Al fine di comprendere quanto il tema dell’IoT sia caldo dal punto di vista della cybersecurity, basta pensare a quante volte chi sta acquistando un elettrodomestico, una automobile o altri dispostivi che possono contare su forti capacità elaborative e di connessione a Internet, si domanda se il dispositivo riceve regolarmente aggiornamenti di sicurezza o se non utilizza password universali e ancora, che tipo di protocollo viene usato per l’autenticazione. Poche. In pochi si pongono il problema della sicurezza dei dispositivi che acquistano, nella maggior parte dei casi si ritiene che questa debba essere garantita da altri.
Indice degli argomenti
In Italia ci sono 7 milioni di dispositivi con IPv4
Grazie a ricerche costanti, l’Osservatorio Exprivia sulla cybersecurity ha rilevato un numero di dispositivi con IPv4 sul territorio nazionale che si assesta stabilmente sui 7 milioni. A questo numero contribuisce in grande parte “ancora” la IT classica, ma dispositivi quali telecamere di videosorveglianza, iniziano a essere sempre più numerosi; di conseguenza aumenta la preoccupazione poiché molti accedono alla rete privi di un protocollo di autenticazione.
Questa moltitudine di dispositivi introduce la necessità di considerare e mettere in discussione la sicurezza dei dispositivi stessi. Molto spesso ci soffermiamo sui benefici che il dispositivo ci fornisce, trascurando il malfunzionamento dello stesso, che potrebbe compromettere parti e funzioni di altri strumenti ai quali è connesso. Non banale è il caso di un dispositivo che supporta un servizio essenziale, quale ad esempio un dispositivo medico o un PLC (Programmable Logic Controller) che controlla infrastrutture critiche.
IoT e sicurezza: la necessità di certificare i dispositivi
Necessario è quindi, certificare i dispositivi messi sul mercato e coinvolgere la governance, affinché istituisca enti responsabili nella gestione e nel controllo degli stessi.
Occorre specificare che, utilizzare pratiche di sicurezza valide per IT, non è sempre possibile per IoT e sistemi industriali. In genere la cybersecurity dipende fortemente da architetture e standard e dai processi delle specifiche industrie. Bisognerebbe puntare a un radicale cambiamento, poiché il trend tecnologico è in continua crescita così come il numero dei dispositivi interconnessi e compromissibili nei quali la loro interconnessione è fragile (lo stesso utilizzo di scanner attivi potrebbe comprometterli, rendendo le attività di assessment e verifica notevolmente più complicata).
Non si tratta, però, solo di vulnerability assessment e penetration test (VAPT); tutti i controlli di sicurezza vanno riconsiderati e adattati al mondo dell’IoT, dove non sempre è possibile usufruire di ambienti di test, a causa della debole capacità di connessione o per via del dispositivo privo di capacità necessaria per l’implementazione del controllo.
Focalizziamoci per un istante e a titolo esemplificativo sul tema del VAPT. Se nell’IT gli scanner possono controllare come un dispositivo risponde, quando le attività di VAPT vengono fatte su sistemi industriali vanno ricercate soluzioni alternative. Ad esempio, si può verificare se il comportamento di un dispositivo è consistente con quanto ci si aspetta. Molto spesso questo tipo di scanner utilizza l’artificial intelligence per imparare a riconoscere comportamenti anomali. Bisogna inoltre essere consapevoli dei limiti di un approccio di questo tipo, che mira a far riconoscere allo strumento solo quello che ha captato in precedenza. Pertanto, potrebbe essere necessario integrare questo approccio quando opportuno, ad altri tipi di controlli e analisi (ad esempio analisi what-if).
Conclusioni
In conclusione, sicuramente la governance e la conoscenza delle architetture e degli standard utilizzati nella specifica industria devono suggerire una fortissima specializzazione dei controlli di sicurezza generale. È quindi necessario identificare i responsabili della sicurezza dei dispositivi aziendali ma anche creare una cultura sulla sicurezza informatica, poiché ognuno di noi utilizza strumenti digitali esattamente come lo fanno i PLC di centrali nucleari
Semplici dispositivi come un frigorifero o una telecamera (ricorderete il malware Mirai) potrebbero essere sfruttati come punto di partenza per attaccare un DNS utilizzato da un servizio vitale quale un PLC di una centrale nucleare (o un dispositivo all’interno di un ospedale) e creare direttamente danni catastrofici.
Non ci sono alternative alla maggiore consapevolezza degli utilizzatori di dispositivi intelligenti, e su questo tanto va ancora fatto, ma non illudiamoci di poter ottenere questo risultato molto velocemente.
Certo, quando in un negozio di elettrodomestici un acquirente porrà delle domande sui sistemi di crittografia utilizzati dal frigorifero smart, allora forse avremo fatto un grande passo in avanti, ma ci vorranno diverse generazioni.
Nel frattempo se continuare a lavorare sulla consapevolezza è una necessità per le future generazioni, a oggi la unica alternativa per ridurre il gap, che l’adozione frenetica di dispositivi IoT ha creato, tra chi attacca e chi difende, è essere coscienti della necessità e imprescindibilità della certificazione dei dispositivi IoT per una maggiore sicurezza, dispositivi che dovrebbero arrivare sul mercato garantendo all’acquirente la implementazione di standard e controlli di sicurezza.
