Sicurezza

La sicurezza delle reti IoT, come garantirla, normative

Dai server aziendali al cloud storage, i cybercriminali possono trovare vari modi per sfruttare le informazioni in molti punti di un ecosistema IoT. Esaminiamo i modi per proteggere efficacemente l’ecosistema e i dispositivi connessi.

Pubblicato il 18 Ott 2021

STRIDE
sicurezza IoT

Secondo le stime di IoT Analytics, nel 2021 il numero di dispositivi connessi attivi nel mondo raggiungerà i 12,3 miliardi (figura 1). L’IoT è ormai una realtà sempre più pervasiva ma, parallelamente, sono cresciute anche le minacce di sicurezza; infatti, la semplicità delle componenti integrate negli smart objects, unitamente a difetti della gestione e nell’aggiornamento software, aumentano la vulnerabilità ai possibili attacchi condotti attraverso la rete: le piattaforme IoT rischiano quindi di diventare bersaglio per attacchi informatici sempre più sofisticati.

Dai server aziendali al cloud storage, i cybercriminali possono trovare vari modi per sfruttare le informazioni in molti punti di un ecosistema IoT: come proteggere efficacemente questo ecosistema e i dispositivi connessi?

Global IoT Market forecast in billion connected iot devices
Figura 1: numero globale dispositivi IoT connessi (Fonte: IoT Analytics)

La sicurezza IoT dal punto di vista della normativa europea

Dal punto di vista normativo, dal maggio 2018 anche le aziende operanti in Europa nel mercato IoT devono essere conformi al GDPR. Il tema della protezione dei dati deve essere affrontato già nella fase di progettazione (Privacy by Design) e non a solo seguito della vendita di oggetti intelligenti.

Dal giugno 2019 è invece entrato in vigore il Cybersecurity act, le cui linee guida riguardano anche l’intero ciclo di vita delle soluzioni IoT: si tratta del regolamento che assegna all’agenzia comunitaria per la sicurezza informatica (ENISA) nuovi compiti e risorse per proteggere gli utenti dagli attacchi hacker, anche grazie a una certificazione per gli oggetti connessi.

Inoltre, il comitato tecnico per la cyber security (ETSI) ha rilasciato lo standard per la sicurezza informatica da applicare al mercato IoT, con 13 regole per garantire la sicurezza nei dispositivi connessi, renderli conformi al GDPR e fornire linee guida per certificazioni future nel settore.

Come proteggere i sistemi IoT

La sicurezza nei sistemi IoT presenta della specificità rispetto a quella delle reti tradizionali: i device sono infatti resource-constrained, l’aggiornamento software è in genere difficoltoso, la riconfigurazione è talvolta difficile (ad esempio per l’assenza di schermo o tastiera), sono presenti tipicamente una moltitudine di dispositivi installati, spesso in luoghi non protetti e con diverse tipologie di accesso.

L’IoT, specie con la spinta del 5G, significa anche enormi volumi di dati, la cui gestione rende indispensabile l’adozione di soluzione di cloud computing ma anche, sempre più di edge computing, attraverso cui l’elaborazione del dato viene spostata a bordo macchina. Allo stesso tempo, tuttavia, la delocalizzazione di dati e analisi comporta ulteriori problemi di sicurezza e di privacy dei dati.

È bene, fra l’altro, evidenziare come le credenziali per l’autenticazione nel cloud usate per la configurazione di un sistema IoT siano uno dei modi più semplici per accedere e compromettere l’intera infrastruttura: modificare frequentemente le password, attivando meccanismi di autenticazione a due fattori e gestendo i log degli accessi, è allora il modo migliore per rendere più sicuro l’accesso alle interfacce web di amministrazione in cloud dei dispositivi IoT.

sicurezza IoT

Sicurezza IoT: gli aspetti da considerare

A livello generale, vi sono un certo numero di aspetti che devono essere tenuti in considerazione nell’implementare una buona sicurezza in ambito IoT:

  • in primo luogo, occorre organizzare la rete IoT in vari livelli di sotto-reti, con l’impiego di gateway provvisti di proxy, di firewall e Intrusion Detection Systems (IDSs) distribuiti, l’utilizzo di interfacce sicure, l’abolizione di tutti gli elementi di rete non indispensabili, come i Network Address Translators (NATs), l’impiego di tunnel cifrati: in sostanza la rete IoT deve prevedere un vero e proprio approccio di Security by design;
  • deve essere assicurata la massima visibilità dei dispositivi di rete, attraverso la raccolta e analisi dei log riguardanti le loro attività
  • gli aggiornamenti Over-The-Air (OTA) non dovrebbero avvenire attraverso repository pubblici. In ogni caso, devono essere pianificati aggiornamenti regolari del software, ivi compresa l’applicazione di patch risolutive delle nuove vulnerabilità;
  • la protezione degli accessi mediante autenticazione a due fattori e nuove tecnologie, quali ad esempio scanner biometrici, è senz’altro prioritaria. La zona della rete IoT riservata ai sensori, risulta essere particolarmente esposta e quindi dovrebbe essere soggetta ad elevati standard di autenticazione. Da un punto di vista complessivo, il suggerimento è quello di applicare policy rigorose, in modo che gli utenti e dispositivi possano accedere solo a ciò di cui hanno bisogno e solo dopo autenticazione di tipo Zero Trust (cioè solo gli utenti e i dispositivi autenticati e autorizzati possono accedere alle applicazioni e ai dati);
  • la comunicazione dei dati deve essere sempre cifrata e i sistemi di crittografia devono evolversi per soddisfare gli standard di sicurezza più elevati. In particolare, occorre cambiare le chiavi di cifratura prima che esse diventino obsolete. Con la cifratura dei dati in transito e potenti algoritmi di crittografia si possono in particolare evitare attacchi tipici come Sniffing e Man In The Middle;
  • può essere previsto l’utilizzo di un sistema hardware che abbia integrati meccanismi per il rilevamento di manomissioni o potenziali violazioni. Questo perché gli attacchi più dannosi, per la sicurezza di un’infrastruttura IoT, sono lanciati tramite l’accesso fisico ai dispositivi. A titolo di esempio, si può pensare di implementare una procedura di sicurezza che protegga le porte USB dall’uso non autorizzato;
  • la maggior parte dei dispositivi IoT non ha spazio di archiviazione locale e ha poche risorse; quindi, il codice malevolo viene tipicamente immesso modificando il firmware. Per evitare questo, sono da preferirsi quei dispositivi che, a fronte di un aggiornamento regolare del firmware, impiegano meccanismi di avvio sicuro e la verifica della firma del software in esecuzione.

Una check list per la sicurezza IoT

Prima di acquistare o installare un oggetto o un dispositivo che può essere connesso a una rete, il National Cyber Security Centre (NCSC) consiglia di verificare i seguenti punti:

Aspetti di rete

  • occorre accertarsi che non si possa accedere al dispositivo via Internet quando non è necessaria una connessione per utilizzarlo (ad esempio attraverso un firewall o una rete separata non connessa a Internet);
  • se l’oggetto deve essere connesso a Internet (ad esempio per scaricare informazioni), è bene impostare un segmento di rete per i dispositivi connessi attraverso il quale non è possibile accedere ai dati sensibili: in tal modo il dispositivo sarà collegato a Internet ma non alla rete interna. In tal modo si impedisce che quest’ultima venga attaccata attraverso i dispositivi IoT;
  • se il dispositivo non viene utilizzato, è preferibile staccarlo dalla rete o da Internet.

Aggiornamenti

  • qual è la frequenza degli aggiornamenti?
  • da quale server provengono?
  • gli aggiornamenti vengono installati automaticamente o è richiesta l’interazione dell’utente?
  • come viene comunicata la disponibilità di aggiornamenti all’utente?

Accessi

  • di quali meccanismi di sicurezza dispone il dispositivo per impedire gli accessi non autorizzati?
  • Il sistema operativo del dispositivo è compatibile con una connessione protetta come SSH o Https?
  • I dati d’accesso (nome utente e password) predefiniti possono essere modificati?
  • È bene limitare l’accesso al dispositivo attraverso Internet, ad esempio utilizzando un filtro per indirizzi IP (l’accesso è consentito soltanto a determinati indirizzi) o per la geolocalizzazione degli indirizzi IP (l’accesso è limitato ad esempio ai soli indirizzi IP italiani;
  • utilizzare solo protocolli che offrano una connessione protetta (ad esempio Ssh o Https) e mai protocolli aperti (come Telnet o http);
  • non utilizzare porte standard (ad esempio 443 per Https), perché in tal modo il dispositivo potrebbe essere individuato facilmente con un semplice «port scanner». Optare invece per una porta specializzata, affinché sia più difficile trovare il dispositivo;
  • non utilizzare i dati d’accesso forniti di default, perché possono essere facilmente utilizzati dagli hacker. Modificare il nome utente e la password subito dopo aver attivato il dispositivo
  • scegliere una password complessa, difficile da indovinare (al minimo 12 caratteri inclusi numeri, lettere e caratteri speciali);
  • se possibile, come detto in precedenza, utilizzare un secondo fattore d’identificazione (ad esempio SMS, Google Authenticator, token hardware eccetera).

Conclusioni

Come ricorda il rapporto Clusit 2021, l’associazione italiana per la sicurezza informatica, “l’utilizzo su larga scala dell’IoT è relativamente recente e presenta diverse vulnerabilità (…) Trascurare il tema della cybersecurity in questa fase evolutiva significa esporre la società, l’economia, la competizione internazionale, la sicurezza nazionale ed europea, e la salute e il benessere dei cittadini a rischi elevati”, tanto più che il rischio di cyber-attack è considerato uno dei primi a livello globale e il primo dal punto di vista tecnologico.

L’IoT rappresenta, dunque, una sfida complessa che deve essere affrontata fin da principio con un approccio veramente by design. Molte debolezze e vulnerabilità intrinseche possono infatti essere mitigate attraverso l’adozione di best practice disponibili a livello internazionale e relative alla progettazione e gestione di sistemi con componenti IoT.

Un buon punto di partenza può essere senz’altro costituito dalla guida “IoT Security e Compliance. Gestire la complessità e i rischi” edita dalla Clusit Community for Security e scaricabile gratuitamente.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2