dati in ambienti IoT partiamo dal considerare quali relazioni possono svilupparsi:

  • Things as a Service (TaaS): relazioni legate al cloud
  • Vehicle to Vehicle, Vehicle to Person, Vehicle to Infrastructure: parlando di internet dei veicoli;
  • Body-area Network e Bring Your OwnWearable: relazioni che derivano dai dispositivi indossabili;
  • Social Web of Thing (SwoT): caratterizzanti l’ambiente social network
  • Crowdsensing: ovvero la raccolta di informazioni tramite i sensori in genere presenti negli smartphone localizzati in un dato ambiente
  • Legami Machine To Machine (IoE – Internet of Everything)

Un’area, dunque, funzionalmente collegata alla Data science, intesa quest’ultima come combinazione della disponibilità di big data, di tecniche di analisi dei dati sofisticate e di infrastrutture di calcolo scalabili e ad alte prestazioni.

IoT, un mercato in crescita

Rapportandoci all’IoT, ci riferiamo a un mercato globale che in rapporto sinergico con le tecnologie di advanced analytics derivanti dai big data e dalle applicazioni di intelligenza artificiale, cresce in modo trasversale, con alcuni settori trainanti. It e Telco in prima fila.

Segue l’ambito Smart cities, forte della crescente disponibilità di connettività a banda larga collegata alle tecnologie LpWan oltre che alle aspettative legate al 5G (le reti cellulari 5G, ora in fase di perfezionamento, potrebbero alla fine diventare una soluzione universale per la connettività IoT).

Ma anche l’industria automobilistica che, Gartner prevede, crescerà fino a raggiungere 5,8 miliardi di endpoint nel 2020. Si distiunguono anche finance e, soprattutto healthcare, peraltro mai come ora settore meritevole di attenzione: dal monitoraggio domiciliare dei pazienti agli equipment intelligenti di ultima generazione. Secondo il report Stanford Medicine 2017 Health Trends si ritiene che entro la fine del 2020, oltre 2314 exabyte (1 exabyte = 1 miliardo gigabyte) di dati saranno generati globalmente dal settore sanitario.

In particolare, secondo il McKinsey Global Institute il mercato dell’IoT, fino al 2025 registrerà una crescita del 14% annuo, arrivando a corrispondere all’11% dell’economia globale.

IoT, il quadro regolatorio europeo

L’evoluzione dell’IoT ci presenta dunque un futuro con miliardi di oggetti connessi in grado di raccogliere, analizzare e generare anche autonomamente una quantità di informazioni senza precedenti e i cui risvolti si estendono dall’ambito consumer a quello business, dove infatti l’IoT risulta essere uno dei “pillar” dell’Industry 4.0. Un patchwork in cui sensori, tag Rfid, smart code fungono da “arti” del sistema che sfruttando diversi sistemi operativi, abilitano miliardi di dispositivi alla raccolta, elaborazione e trasmissione di dati nel cloud affinché possano essere impiegati in diversi servizi IoT.

In Europa, oltre al Regolamento Europeo 679/16 noto come GDPR e relativo alle sole informazioni personali, rilevano diversi quadri regolatori. Certamente incide la Direttiva ePrivacy relativa ai dati nel settore delle comunicazioni elettroniche, peraltro in attesa dell’ambito Regolamento di revisione che, se approvato, costituirebbe lex specialis ovvero complementare al GDPR prevedendo la disciplina relativa a trattamenti di dati personali afferenti alle comunicazioni elettroniche compresi metadati, cookies , identificatori online, motori di ricerca, directory ecc.

La Direttiva NIS sulla sicurezza, il Cybersecurity Act del 27 giugno 2019 con la conseguente previsione della certificazione per gli oggetti connessi.

Si aggiungono le numerose Linee Guida emesse a livello europeo. Quelle in particolare del Comitato tecnico per la cyber security (ETSI) che ha rilasciato il primo standard per la sicurezza informatica da applicare al mercato IoT, definendo 13 regole utili a garantire la sicurezza nei dispositivi connessi.

Quelle di ENISA, denominate Privacy and Data Protection by Design – from policy to engineering in particolare, e anche di sicurezza IoT GSMA.

