Quando si parla di IoT security forse non sempre si pensa a quanto siano diffusi oggi i dispositivi dell’Internet of Things e quanto, quindi, sia alto il rischio di subire un attacco da parte dei cyber criminali. Ormai, tali device sono parte integrante della nostra vita quotidiana. Li troviamo, infatti, all’interno di automobili, aerei, treni, droni, dispositivi Alexa, smartphone, tablet, computer, climatizzatori, ascensori, robot, sistemi di controllo delle fabbriche e dei magazzini, dispositivi indossabili e apparecchiature mediche. E l’elenco potrebbe continuare ancora.
Secondo le stime proposte da Statista, nel 2020 c’erano 8,7 miliardi di dispositivi IoT a livello globale. Una cifra che dovrebbe triplicare entro il 2030 sino a raggiungere quota 25,4 miliardi. Va da sé che un numero così elevato di dispositivi comporta che, se viene sferrato un attacco, ci siano grandi probabilità di successo. Questa possibilità risulta particolarmente elevata in quei settori in cui la cybersecurity non è un aspetto tradizionalmente legato ai processi aziendali, come per esempio il manufacturing.
Indice degli argomenti
I dispositivi per il controllo industriale
Per capire quale sia il grado di pericolosità che può avere una cyber minaccia e quali soluzioni usare per proteggersi, vediamo anzitutto quali sono i punti deboli che può presentare un dispositivo IoT.
Gartner definisce come operational technology (OT) l’hardware e il software che rilevano o provocano un cambiamento, attraverso il monitoraggio diretto e il controllo di attrezzature industriali, beni, processi ed eventi. L’OT comprende anche i sistemi di controllo usati in ambito industriale (ICS), che si dividono sostanzialmente in tre categorie:
- PLC (Programmable Logic Controller), che sono dei piccoli computer usati nella gestione e automazione di operazioni elettromeccaniche per controllare singoli processi, funzioni o device.
- DCS (Distributed Control System) che hanno un focus sullo stato del dispositivo. Sono principalmente usati per controllare diversi dispositivi PLC interconnessi tra loro.
- SCADA (Supervisory Control & Data Acquisition). Raccolgono i dati in base agli eventi che vengono registrati dal dispositivo e sono usati anche per controllare diversi DCS interconnessi. Spesso questi dispositivi sono collegati alla LAN aziendale, per trasferire in server specifici per l’analisi e la valutazione tutti i dati raccolti dai dispositivi.
Da SCADA a IoT aumenta la pericolosità
I dispositivi SCADA svolgono la funzione di interfaccia uomo-macchina e frequentemente sono usati per monitorare e controllare i processi industriali all’interno di infrastrutture critiche, come la gestione della fornitura di energia, gas o acqua. Sono parte del sistema che controllano e si collegano alla rete aziendale, ma non a Internet.
Proprio i sistemi SCADA, qualche anno fa, hanno subito i primi incidenti di sicurezza. Si è trattato di Stuxnet, un rootkit sviluppato in Israele, che ha attaccato i sistemi degli impianti industriali iraniani.
I dispositivi IoT sono in pratica l’evoluzione dei DCS e degli SCADA. Si tratta di smart device connessi a Internet allo scopo di fornire l’automazione e il controllo remoto. In molti casi integrano anche della logica, o addirittura algoritmi di intelligenza artificiale, per svolgere funzionalità proprie. Hanno una funzione simile a quella dei dispositivi ICS, ma si basano su un hardware specifico; si tratta, quindi, di componenti che si “aggiungono” al sistema che controllano. Inoltre, collegandosi direttamente a Internet, aumentano il livello di pericolosità.
Come attivare una IoT security
I dispositivi IoT sono collegati alla rete aziendale e inviano molti dati, quindi, sono un obiettivo importante per un attacco. Tuttavia, spesso, non presentano particolari accorgimenti per la sicurezza e deve essere chi lavora sull’infrastruttura informatica a preoccuparsi di questo aspetto.
