Il termine Internet of Things o IoT (in italiano, Internet delle Cose) è già da tempo sulla bocca di tutti. Siamo entrati in quest’era quando anche le case e le auto hanno iniziato a dotarsi di connessione a Internet, e molte aziende a farci affari. Allo stesso tempo, come sapete già, le persone hanno iniziato a chiedersi se questi dispositivi e auto siano al sicuro dalle minacce online.
Eugene Kaspersky in un’intervista concessa a USA TODAY nel novembre del 2014, ha giocato con il termine e ha parlato di IoT come di “Internet delle Minacce” (trasformando la T di things in threats, minacce). Ma non è stato l’unico a parlarne in questi termini: anche la presidentessa della Federal Communications Commission del CES 2015 di Las Vegas, condivide la stessa idea, sebbene – va detto – durante la conferenza non si è parlato altro che di sicurezza informatica. Ad ogni modo nessuno ha trovato una soluzione a questa grande questione – né a questa né a molte altre che stiamo affrontando proprio ora.
Internet delle Cose viene considerato un mercato dal grande potenziale. Come si può leggere nell’articolo di FORBES dell’agosto del 2015, Cisco afferma che il giro d’affari di questi dispositivi smart potrebbe aumentare fino a 19 mila miliardi di dollari entro il 2020; proprio per questo lo chiama l'”Internet del Tutto”. Gartner stima che i ricavati derivanti dai prodotti o servizi di Internet delle Cose raggiungeranno i 300 miliardi di dollari entro il 2020. Anche IDC conferma la tendenza: secondo la grande azienda statunitense, il mercato delle soluzioni IoT si espanderà da 1,9 mila miliardi di dollari a 7,1 mila miliardi entro il 2020, con una crescita del 3,7%.
I dispositivi biometrici che registrano lo stato di salute fisico o altri monitor che danno informazioni sulla posizione (in genere tutti dispositivi indissabili), vengono inclusi nella categoria IoT. Tuttavia, per quanto riguarda i rischi legati alla sicurezza, il livello di pericolosità non è troppo alto.
Si tratta di dispositivi personali, che ogni persona usa a livello indivuduale; non sono infrastrutture fondamentali per la società e per le nostre vite. In altre parole, possiamo ridurre il rischio di cadere vittima di una fuga di dati smettendo di usarli. Volendo (ammesso che ci riusciamo) possiamo fare a meno di un dispositivo indossabile o un di servizio cloud. Tutto dipende da noi.
Hacking car washes & fitness bands, the future of the Internet of Things? Good #security review from @kaspersky https://t.co/2sNeGw0gei #IoT
— Tom Gillis (@_TomGillis) March 6, 2015
D’altro lato, quando parliamo di dispositivi IoT ci riferiamo principalmente a servizi e sistemi chiamati tradizionalmente M2M (Machine to Machine). Sono quei dispositivi integrati (o almeno in teoria) con infrastrutture di tipo social, e proprio per questo la loro protezione deve essere considerata altrettanto importante e delicata come quella delle infrastrutture critiche.
Per esempio, alcuni di voi potrebbero aver sentito parlare delle smart grid, un’insieme di reti di informazione e reti di distribuzione elettrica gestita in maniera “intelligente”. Si tratta di sistemi che controllano il consumo energetico regionale trovando un equilibrio tra il consumo di energia elettrica casalingo e quello generato attraverso l’energia solare o eolica, o i sistemi a gas. Questi metri “smart” vengono impostati su ogni casa con lo scopo di monitorare il consumo. Per esempio, la Tokyo Electric Power Company ha già installato migliaia di sistemi intelligenti. Si potrebbe affermare che questo è il primo passo verso lo sviluppo di una smart grid.
Ora la grande domanda è: cosa possono fare cybercriminali per trarre vantaggio da questo meccanismo e farci su qualche soldo? Per esempio, ridurre o aumentare il consumo trasmettendo un dato falso.
Non è difficile dunque scoprire altri possibili metodi e situazioni di attacco diretti contro le infrastrutture critiche. Prendendo il controllo dei sistemi di controllo del traffico, uno può mandare in tilt il transito stradale, provocare un incidente intenzionale o persino collassare l’intero sistema di trasporto pubblico. Tutto questo può influire negativamente sulla nostra vita di tutti i giorni e sulla nostra economia.
Tra le cause della sospensione dei servizi, la lista include anche i bug o la manomissione dei sistemi e dei software, o disastri naturali. Ora bisogna aggiungere a questa lista anche i cyberattacchi.
Come gestire i dispositivi di #InternetDelleCose e la #CyberSicurezza delle infrastrutture critiche
Tweet
È importante imparare dai propri errori implementando nei sistemi IoT meccanismi sempre più sicuri soprattutto per quelle infrastrutture social-friendly o per quelle fondamentali a livello quotidiano. Per essere più precisi, gli operatori e gli sviluppatori dei sistemi dei dispositivi IoT dovrebbero fare a loro stessi queste domande:
1. Do priorità all’usabilità o alla sicurezza?
È importante offrire agli hacker una minore usability per poter aumentare la sicurezza del sistema. Facilità di utilizzo per gli utente significa facilità d’uso per gli hacker. L’anno scorso si sono registrate molte violazioni della privacy via webcam. Questi incidenti ci fanno capire quando sia importante tenere in considerazione la sicurezza fin dalle prime fasi di progettazione di determinate tecnologie. Per favore, non dimenticare di criptare i dati e le comunicazioni.
2. Penso davvero che i sistemi di memoria a sola lettura siano sicuri?
No, non lo sono. Ci sono programmi che possono raggiungere la memoria e un hacker trova sempre un modo per intruffolarsi nei sistemi. I dispositivi di networking vengono sviluppati di solito con Linux OS ed è abbastanza noto che questo sistema abbia un sacco di vulnerabilità sfruttabili. Una volta che un hacker ha ottenuto il controllo del dispositivo, può hackerare l’intero sistema del dispositivo IoT in questione.
3. Penso davvero che i miei dispositivi non verrano mai hackerati?
Qualsiasi dispositivo può essere hackerato. Per questo è molto importante monitorizzare la salute dell’intero sistema, tra cui i nodi connessi. Inoltre, è fondamentale avere strumenti che individuano le anomalie presenti su ogni nodo. Non dimenticate che Stuxnet è riuscito a penetrare nei sistemi poco protetti.
4. Ho applicato tagli ai costi sui test?
I test di penetrazione sono davvero importanti. I test dovrebbero essere attentamente organizzati in base ai requisiti di sicurezza del sistema. È raccomandabile implementare questi test nel normale processo di sviluppo.
5. Penso davvero che la sicurezza non è un requisito fondamentale?
La sicurezza è un aspetto fondamentale, da tenere in considerazione assolutamente; bisogna iniziare a tenerla in considerazione fin dall’inizio, ovvero dalle fasi iniziali di pianificazione e sviluppo del sistema o servizio. Senza tenere in considerazione le misure di sicurezza, i dispositivi appartenti a Internet delle Cose non possono essere parte di infrastrutture sicure.
Se la risposta a queste domande è sì, aspettatevi molti problemi che interessano non sono l’utente o l’azienda in sé, ma anche molte altre persone.