Il NIST, inoltre, ha pubblicato il documento NISTIR 8228 dal titolo “Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. E anche il Parere 8/2014 intitolato “sugli sviluppi recenti sull’Internet delle cose” adottato il 16 settembre 2014 dell’allora WP29, malgrado questo prenda in esame solo alcune delle possibili applicazioni dell’IoT (Wearable Computing, Quantified Self e domotica) e sia risalente nel tempo. E’ altresì intuibile che altri provvedimenti specificatamente destinati all’IoT, prenderanno presto parte al complesso mosaico regolatorio. E non ne sono certo esclusi i quadri normativi di pertinenza di altri ordinamenti stranieri che in vario modo possono arrivare ad incidere direttamente sulla regolamentazione dei processi di connessione: l’ architettura tecnologica dell’IoT è infatti imperniata sull’uso della rete e delle Tlc, per loro natura non confinabili in concetti di spazio fisico.

I punti critici dell’IoT

Le criticità legate alle applicazioni by IoT sono fortemente amplificate, come intuibile, sia dalle caratteristiche intrinseche connaturate alle tecnologie coinvolte, sia dai molteplici dispositivi collegati.

Tutte si rivelano incidenti in termini di rischio di sicurezza e grado di conformità alle normative sulla protezione dei dati in primis e coinvolgono direttamente, sin dalla progettazione, quelle che potremo indicare come le tre procedure di base che caratterizzano le connessioni tra oggetti e l’IoT:

  1. percezione dello spettro completo degli oggetti connessi
  2. trasmissione affidabile
  3. elaborazione intelligente

Il punto di arrivo che determina la giusta direzione da impartire alle soluzioni IoT implementate è dato, appunto, dalla corretta declinazione del principio di sicurezza by design che, partendo da un tipico approccio probabilistico risk based, può dirsi pienamente affermato, solo qualora si manifesti in grado di affrontare con successo le numerose sfide, sia tecniche che tecnologiche.

Protezione della privacy e sicurezza convergono dunque in un’autentica azione combinata a reciproco vantaggio e caratterizzata da rendimenti di sicurezza maggiori di quelli ottenuti dai vari elementi separati.

Misure tecniche e organizzative dell’approccio risk based

Vediamo quindi quali aspetti legali sia tecnici che organizzativi richiedono la massima attenzione da parte degli interpreti dell’internet of things compresi quelli che a oggi rimangono irrisolti, al fine di contribuire all’implementazione e sviluppo di tecnologie avanzate utili e accattivanti quanto sicure e affidabili.

  • Il Regolamento europeo per la protezione dei dati personali è intervenuto a rafforzare quanto già previsto sia dalla Direttiva 95/46/CE ora abrogata, sia dalla Direttiva 2000/58/CE art 14.3. Esattamente nell’art 25 GDPR letto in combinato disposto con il Cons.78, viene introdotto l’indispensabile principio di data protection by design.

Il settore IoT ne è quantomai destinatario e interprete. Ciascun titolare del trattamento è tenuto al rispetto delle normative in tutte le fasi del trattamento, compresa quella dell’ideazione.

Non più quindi una mera facoltà, come in precedenza con la Direttiva 95/46/CE, bensì presupposto necessario in base al quale stabilire il grado di conformità delle misure sia tecniche che organizzative implementate nei processi e servizi in essere e incidenti sul governo dei dati.

Il Cons.78 in particolare assume una valenza centrale, a valere a maggior ragione per ogni sistema connesso di oggetti, coniugando il rispetto del principio della sicurezza sin dalla progettazione con il basilare rispetto del presupposto dell’accountability espresso nell’art 24 del GDPR. Dove per accountability si intende la necessità che ogni gestore del trattamento dei dati debba dimostrare di essersi meritato la fiducia.

  • Può essere senz’altro utile riferirsi in tal caso a due particolari documenti: il primo già citato, Privacy and Data Protection by Design – from policy to engineering di Enisa e, il secondo, è l’Information and privacy commissioner dell’Ontario (IPCO). Ovvero un documento redatto dall’ex Commissario responsabile dell’Informazione e della Privacy dell’Ontario Ann Cavoukian, contenente sette principi fondamentali della protezione dei dati by design:

1) Proactive not Reactive- Preventative not Remedial

2) Privacy as the Default Setting

3) Privacy Embedded into Design

4) Full Functionality – Positive-Sum, not Zero-Sum

5) End-to-End Security – Full Lifecycle Protection

6) Visibility and Transparency – Keep it Open

7) Respect for User Privacy – Keep it User-Centric.

Apprenderne i contenuti e acquisirne la concreta portata è altamente consigliato.

  • In ambiente IoT la visione richiesta dalle normative incidenti non cambia: il tipo di approccio come già detto rimane quello probabilistico orientato al rischio e all’autovalutazione del titolare. E dunque vi rientra a pieno titolo anche il concetto di valutazione di impatto sulla protezione dei dati cui sono tenuti i diversi protagonisti del trattamento.

