IoT, privacy e sicurezza. Luci e ombre

Che cosa succede quando ogni oggetto o device collegato diventa una porta di accesso per attacchi alla privacy e alla sicurezza della persona e dell’azienda?

Con il termine Internet of Things (IoT) si fa riferimento a infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio, mediante l’utilizzo di tecnologie a radio frequenza (per es. RFID, bluetooth etc.), sia tramite una rete di comunicazione elettronica. I dispositivi “intelligenti” non sono solo i computer o gli smartphone, ma oggetti di utilizzo quotidiano, nati senza una vocazione digitale, che diventano tali in quanto accedono alla rete e sono tra loro interconnessi. Innumerevoli le applicazioni: gli oggetti indossabili (wearable), gli oggetti in casa controllati da uno smartphone (gestione automatica degli impianti di illuminazione, climatizzazione, gestione degli elettrodomestici o dei sistemi di videosorveglianza e sicurezza), contatori intelligenti (per la gestione dei consumi o l’ottimizzazione della distribuzione).

Ma chi si preoccupa di verificare come vengono gestiti i nostri dati, sia dal punto di vista di privato cittadino che di lavoratore? Se la tecnologia ci abbaglia con applicazioni impensabili fino a pochi anni fa che hanno una diffusione immediata sul largo pubblico, dall’altro lato dobbiamo stare attenti alle zone d’ombra. Su oltre trecento dispositivi elettronici connessi a Internet, più del 60 per cento non ha superato l’esame dei Garanti della privacy di 26 Paesi. È quanto emerge dall’indagine a tappeto (“sweep”) a carattere internazionale, avviata lo scorso maggio dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN), di cui fa parte anche il Garante italiano, per verificare il rispetto della privacy nell’Internet delle cose. I riscontri raccolti dagli esperti delle Autorità, su più di trecento apparecchi delle principali società del settore, hanno fatto emergere, a livello globale, gravi carenze nella tutela della privacy degli utenti. Il punto di attenzione è il fatto che il device o l’oggetto diventa una porta di potenziali attacchi alla privacy e alla sicurezza della persona e dell’azienda: ne sono un esempio i recenti attacchi che nascono da una vulnerabilità di un sistema IoT (elettrodomestici o sistemi di videosorveglianza).

Serve un cambio di paradigma: la privacy non deve più essere considerata un semplice adempimento burocratico, una ricerca verso la pura compliance normativa, ma diventa un presupposto della progettazione dei servizi, programmi, software e dei processi aziendali. Da qui, l’attenzione dei produttori che devono riprogettare i propri processi di lavoro integrando privacy e sicurezza: pensiamo ai concetti di “privacy by design” e “privacy by default” introdotti dal nuovo Regolamento Europeo sulla Privacy. Deve essere ripensato anche l’approccio alla security, adottando modelli di prevenzione delle minacce tramite analisi e monitoraggio dei dati, più che intervenire dopo che si è verificato il cyber attacco, magari scoperto dopo molto tempo. Come adottare le misure di sicurezza tecniche e organizzative adeguate per garantire l’integrità, la confidenzialità (e quindi la privacy) e la disponibilità dei dati? Come informare in maniera completa, chiara e trasparente il consumatore? Come gestire la raccolta del consenso nella vendita online? A quale normativa sottostare se si vende su più mercati? La tecnologia sembra correre alla velocità della luce e non sempre la norma riesce a stare al passo e coprire tutte le complessità e i casi reali di un mercato in continua espansione e interconnessione. Le sfide sono molte, spetta a ognuno di noi formarsi e informarsi per non essere impreparato a cogliere le opportunità del mercato.

Leggi anche:  Finti agenti della CIA ricattano le vittime utilizzando il sextortion

Per saperne di più, l’appuntamento è a Illuminotronica – Fiera di Padova 12-14 ottobre 2017.

Maggiori info su www.iter.it


Stefano Gorla DPO certificato 001 FAC Certifica, consulente Privacy e Sicurezza dei Dati, formatore