“Per la protezione dei dispositivi IoT si raccomanda, innanzitutto, di implementare una network segmentation, con l’isolamento e la segregazione delle reti a cui tali dispositivi sono connessi – afferma Marco Crivelli, Security System Engineer presso GCI System Integrator. – Dato che tali apparecchi si collegano a Internet, possono essere raggiunti dall’esterno e diffondere un’eventuale minaccia alla sicurezza in altre parti della rete. Un’altra raccomandazione è di limitare gli accessi, sia dal punto di vista logico, sia fisico. Andrebbe poi aggiunta l’hardenizzazione dei dispositivi, ovvero, abilitare solo i servizi strettamente necessari al funzionamento e alla rilevazione dei dati. Da ultimo è bene avere un alto livello di logging: i dispositivi dovrebbero loggare verso sistemi SIEM che dovrebbero essere sempre presenti nelle aziende”.
Il ruolo centrale del firewall
In generale il firewall è l’elemento centrale su cui attuare molte delle raccomandazioni menzionate per la IoT security, a partire dalla network segmentation. “Sul firewall vengono create delle sottoreti segregate: in questo modo viene filtrata la comunicazione tra la sottorete, dove sono presenti i dispositivi IoT, e la restante Lan aziendale –afferma Marco Crivelli–. Per quanto riguarda la parte di logging e di hardenizzazione, bisogna invece intervenire direttamente sulla configurazione del dispositivo, che dovrebbe essere in grado di registrare i log e permettere di abilitare solo i servizi strettamente necessari”.
D’altro canto, come per tutti i sistemi informatici, la preoccupazione principale dovrebbe essere quella di avere sempre i sistemi aggiornati con le ultime patch rilasciate dal produttore. Infatti, l’aspetto su cui puntano di più i cyber criminali è la possibilità di sfruttare delle vulnerabilità. “È importante eseguire un’attività costante di patching – sottolinea Marco Crivelli –. Inoltre, sarebbe bene effettuare un paio volte all’anno dei vulnerabilty assessment per verificare che i dispositivi siano correttamente protetti”.
Attacchi mirati
“Come si vede, i dispositivi IoT sono oggetto delle classiche tecniche di attacco dei normali server –aggiunge Crivelli –, con l’aggravante che, a differenza dei server, questi device spesso sono stati progettati trascurando la parte di sicurezza”.
Tuttavia, in questi ultimi periodi, nella maggior parte dei casi, i server sono vittima di attacchi ransomware, che prendono in ostaggio dati in cambio di denaro. La IoT security viene solitamente violata, invece, con attacchi DDOS, che mirano a mettere fuori uso i dispositivi stessi. Sono frequenti anche gli attacchi volti a creare delle botnet, quindi ad hackerare i dispositivi IoT per poterne prendere il controllo e sfruttarli per indirizzare attacchi verso terze parti, solitamente di DDOS reflection.
Una sicurezza demandata all’IT
Oggi i dispositivi IoT sono sempre più diffusi in ambito industriale e offrono una serie di benefici in termini di controllo della produzione. Tuttavia, proprio per questo, la IoT security riveste un ruolo sempre più fondamentale: c’è il rischio che un attacco da parte dei cyber criminali possa portare a dei blocchi nei processi produttivi.
Per avere il massimo livello di protezione, sarebbe bene che la IoT security fosse gestita da un team di persone esperte in sicurezza IT. Se in azienda non sono presenti queste risorse, si può demandare la gestione dell’IT, e quindi dei dispositivi IoT, a società esterne che si occupano proprio di questi aspetti. In tal caso ci si sgrava dall’onere di possedere competenze e persone dedicate, di applicare patch e di regolare ogni tipo di configurazione, avendo il vantaggio di potersi focalizzare in tranquillità sul proprio core business.