Sia l’European Data Protection Board che l’Autorità Garante per la protezione dei dati personali italiana individuando esplicitamente l’ambito dell’IoT come caso di trattamento effettuato attraverso l’uso di tecnologie innovative, ne hanno ritenuto opportuno l’inserimento nell’elenco delle tipologie di trattamenti da sottoporre a valutazione d’impatto (DPIA), come prescritto dall’art 35 del GDPR.

  • Il rispetto dei principi del trattamento costituisce una delle sfide maggiori in area IoT: liceità, trasparenza e informazione, correttezza, finalità, minimizzazione, esattezza, necessità, limitata conservazione dei dati nel tempo e sicurezza; costituiscono a tutti gli effetti degli strumenti logico giuridici essenziali da implementare in modo olistico sin dalla progettazione dei processi.
  • L’IoT si comporta, inoltre, come un repository delle informazioni personali e dunque l’esercizio dei diritti degli interessati va sempre garantito laddove pertinente e legittimamente esercitabile come previsto dal GDPR. Facile a dirsi più difficile a farsi. I risultati attualmente esaminabili non sono per nulla soddisfacenti e le procedure implementate dalle varie organizzazioni per presentazione della richiesta da parte degli interessati, modalità e tempi di risposta spesso si perdono nei meandri dei vari responsabili in una sorta di circolo vizioso tutt’altro che virtuoso.
  • La definizione dei ruoli e delle singole funzioni coinvolte nel processo di trattamento dei dati – dal titolare e responsabile, agli incaricati del trattamento, fino ai fornitori dei vari servizi e dispositivi – impone un’attenta analisi: ciò non solo per delimitarne le rispettive responsabilità – in merito alla quale, gli art.li da 26 a 29 del GDPR disciplinano in modo compiuto la posizione dei vari soggetti coinvolti nel trattamento, prevedendone una verifica che non sia formale bensì fattuale e volta all’attribuzione delle specifiche responsabilità – ma anche, stante la natura globale dell’IoT, per attenuare e gestire, il rischio di diversi standard di tutela previsti dalle diverse legislazioni sulla protezione dei dati coinvolte. La definizione e individuazione dei ruoli richiama, quindi, sia il concetto di legittimità dei meccanismi di trasferimento dei dati e comunicazione a terze parti, sia di “proprietà” in senso lato sui dati e sui flussi informativi da parte dei fornitori dei vari servizi, che per motivi legati alla competizione potrebbero abusare del proprio controllo sull’infrastruttura.
  • L’Internet delle cose (IoT) incorpora mondo fisico e logico nella creazione di spazi intelligenti. Ciò comporta che gli individui siano condizionati dalle connessioni tra gli oggetti. Sono note le perduranti e ancora ineludibili problematiche di controllo, sorveglianza e manipolazione sociale. Altrettanto lo sono le limitazioni della capacità di autodeterminazione degli individui: l’ambiente SwoT è un ambito esemplare in tal senso, ma anche la domotica sta manifestando grossi elementi di criticità. Su questo fronte le misure di contrasto esistenti sono ancora molto labili e poco risolutive.
  • Il rischio di effettiva mancanza di controllo ed eccessiva auto-esposizione per l’individuo è onnipresente nell’IoT, dove la comunicazione tra oggetti viene attivata automaticamente (usi secondari compresi) o per impostazione predefinita, senza la necessaria consapevolezza dell’utente.

L’asimmetria informativa generata dalla condivisione di dati personali tra produttori dei dispositivi, sviluppatori di software, cloud provider e analisti, comporta per le persone, una criticità piuttosto ineludibile e difficilmente aggirabile, malgrado l’immediata messa a disposizione delle prescritte informative ancorché redatte con diligenza e cognizione di causa. E anche nonostante il GDPR stabilisca all’art 22 che, in caso di profilazione, l’interessato abbia il diritto “di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

  • I requisiti di sicurezza devono essere rispettati contemporaneamente da diverse tipologie di dispositivi, mezzi di comunicazione, protocolli, metodologie e pratiche. Lo “stack tecnologico” complesso fatto cloud, di software d’integrazione, di infrastrutture sarà però caratterizzato da punto di equilibrio “mobile”. Ciò che in un determinato momento è ritenuto sicuro, il giorno dopo può essere facilmente smentito da uno zero day exploit. E ciò vale anche in ottica di certificazione, specie tenuto conto dei nuovi vettori di attacco per i criminali informatici e delle sempre più sofisticate tecniche di hackeraggio. Qualcuno ricorderà come nell’ottobre 2016, un grande attacco denial-of-service (DDoS) chiamato “Mirai” riuscì, infiltrandosi nelle reti attraverso dispositivi IoT, inclusi router wireless e telecamere connesse, a colpire i server DNS sulla costa orientale degli Stati Uniti, interrompendo i servizi in tutto il mondo.

