L’integrazione di progetti IoT interni alle aziende inizia a produrre risultati importanti. Deve crescere però la qualità costruttiva dei dispositivi IoT in termini di sicurezza. Con l’arrivo del GDPR le cose potrebbero cambiare. L’edge computing per approcciare la security in modo strutturale
Qual è oggi il costo industriale di un oggetto IoT? Probabilmente inferiore a un euro. Ciò contribuisce alla veloce diffusione di una pletora di sensori connessi favorendo l’allargamento degli ambiti di applicazione. Contatori e lampioni stradali intelligenti, auto connesse, fotocamere IP, DVR. Dispositivi in grado di accendersi o spegnersi quando serve, comprare energia nel momento in cui è più economico farlo, irrigare un campo ogni volta che serve. In grado cioè di prendere decisioni sulla base di dati (raccolti inviati ed elaborati), svincolate da criteri logici pre-programmati. Che poi tutto questo avvenga in sicurezza è per molti costruttori assai meno importante. Un gran numero di dispositivi connessi dispone di limitati controlli. In alcuni casi mancanti semplicemente per limiti fisici. Altre volte per scelta. Spesso poi, alla scarsa qualità realizzativa si somma la debolezza di software e hardware obsoleti. Una manna per i malintenzionati. Che possono utilizzare codice di facile reperibilità per colpire un numero elevato di dispositivi contemporaneamente. «Al momento, per i dispositivi IoT non ci sono standard universali da seguire: questi device possono quindi contenere vulnerabilità o essere facilmente accessibili da Internet» – osserva Morten Lehn, general manager Italy di Kaspersky Lab. «Produttori senza un solido background o una conoscenza piena dei possibili problemi legati alla sicurezza informatica hanno sviluppato questi device in modo rapido negli ultimi anni».
Per provare a rimediare a questa situazione negli ultimi anni sono sorti numerosi consorzi industriali come IoT Cyber Security Alliance, Trusted IoT Alliance, CSA IoT Working Group, solo per citarne alcuni. «Questi consorzi propongono diverse soluzioni e standard tecnici per affrontare in modo coerente e uniforme la necessità di pensare a un livello di embedded security» – afferma Giancarlo Vercellino, research & consulting manager di IDC Italia. «La necessità primaria è quella di stabilire uno standard internazionale» – ribadisce Lehn. «ITU, un’agenzia specializzata, ha svolto un importante lavoro in questa direzione. L’ITU-T Y.4806, “Funzionalità di sicurezza per supportare la salvaguardia dell’Internet of Things”, è una possibile risposta a questa esigenza primaria, applicabile a sistemi IoT di importanza critica, come automazione industriale, sistemi automobilistici, trasporti, smart city e dispositivi medicali indossabili e autonomi. I nostri esperti del Kaspersky Lab ICS CERT hanno contribuito al lavoro di questa organizzazione, classificando i problemi di sicurezza, esaminando le possibili minacce e offrendo delle raccomandazioni». Non sarà un compito semplice. Anche per la grande varietà di dispositivi IoT in circolazione. Ognuna con caratteristiche costruttive molto diverse tra loro. «Inutile osservare che non esiste una risposta valida per qualsiasi dispositivo» – concorda Vercellino. «Oggi, si richiede agli operatori IoT hardware di concepire i nuovi dispositivi implementando, dove possibile, alcuni ragionamenti di sicurezza in modo nativo. Prassi che si va traducendo in un principio sempre più generale, valido per qualsiasi organizzazione e qualsiasi processo, attraverso il GDPR (security by design)». Ci torneremo. Ma è un fatto che sono ancora limitati i filtri capaci di rallentare l’arrivo sul mercato di dispositivi pronti per esempio a connettersi alla rete, semplicemente utilizzando le credenziali di default fornite dal costruttore. Se si esclude la soluzione drastica adottata da alcuni paesi di mettere al bando taluni prodotti oppure direttamente i loro produttori.
