ll mercato globale dell’Internet of Things (IoT) è, indubbiamente, in crescita. I dispositivi intelligenti e i servizi, grazie a reti wireless e algoritmi di artificial intelligence (AI), sono diventati parte integrante delle nostre attività quotidiane e strategici in molti settori (i.e. Industrial IoT, smart home, smart city, smart factory, smart metering).
Mercato IoT, previsioni di crescita
I dispositivi connessi raggiungeranno il numero di 55 miliardi nel 2025 e si prevede che il settore, a livello globale, nel 2023, genererà circa 318 miliardi di dollari di fatturato.
Le possibilità di sviluppo dell’IoT sono molteplici e i dispositivi connessi saranno sempre più compatibili tra loro, aumentandone l’interoperabilità e l’integrazione, senza trascurare gli aspetti legati alla cybersecurity e alla privacy.
Nei mesi a venire si assisterà a una più ampia applicazione dell’IoT in diversi settori, quali i trasporti, le utility, la sanità, gli smart building e anche l’agricoltura. Si assisterà, altresì, a una maggiore convergenza tra big data, IoT e AI: una mole sempre maggiore di dati – in real time – saranno raccolti e, grazie alle tecnologie di advanced analytics, i prodotti, i servizi e i sistemi diventeranno sempre più “intelligenti” e competitivi.
Tecnologie IoT, quali requisiti devono possedere
La tecnologia IoT deve rispondere a requisiti ben precisi, in modo tale da garantirne l’efficienza e
il corretto utilizzo, tenendo in considerazione diversi aspetti. Occorre in primo luogo definire produttori di device e buyer.
Produttori
Ci si riferisce a fornitori di hardware e software per i dispositivi IoT, oltre che alle aziende che li assemblano; entrambi devono garantirne la sicurezza, l’affidabilità e la resilienza, in modo tale da rispondere alle esigenze di un mercato sempre più in evoluzione.
I dispositivi IoT possono subire manomissioni, essere sottoposti a condizioni atmosferiche estreme oltre che trovarsi a operare in ambienti di rete “ostili“, quindi, devono essere costruiti tenendo in considerazione tutti questi fattori. Inoltre, i device IoT devono essere dotati di funzionalità di alert che entrano in azione quando le condizioni di affidabilità e funzionalità sono compromesse, oltre a poter essere gestiti da remoto. Si tratta di dispositivi IoT con crittografia end-to-end ed autenticazione reciproca da parte di produttore e buyer, progettati e certificati in conformità agli standard comunitari del Cybersecurity Act.
Buyer
Aziende, consumatori, utenti e operatori che acquistano e distribuiscono dispositivi IoT, devono assicurarsi che le funzionalità di sicurezza siano garantite, e non sottovalutate, in un’ottica di contenimento dei costi per renderli più competitivi sul mercato e non dispersivi, “virtù” che si acquista con il privilegiare quei dispositivi che sono prodotti da aziende affidabili, solite a costruire in sicurezza (security by design).
IoT, la sicurezza del software
Il software in uso deve essere mantenuto aggiornato, a maggior ragione quando si tratta di sensori e dispositivi IoT. Il processo di aggiornamento delle patch avviene, in genere, in ambienti molto distribuiti e pochissimo controllati. Se da un lato le vulnerabilità note possono essere risolte con l’aggiornamento iniziale, dall’altro lato è quasi certo che ci si troverà di fronte a vulnerabilità e minacce durante il ciclo di vita del dispositivo; pertanto è estremamente importante prevedere l’aggiornamento automatizzato dei dispositivi in termini di software e firmware.
Alcune aziende cercano di risolvere queste problematiche investendo in aggiornamenti firmware più sicuri, over-the-air, da remoto, garantendo l’authenticity dell’origine dell’aggiornamento, per evitare che gli aggiornamenti stessi vengano utilizzati come vettori per l’attacco.
I dispositivi IoT sono immessi sul mercato con credenziali predefinite e identiche su più di uno; credenziali che devono essere modificate dagli utenti prima che i dispositivi siano resi operativi. Tuttavia, spesso, accade che esse siano lasciate invariate, rendendo i dispositivi più vulnerabili a sabotaggi o ad attacchi da parte di hacker, soprattutto di tipologia DDoS.