IoT, i rischi per la sicurezza

Per fronteggiare questa e le altre molteplici minacce che sfruttano le vulnerabilità dei dispositivi IoT, la nuova branca della cybesecurity denominata Internet of Things Forensics propone un modello interdiscilinare in grado di coprire diversi ambienti di IoT, basato sullo standard internazionale ISO/IEC 27043.

Ed è notizia recente che anche quattro big dell’IoT, Thales, Telstra, Microsoft e Arduino stanno lavorando su una soluzione per comunicazioni end-to-end affidabili e sicure tra dispositivo e cloud attraverso meccanismi di autenticazione reciproca istantanea e standardizzata tra un dispositivo e una piattaforma cloud nel rispetto delle specifiche di sicurezza Gsma IoT Safe.

Malgrado dunque significativi progressi il rischio di attacchi permane oggi ancora molto alto: il nuovo documento IoT Threat Report 2020 ha analizzato 1,2 milioni di dispositivi IoT in migliaia di sedi fisiche in organizzazioni IT e sanitarie aziendali negli Stati Uniti. Solo in ambito sanitario, l’83% dei dispositivi di imaging medico sono risultati in esecuzione su sistemi operativi non supportati, esponendo in tal modo le organizzazioni ospedaliere vulnerabili a vari attacchi che, per la natura stessa dei dati, è pleonastico definire gravi. Oltre a ciò il report evidenzia che il 98% di tutto il traffico di dispositivi IoT non è ancora crittografato: ciò sta a significare che un gran numero dei dispositivi coinvolti sono permanentemente esposti ad attacchi man-in-the-middle (MitM); il 72% delle VLAN sanitarie risulta mescola risorse IoT e IT, consentendo ai potenziali malware di diffondersi dai computer degli utenti ai dispositivi IoT vulnerabili sulla stessa rete.

Direi sin troppo facili prede per criminali informatici non altrettanto sprovveduti.

Non sono migliori le risultanze di un ulteriore report pubblicato dalla società di sicurezza Zscaler che ha esaminato milioni di connessioni da dispositivi IoT presenti su reti aziendali rivelando come il 91,5% delle relative transazioni di dati eseguite dai dispositivi IoT non fosse criptato. Una delle criticità maggiori emerse nell’analisi Zscaler, riguarda il fatto che molte aziende hanno una grande quantità di dispositivi IoT consumer-grade sulle loro reti che non riescono a monitorare e controllare. Il trend registrato relativamente al pratica di lavoro nota come Byod (Bring-your-own-device) non è certo casuale.

E anche Kaspersky rivela che il 28% delle aziende che usa piattaforme IT ha subito incidenti su dispositivi IoT nell’ultimo anno, oltre al fatto che nei primi sei mesi del 2019 si sono registrati 105 milioni di attacchi verso dispositivi IoT da parte di 276 mila indirizzi Ip unici.

Il Rapporto Clusit 2020, da ultimo, pubblicato recentemente, non contraddice quanto emerso ma anzi ne attesta ulteriormente la rilevanza.

I gap in termini di sicurezza (security) facilmente possono tradursi in rischi importanti anche in termini di incolumità (safety) per gli individui e per la vita stessa. Pensiamo alle vulnerabilità che incidono su dispositivi medici o alle applicazioni nucleari.

Tanto basta per rendersi conto di quanto i requisiti di cui tener conto al fine di garantire i giusti parametri di conformità in termini di sicurezza debbano estendersi oltre la ben nota triade della sicurezza delle informazioni nota come CIR acronimo di:

  • Confidenzialità: solo entità identificate ed autorizzate accedono alle informazioni in lettura e scrittura,
  • Integrità: l’informazione non subisce modifiche non autorizzate
  • Disponibilità: l’informazione è disponibile quando richiesta (pensiamo ai sistemi di trasmissione dati).

per estendersi fino a ricomprendere la permanenza di altri parametri quali:

  • Autenticità: il sistema informatico deve permettere di verificare l’autenticità della fonte dell’informazione.
  • Accountability: è un termine noto e si riferisce al rispetto dei principi in materia di protezione dei dati personali. Principio di liceità, correttezza e trasparenza. Molti dispositivi IoT richiederanno la raccolta, l’analisi e la trasmissione di dati anche particolarmente sensibili.
  • Tracciabilità: ovvero consentire la verifica del ciclo di trasmissione dell’informazione.

