Cyber security per IoT e GDPR: come garantire la sicurezza informatica in azienda

Non si può fare progetti IoT senza prendere in considerazione il tema della sicurezza. Una sicurezza legata ai dispositivi connessi, ma ancor di più ai dati che transitano da questi dispositivi. E che per questo vanno protetti

Pubblicato il 31 Lug 2018

IoT security

sicurezza iot security

Una cosa è certa: non c’è progetto IoT che possa andare disgiunto dal tema della sicurezza.
Nel mondo dell’Internet of Things i sensori raccolgono, comunicano, analizzano dati e sulla base di quei dati, o per meglio dire sulla base del valore che quei dati, trasformati in informazioni, assumono, si innescano azioni conseguenti.
E se i dati sono così centrali nella catena del valore di un progetto IoT, è logico pensare che proprio i dati diventino bersaglio diretto di azioni malevole, studiate con l’obiettivo di compromettere le informazioni o di entrarne in possesso, a maggior ragione se considerate sensibili di natura.
Detto in termini più semplici, tanti più dati si condividono e tanto più sensibili sono, tanto maggiore è il rischio di attacchi o compromissioni.

GDPR e cyber security: Sicurezza da tutelare sia nel mondo delle imprese sia nel mondo consumer

Un assioma, va detto, che si applica tanto al mondo industriale, tanto alle sempre più comuni applicazioni dell’Internet delle Cose nella vita privata.
In una recente analisi dedicata proprio a questo tema, Deloitte prende ad esempio un telecomando per l’apertura della serranda del garage che integra anche una funzionalità per disattivare l’allarme domestico: una compromissione del telecomando potrebbe garantire accesso alla proprietà a “ospiti indesiderati”. E se non fosse il telecomando, potrebbe analogamente trattarsi di termostati, serrature, televisori e qualunque altro dispositivo connesso ormai comunemente disponibile nelle nostre case.

In ambito industriale, la compromissione delle macchine o delle reti porta con sé rischi sia correlati all’operatività stessa dei macchinari, sia correlati al possibile accesso non autorizzato alle informazioni aziendali o ai sistemi di back-end.

Per avere un’idea di come tutto questo possa tradursi nella realtà, basta fare un piccolo passo indietro nel tempo e tornare alla fine del 2016 con l’attacco di tipo DDoS (Distributed Denial of Service) di cui fu vittima il fornitore di servizi DNS Dyn. Un attacco che sfruttò le vulnerabilità dei dispositivi connessi, dalle telecamere di sorveglianza ai router, e che si tradusse nell’impossibilità di raggiungere siti popolarissimi, da Twitter a Spotify, da parte degli utenti di tutto il mondo.

Focus sulla security nell’Industria 4.0

Torniamo dunque al punto di partenza: qualunque progetto IoT deve prevedere anche una strategia di sicurezza. E il corollario a questo paradigma è che è arrivato il momento di abbandonare le logiche dei silos o gli approcci di tipo dipartimentale. L’Internet of Things connette il mondo IT a quello delle operation e coinvolge l’intera infrastruttura aziendale: l’approccio alla sicurezza deve essere di tipo integrato.

Il problema è che di fronte a queste tematiche le aziende sembrano ancora impreparate. Così, se da un lato la loro propensione a muoversi verso i paradigmi dell’Industria 4.0 cresce progressivamente, dall’altro sembra non potersi dire sulla loro capacità di rispondere all’innalzamento del livello di rischio.

Sempre Deloitte, lo scorso anno, nel suo studio “Industry 4.0 and cybersecurity. Managing risk in an age of connected production” definiva il mondo del manufacturing “drammaticamente impreparato a fronteggiare le minacce informatiche.
Qualcosa, però, sta cambiando.

È interessante, a questo proposito, una riflessione su questo tema pubblicata proprio all’inizio di quest’anno da Maciej Kranz, vice president Innovation Group di Cisco sul blog ufficiale della società.

Secondo Kranz, infatti, non è sufficiente fare riferimento al numero di dispositivi IoT in circolazione per pensare a un corrispondente aumento dei livelli di rischio.
In realtà, la vera preoccupazione nasce dal fatto che i progetti IoT finalmente si stanno spostando dalle fasi di mera automazione di processi esistenti a quelle di reale trasformazione di modelli business, grazie alla sempre più stretta integrazione e sinergia dell’IoT con tecnologie come l’intelligenza artificiale o il fog computing e ad una accresciuta attenzione ai temi dell’interoperabilità, della collaborazione e della standardizzazione.

È una convergenza in fondo attesa, l’unica in grado di realizzare le promesse dell’IoT. Ma è una convergenza che porta con sé dei rischi.
Non solo l’IoT connette molte cose prima non connesse all’interno delle imprese, ma porta con sé l’integrazione tra IT e OT – scrive Kranz -. Questo significa che i cybercriminali iniziano a indirizzare i propri sforzi verso il sabotaggio o la presa di controllo dei singoli dispositivi o dei sistemi OT che controllano gli apparati e le infrastrutture critiche”.
A supporto di questa tesi, Kranz evidenzia come già nel 2016 si fosse registrato un incremento del 110 per cento proprio su questa tipologia di attacco.

La cybersecurity è una priorità ma mancano le competenze

È chiaro che la cybersecurity deve diventare una priorità per le imprese, così come è chiaro che è necessario rispondere alla crescita delle minacce anche con una maggiore formazione indirizzata ai propri dipendenti e collaboratori.
Del resto, proprio lo studio Security Capabilities benchmark study pubblicato dalla stessa Cisco poche settimane fa e condotto su 3.600 professionisti della sicurezza (chief information security officer e i manager delle operazioni di sicurezza) in 26 paesi, tra i quali anche l’Italia, emerge proprio la preoccupazione non solo rispetto alla pervasività delle offensive degli hacker, ma soprattutto rispetto alla carenza di talenti specializzati in cybersecurity.
E sono proprio i CSO che identificano nell’automazione, nel machine learning e nell’intelligenza artificiale le possibili soluzioni ai loro “mal di testa” di oggi.