Sarebbe auspicabile, pertanto, che i produttori installassero sui dispositivi funzioni che rendano obbligatoria la modifica della password al primo utilizzo, utilizzando anche chiavi di crittografia simmetrica per la salvaguardia delle informazioni. Ricordiamo, inoltre, che le password, se riutilizzate, offrono agli hacker un facile accesso; così come le password facili da ricordare sono facilmente identificabili. Ne deriva che è preferibile utilizzarne di complesse (minimo 20 caratteri e inserendo anche caratteri speciali) e univoche per ogni singolo dispositivo IoT.
Altresì importante la configurazione del dispositivo IoT, ricordandosi di: disabilitare tutte le applicazioni, interfacce e “porte” non necessarie; adottare un approccio “deny all”, aprendo le “porte” solo quando necessario; creare e utilizzare elenchi di controllo di accesso con accesso limitato; richiedere l’autenticazione a due fattori per la gestione da remoto; attivare la procedura di logging e monitorare i log.
I dati si accumulano nel tempo ed è importante che, sia in “transito” sia a “riposo”, siano raccolti e gestiti in sicurezza, arginando, così, i problemi di privacy in conformità con le normative internazionali e le linee guida aziendali. Cruciale, a tal fine, l’impiego di dispositivi IoT in grado di classificare i dati, e gestirli in modo più efficiente, garantirne il recupero in base ai requisiti normativi e, al tempo stesso, salvaguardare quelli sensibili, eliminando quelli ridondanti o obsoleti.
I produttori dovrebbero richiedere agli acquirenti di sottoscrivere le condizioni per l’utilizzo prima di installare dispositivi e soluzioni IoT, garantendo altresì la possibilità agli utenti di controllare le modalità di utilizzo dei loro dati, di verificarne l’accuratezza, nonché di poter esercitare il ” diritto all’oblio”.
IoT, continuità e gestione del rischio
Dal momento che l’IoT si basa su internet, qualsiasi tipo di dispositivo è collegato a qualsiasi altro dispositivo. Le organizzazioni devono impegnarsi, quindi, a migliorare la sicurezza, rafforzando continuamente i propri sforzi in tre aree chiave: protezione dei dispositivi e dei dati, intelligence proattiva delle minacce; e gestione cognitiva dei rischi. Ne consegue che l’organizzazione aziendale, per essere salvaguardata, deve considerare l’implementazione dei principi di business continuity e risk management in modo da garantirne la resilienza e proteggerla da eventi dirompenti.
Le attività di Business Impact Analysis (BIA) e di Risk Assessment (RA), o meglio di IoT Risk Assessment (IRA), permetteranno di identificare l’impatto dell’IoT sull’organizzazione; di conoscere i punti di contatto con cui i sistemi basati sull’IoT interagiscono, oltre ad approfondire le relazioni tra le varie piattaforme tecnologiche, dal momento che tutto è collegato a qualcosa.
Altrettanto importante è conoscere le interrelazioni con le organizzazioni esterne (i.e. key-client e rivenditori e social media, ecc.) e gli interfaccia tra i macchinari e gli oggetti che utilizziamo (i.e. vending machines, smartphone, notepad, digital camera, internal television system, video conferencing system, dispositivi di smart building, ecc.). Solo dopo aver svolto l’IRA saremo in grado di identificare ulteriori potenziali vulnerabilità – all’interno e all’esterno – dell’organizzazione, “talloni di Achille” che possono essere sfruttati dagli hacker per comprometterne l’operatività.
Le attività di ripristino dovranno essere sempre più rigorose, rispetto a quanto non lo siano oggi e le strategie per la protezione e il recupero dei sistemi e dei dati dovranno coprire una gamma più ampia di risorse. Ne consegue che i professionisti di business continuity e risk management dovranno lavorare più strettamente a contatto con i professionisti della ICT e di tutti gli altri attori organizzativi, abbandonando l’approccio per silos, abituale in passato, dato che l’impatto di una violazione, che influisce sui sistemi basati sull’IoT, può verificarsi su più processi e su più livelli aziendali.
IoT, come garantire la cyber sicurezza
Le organizzazioni devono essere consapevoli che il numero crescente di dispositivi IoT, connessi a livello globale, comporta un aumento dei rischi cyber, quali: furto o uso illecito dei dati acquisiti; violazione dei sistemi che trattano i dati con conseguenze di alterazione e manipolazione dei dati stessi; rischi in termini di qualità dei dati derivanti dal grado di affidabilità dei dispositivi; monitoraggio invasivo degli utenti con possibili discriminazioni o limitazioni della capacità di autodeterminazione; rischi relativi alla sicurezza della comunicazione dei dati.