L’Open Web Application Security Project (OWASP) nel suo decalogo “OWASP IoT-Top Ten 2018”, ha sottolineato le insidie di maggior incidenza da tenere in considerazione durante la creazione, distribuzione e gestione dei sistemi IoT:

  • le password non possono essere deboli, facilmente intuibili o preimpostate;
  • i servizi di network non possono selezionarsi tra quelli non sicuri;
  • idem per le interfacce di sistema non sicure;
  • così gli aggiornamenti non sicuri e non affidabili;
  • l’utilizzo di componenti non sicuri o obsoleti va evitato;
  • massima attenzione va destinata alla concreta implementazione dei principi di data protection
  • vanno evitati meccanismi di trasferimenti e conservazione di dati se non sicuri;
  • uno dei pericoli maggiori è la cattiva gestione dei dispositivi e dei servizi ad essi collegati;
  • le impostazioni di default non sicure agevolano le vulnerabilità informatiche;
  • va colmata l’eventuale mancanza di misure di “Physical Hardening” riducendo il rischio che potenziali aggressori possano ottenere informazioni sensibili tarmite le quali dirigere un futuro attacco remoto o assumere il controllo locale del dispositivo.

Prospettive di sviluppo dell’IoT

Dal quadro descritto emerge come sebbene la vastità e l’eterogeneità dei dispositivi e la loro composizione possano favorire lo sviluppo servizi e scenari innovativi di interoperabilità promettenti e vantaggiosi, la sicurezza e la gestione dei dati rappresentano ancora oggi, malgrado timidi segnali positivi, aree critiche in gran parte ancora irrisolte.

E direi che, senza dubbio, maggiori possibilità di successo potranno verificarsi solo se l’ineludibile processo di miglioramento lato security by design sarà condotto in sinergia tra istituzioni, interpreti del diritto e delle tecnologie. Una delle basi di partenza fondamentali consisterà nella giusta comprensione delle variegate forme che può assumere il rischio sia esso logico che fisico, nei diversi scenari di confronto di un attacco informatico, che sia per cyber warfare o cybercrime.

Proprio in tale ottica sta emergendo un interessante terreno di confronto e di integrazione tra blockchain e IoT: in molti sostengono che gli algoritmi crittografici della prima possano essere l’unica tecnologia in grado di assicurare scalabilità, rispetto delle normative in materia di riservatezza delle informazioni, resilienza e dunque affidabilità. Per qualcuno i bollini del tipo “Blockchain Certified” sono già prossimi per alcuni processi di tracciamento a filiera molto lunga come il settore del lusso.

Può essere interessante evidenziare anche, la decisione del 3 marzo 2020 del Ministero dello Sviluppo economico italiano, che ha dato il via alla procedura di selezione di progetti di ricerca e sperimentazione riguardanti il Programma di supporto alle tecnologie emergenti. Venticinque milioni di euro per la realizzazione di nuove “case delle tecnologie”, dopo quelle avviate a Matera e al “gemello digitale”del Cnr.

I progetti, tutti incentrati sul trasferimento tecnologico verso le Pmi con l’utilizzo di blockchain, dell’IoT e dell’intelligenza artificiale e la creazione di start-up, potranno essere presentati dalle amministrazioni comunali oggetto di sperimentazione 5 G entro il 1° giugno 2020 (salvo proroghe dovute all’emergenza coronavirus).

Conclusioni

La convergenza tra tecnologie della sicurezza, algoritmi di AI, unitamente allo stanziamento di risorse finanziarie, rappresenta uno dei percorsi più promettenti in vista del prossimo sviluppo di un ambiente IoT affidabile efficiente. Tuttavia ciò non è qualcosa che il mercato può risolvere autonomamente o le singole organizzazioni gestire ciascuna per suo conto. Fondamentale sarà piuttosto il contributo che le istituzioni e i legislatori sapranno apportare in termini di definizione di ulteriori standard, controllo della conformità e implementazione di soluzioni tra aziende e reti. E certo le decisioni migliori saranno quelle che si riveleranno espressione competente e consapevole delle tematiche di sicurezza delle informazioni, di sicurezza dei dati personali e qualità del servizio informatico. Ognuno degli aspetti esaminati in precedenza ha le sue peculiarità che, per prima cosa vanno capite, interpretate alla luce delle normative esistenti e del contesto di rischio specifico nel quale si esplicano le tecnologie legate all’IoT e, solo in seguito, fatte “convergere” magari anche ampliandone lo spettro con ulteriori quadri regolatori ad hoc.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5