IoT
SICUREZZA INFORMATICA

IoT, tra promesse e potenziali trappole

Di Pierguido Iezzi

Da poche settimane la città di Portland negli Stati Uniti si è posta l’obiettivo di sfruttare appieno i vantaggi dell’Internet of Things (IoT) per lanciare il suo progetto sulla sicurezza stradale. Questo, utilizzando una rete di sensori segue i ciclisti mentre attraversano le innumerevoli piste ciclabili della città dell’Oregon.

Si tratta solo di uno dei primi passi di un grande piano per studiare da vicino – e gestire in modo proattivo – i comportamenti nel traffico di ciclisti, veicoli, pedoni e amanti del jogging. Tutto questo per perseguire l’utopico obiettivo di eliminare tutti gli incidenti mortali.

Portland punta in alto, e non è certo la sola. Le aziende, trasversalmente in tutti i settori, stanno portando avanti progetto di IoT o IIoT (Industrial Internet of Things).

Si stanno attuando piani per collegare sempre più sensori attraverso Internet, utilizzarli per raccogliere grandi quantità di dati operativi e poi “sviscerare” questi dati con l’analisi avanzata del comportamento (advanced behavior analytics).

E possiamo osservare lo stesso sviluppo anche nel mondo consumer. Le nostre case e gli spazi di lavoro sono su una corsia preferenziale per diventare sempre più intelligenti. Tutti nel mondo degli affari, a quanto pare, sono consumati dall’idea di sfruttare l’IoT per aggiungere valore alle loro operazioni.

Il grosso problema, naturalmente, è che non si è ancora tenuto conto delle principali lacune in materia di Cyber Security.

Miliardi di nodi di calcolo e sensori collegati ai dispositivi IoT stanno alimentando i sistemi di analisi come mai prima.

Questa tendenza aumenta le probabilità di due risultati indesiderati: la sorveglianza invasiva e l’aumento dell’esposizione ai Criminal Hacker.

Gli ambiti dell’IoT

L’IoT è, di fatto, tutta una raccolta e un’analisi di dati provenienti da miliardi di sensori, posizionati ovunque sia possibile – incorporati all’interno di uno Smartwatch, di un frigorifero intelligente, di un termostato, o su tutto il pavimento di una fabbrica 4.0.

Come se sono bastasse sono in arrivo, alcuni prevedono entro cinque anni, auto e camion completamente autonomi.

Ogni sensore aggiunge un frammento di informazione che rende il dispositivo stesso, ma anche il sistema nel suo complesso, più intelligente di quanto sarebbe l’uno senza l’altro.

Ma quanto può espandersi ancora la diffusione dell’IoT?

Ancora moltissimo, secondo una recente ricerca prevede che entro la fine del 2020 ci saranno 25 miliardi di dispositivi dell’IoT in uso, contro i 14 miliardi della fine di quest’anno.

La prospettiva Cyber Security

La maggior parte dei dispositivi IoT oggi vengono immessi sul mercato in fretta e furia, con un basso margine di profitto e con una sicurezza trascurabile. Eppure qualsiasi nodo di calcolo, persino il più piccolo dei sensori, che sia rilevabile su Internet e connesso a una rete più ampia rappresenta un nuovo vettore di attacco in attesa di essere intercettato.

Basti pensare al recente caso che ha riguardato un Casinò statunitense. I Criminal hacker hanno fatto breccia nella rete della struttura hackerando un acquario dotato di sensori che raccolgono dati di temperatura, cibo e pulizia e inviano queste informazioni a un PC collegato a Internet.

L’hackeraggio dell’acquario è solo un esempio calzante. I gruppi di Threat actor abilitati dall’IoT stanno aumentando in modo esponenziale. È chiaro che i principali collettivi che operano in questo campo riconoscono la ghiotta opportunità e hanno aggiunto il sondaggio e l’attacco ai dispositivi IoT come metodo d’attacco.

E non si tratta solo di una teoria: tra il primo e il secondo trimestre del 2019, le comunicazioni dannose (soprattutto tramite botnet) provenienti da indirizzi IP residenziali negli Stati Uniti – ovvero frigoriferi intelligenti, porte di garage, router domestici e simili – sono quasi quadruplicate. L’obiettivo? Aziende e Istituti finanziarie.

Le imprese, quindi, stanno già subendo danni materiali.

I criminali informatici hanno riconosciuto sin da subito che i sistemi di IoT introducono ulteriori livelli di complessità della rete. Ciò si traduce spesso in superfici di attacco ancora più estese e ancorate a reti legacy mal difese.

Viviamo in un mondo in cui abbiamo, in media, quasi tre dispositivi collegati a Internet per ogni essere umano. Oltre ai nostri smartphone e alle smart TV, siamo circondati da sensori in tutta l’automobile, dispositivi medici e complessi controlli industriali che gestiscono le nostre centrali elettriche e fabbriche.

Prima ci rendiamo conto che ignorare il problema non ci lascerebbe via di scampo prima arriveremo a una soluzione efficace al problema.

Affrontare il problema

La mancanza di standard e best practice collaudate nel settore ha permesso al fenomeno di espandersi in maniera repentina. Ci sono stati alcuni tentativi di uniformare il processo di certificazione dei dispositivi IoT, in particolare in Europa con il Cyber Security Act del 2019. Ma la certificazione del prodotto contenuta nel disegno di legge, per il momento, non è stata resa obbligatoria. Di fatto nullificandone il valore.

Per il momento quindi per limitare al massimo il Cyber risk legato ai dispositivi IoT ci sono alcuni step da seguire:

 

  • Prima di comprare un dispositivo IoT, è meglio cercare su Internet notizie relative a eventuali vulnerabilità. L’IoT è attualmente un argomento molto seguito e molti ricercatori si stanno impegnando a scoprire i problemi di sicurezza di questi prodotti. È probabile che il dispositivo a cui si è interessati sia già stato esaminato dai ricercatori di sicurezza ed è spesso possibile scoprire se il problema trovato nel dispositivo sia stato risolto o no.

 

  • Non è sempre una buona idea comprare i prodotti appena rilasciati sul mercato. Oltre ai bug standard comunemente trovati in questi prodotti, i dispositivi appena lanciati hanno maggiori probabilità di contenere problemi di sicurezza che non sono ancora stati scoperti dai ricercatori. La scelta migliore è acquistare prodotti per i quali sono già stati rilasciati diversi aggiornamenti software.

 

  • Quando si deve scegliere quale parte della propria vita rendere più “smart”, è importante considerare i rischi di sicurezza. Se si conservano in casa molti beni di valore, sarebbe meglio installare un sistema di allarme professionale al posto o in aggiunta all’attuale sistema di allarme controllato via app; altrimenti è consigliabile impostare il sistema esistente in modo da rendere inoffensiva ogni vulnerabilità.

 

  • Lato puramente impresa, è bene effettuare costantemente attività di preventive security. I servizi di Network scan permettono un’analisi specifica e dettagliata che controlla l’IP di un network in modo da identificare le sue vulnerabilità e punti deboli.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963