Unit42, il-Threat Intelligent Team di Palo Alto Networks – che ha analizzato gli incidenti di sicurezza verificatesi nel 2018 e 2019 prendendo in considerazione 1,2 milioni di dispositivi IoT utilizzati in organizzazioni IT e aziende sanitarie Usa – ha pubblicato un report che rivela che il 98% di tutto il traffico generato dai dispositivi IoT non è crittografato e, quindi, i dati personali e sensibili che circolano in rete non sono al sicuro: gli hacker, che riescono a superare la prima linea di difesa (attraverso modalità di phishing) e a raggiungere un livello di command & control, possono intercettare tutto il traffico di rete non crittografato, raccogliere informazioni sensibili legate alle persone e “monetizzarle” sul dark web.
Inoltre, il report di Unit42 denuncia che l’83% dei dispositivi di medical imaging utilizza sistemi operativi non più supportati e che, soprattutto dopo il termine del supporto di Windows 7, a fine 2018, si è registrato un aumento degli attacchi di Cryptojacking (si è passati dallo 0% del 2017 al 5% del 2019) e il ritorno in auge di attacchi da tempo dimenticati, come Conficker.
Inoltre, i dispositivi IoMT (Internet of Medical Things) con il maggior numero di problemi di sicurezza – secondo il report – sono quelli dei sistemi di imaging (oggetto del 51% delle minacce), che possono essere manipolati e compromettendo la qualità delle cure e consentendo agli hacker di rapinare i dati dei pazienti memorizzati sui dispositivi.
Tra le modalità di attacco più comuni, che gli hacker utilizzano per i dispositivi IoT, ricordiamo in ordine di maggior frequenza:
- Bonet Mirai, che consiste in reti di dispositivi infetti da sfruttare per lanciare attacchi DDoS, sempre più diffuso e che compromette ed utilizza oggetti connessi, magari privi di patch, per sferrare attacchi DDoS.
- Emotet, trojan avanzato, in grado di mantenere la stabilità e le tecniche di evasione per evitare il rilevamento (si diffonde attraverso campagne phishing con mail contenenti allegati o link dannosi).
- Havex, un Remote Access Tool (RAT) che consente di entrare in una macchina, scansionare il sistema e connetterlo a una serie di risorse maligne, che possono essere usate in seguito per scatenare l’attacco (i dati raccolti sono inviati a un pool di server remoti, rendendo ancora più difficile intercettare le origini dell’azione criminale).
- BlackEnergy, un trojan usato per sferrare attacchi DDoS (Distributed Denial of Services), fare spionaggio industriale e scatenare attacchi capaci di annientare il patrimonio informativo di un’aziendale e comprometterne la produttività.
IoT, salvaguardare la privacy
La salvaguardia della privacy, nell’ambito dell’IoT, è una esigenza di conformità alla normativa europea in materia di protezione dei dati personali (art. 25 GDPR). La salvaguardia dei dati deve iniziare già nella fase della progettazione del dispositivo o dei servizi, secondo il principio di privacy by design, in modo da minimizzare le problematiche di sicurezza dei dati stessi e massimizzare la tutela dei diritti degli individui.
Come ben sappiamo, il GDPR non impone delle misure minime di sicurezza, ma piuttosto prevede un controllo continuo dell’oggetto o servizio per verificare e valutare l’efficacia delle misure tecniche ed organizzative e garantire la sicurezza del trattamento: ne consegue che il livello di sicurezza deve essere adeguato costantemente, al passo con il progredire della tecnologia.
Conclusioni
La diffusione di dispositivi IoT implica la protezione del patrimonio dematerializzato e sempre più digitale delle organizzazioni in termini di prodotti e informazioni, sistemi di produzione in conformità alle normative sempre più stringenti. La trasformazione in atto comporta la necessaria diffusione di una cultura digitale e di cyber security, capaci insieme di generare una maggiore consapevolezza dei comportamenti da osservare per la salvaguardia dell’organizzazione, anche attraverso l’implementazione di policy di security IT integrate a quelle industriali. Altrettanto importante la formazione del personale per l’acquisizione dei necessari skill digitali, senza dimenticare la progettazione di piani di business continuity, risk management e disaster recovery.
La resilienza organizzativa è frutto di un approccio olistico; ognuno degli attori coinvolti contribuisce alla realizzazione del grande puzzle che si deve comporre, basato sull’interazione tra le parti in gioco. Come un libro da leggere, ciascuna pagina si rivelerà come un pezzo che si incastra nel successivo e che, alla fine, fornirà la rappresentazione finale di tutto quello che abbiamo letto fino ad ora.