La security e gli ecosistemi

C’è poi un ulteriore aspetto sul quale Kranz solleva l’attenzione.
Come anche su questo sito abbiamo avuto più volte modo di scrivere, fare industria 4.0 è sempre più frequentemente una questione di ecosistema, così come quando si parla di open innovation è facile trovarvi associata un’idea di co-innovation. Tutto questo, tradotto in altri termini, significa avere a che fare con partner, specialisti e un insieme di soggetti che combinano le loro esperienze e le loro risorse mettendole al servizio di un unico progetto, secondo logiche di replicabilità, espandibilità, “cost-effectiveness”.
La diretta conseguenza di questa nuova forma mentis è che anche il tema della sicurezza verrà affrontato con lo stesso spirito, con maggiore propensione agli aspetti di interoperabilità, agli open standard, alle architetture aperte.

GDPR, sicurezza informatica, privacy e cyber risk gdpr

Non solo.
Tutto questo finisce inevitabilmente per incrociarsi con la nuova attenzione che da parte governativa si sta ponendo sulle stesse istanze di interoperabilità, privacy e sicurezza legate non solo all’IoT in sé e per sé, ma, ad esempio, alle auto a guida autonoma, ai droni, ai sistemi di intelligenza artificiale.

Per non parlare del GDPR: se è vero che l’IoT e i dati sono un binomio imprescindibile, è evidente che le responsabilità sui dati imposte dal nuovo Regolamento si estendano anche all’Internet delle Cose. E se è chiaro che non è possibile chiedere il consenso a un sensore, è altrettanto evidente che bisogna capire, sapere e informare quali dati vengono raccolti e a quale scopo (pensiamo ad esempio alle soluzioni di videosorveglianza), dove vengono conservati i dati stessi, chi vi può accedere e perché. Così come è evidente che anche le violazioni debbano essere segnalate sulla base di quanto previsto per legge.
C’è dunque un volano virtuoso che si è messo in moto, ma che ha ancora bisogno di trovare una propria metodicità.

Come affrontare la complessità e i rischi di sicurezza informatica del GDPR

Nel report Cisco di cui abbiamo accennato in precedenza c’è una presa d’atto quasi drammatica.
Chi attacca utilizza exploit e tecniche sempre più evolute, testando sul campo le proprie competenze in modo da lanciare attacchi di portata sempre maggiore: non si tratta solo di non farsi colpire, ma di farsi trovare pronti e soprattutto di essere veloci nelle operazioni di ripristino.
Similmente, è indispensabile riuscire a distinguere tra le tante segnalazioni di sicurezza: quelle urgenti, quelle importanti e quelle che rappresentano solo un rumore di fondo. Per questo aumentare i livelli di automazione può essere la chiave per riuscire a comprendere su quali avvisi effettuare effettivamente l’escalation, richiedendo l’intervento dei responsabili preposti.

Da parte sua, invece, Marco Misitano, del Comitato Direttivo del Clusit, indica una metodologia per affrontare il tema della sicurezza nell’IoT. In un contributo pubblicato su Cybersecurity360, Misitano scrive: chiaramente l’aumento del numero di dispositivi fa aumentare di conseguenza la superficie di attacco, così come non sono da sottovalutare questioni quali l’eterogeneità dei dispositivi e delle macchine connesse e le modalità con cui sono stati connessi alla rete.
Lo scenario?
Preoccupante: Se davvero entro due anni davvero ci fossero decine di miliardi di oggetti connessi? “E se una piccola parte, diciamo l’un percento, fosse effettivamente compromessa, non sarebbe uno scenario apocalittico? Significherebbe centinaia di milioni di dispositivi compromessi, potenzialmente utilizzabili per botnet, o chissà cos’altro”.
Come muoversi, allora?
Se è vero, come è vero, che i dispositivi connessi saranno sempre più numerosi e sempre più eterogenei, risulterà difficile, se non impossibile, analizzarli tutti, valutando, uno per uno, da chi sono stati prodotti, chi li ha installati e manutenuti, qual è il loro scopo, qual è il loro ruolo, chi vi accede, come possono essere autenticati, hanno funzioni di sicurezza intrinseche e in caso affermativo, queste funzionalità sono compatibili con i livelli di sicurezza richiesti.

Lavorare sull’infrastruttura di rete per garantire security e adeguamento GDPR

Non è però impossibile lavorare a livello di infrastruttura di rete.
Non solo ci si muove in un ambito sicuramente più conosciuto, ma si lavora in un contesto in cui è possibile gestire i livelli di visibilità, cifratura, autenticazione, introducendo segmentazioni e politiche di accesso differenziate.
Ecco allora che Misitano indica sei punti chiave sui quali impostare la propria infrastruttura di rete:

  • Far sì che sia in grado di autenticare tutti i dispositivi possibili;
  • Sulla base del primo processo, decidere quali saranno le possibilità di accesso alle risorse di rete;
  • Segmentare la rete in modo che determinati oggetti siano su una sottorete separati rispetto a host critici;
  • Stabilire diversi livelli di criticità per i diversi segmenti di rete, mettendo in campo controlli d’accesso per passare dall’uno all’altro segmento;
  • Applicare politiche specifiche a dispositivi non autorizzati: ad esempio un accesso parziale alla rete;
  • Fare in modo che tutti i dispositivi connessi che abbiano necessità di accesso alla rete siano validati ed autorizzati.

È sicuramente un punto di partenza sul quale riflettere.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 5