RISCHIO GARANTITO
Le credenziali deboli non sono l’unica vulnerabilità che affligge i dispositivi IoT. «Tra le più comuni la protezione insufficiente dei web server embedded (applicazioni web), la crittografia implementata e realizzata in modo poco attento, l’esecuzione di codici arbitrari o l’escalation dei privilegi. Il tempo per colmare eventuali gap in questo settore sta già correndo velocemente» – mette in guardia Lehn di Kaspersky Lab. «Tuttavia riteniamo che il nostro contributo allo standard sia un primo passo significativo per aiutare le organizzazioni a sviluppare strategie di cybersicurezza sempre più efficienti e in grado di proteggere dalle attuali minacce informatiche». Di certo il gran numero di “varchi” a disposizione offre parecchie opportunità ai malintenzionati di fare danni. Molti di questi attacchi si basano su malware creati ad hoc. Secondo una rilevazione condotta da Kaspersky Lab, le varianti in circolazione lo scorso anno superavano i settemila campioni di malware. Metà delle quali emersa nei dodici mesi precedenti. Spesso però questi device poveri e obsoleti in termini di tecnologia di sicurezza a bordo (poco spazio di memorizzazione, componenti antiquati, non supporto alla crittografia), sono esposti anche ad attacchi con i quali pensavamo di non dover più fare i conti. Buffer overflow, attacchi del tipo man in the middle, DOS d’antan, probabilmente conosceranno una seconda giovinezza. L’idea che la sicurezza IoT non sia dal punto di vista qualitativo, molto diversa da quella di qualsiasi altra categoria di dispositivi, cozza con il gran numero di dispositivi connessi. Rendendo il compito ancora più impegnativo. «Di fronte a questa “esplosione” di device IoT, trovare una soluzione di sicurezza omnicomprensiva, diventa un’impresa ardua. La difficoltà maggiore sta nel volere imporre delle regole in un mercato di device enorme, e che continuerà a crescere» – afferma Emmanuel Becker, managing director Italy di Equinix. «La sicurezza IoT dovrebbe sempre considerare tre aspetti: la protezione dei dispositivi IoT, la crescente portata dei sistemi IoT e i dati utilizzati e trasmessi dai dispositivi IoT. Se un dispositivo viene violato, non deve trasformarsi in un vettore di attacco per altri sistemi. È importante capire in che modo gli esseri umani e le macchine interagiscono con i dati, quando e perché si accede ai dati e come vengono elaborati o analizzati» – spiega Emiliano Massa, AVP sales SEMEA di Forcepoint.
IOT E SPESA IN SICUREZZA
«Le imprese che guardano verso l’IoT e l’Industry 4.0 sono perfettamente consapevoli delle sfide da affrontare per muovere i primi passi nella direzione giusta e comprendono il ruolo strategico della sicurezza IT nella realizzazione dei nuovi modelli» – afferma Vercellino di IDC. «Circa il 24% delle imprese italiane destina alla sicurezza IT un budget rate compreso tra l’uno e il tre per cento del budget IT. Nel gruppo delle imprese con specifici obiettivi legati all’IoT, quelle che allocano altrettante risorse salgono al 38%». Le differenze – rileva ancora IDC – diventano ancora più marcate quando osserviamo le aree di investimento in tecnologie e servizi per la sicurezza IT tra le imprese con un focus su IoT e Industry 4.0: «Qui le percentuali di imprese che investono in identity & access management, security & vulnerability management, managed security services, expert intelligence services, cognitive/ML-based security intelligence sono circa quattro volte superiori rispetto alla media percentuale del mercato italiano» – osserva Vercellino. «Queste direzioni di investimento rivelano una consapevolezza chiara di almeno due problemi. Primo: la sicurezza IT in ambito industriale è un tema che richiede lo sviluppo di specifiche partnership tecnologiche con i service providers. Secondo: si tratta di un ambito dove il confronto tecnologico con malware sempre più sofisticati e attacchi APT porta necessariamente allo sviluppo di strategie di difesa ampiamente basate su analytics e intelligence». E, potremmo aggiungere, edge computing. Che almeno per quanto riguarda l’industry 4.0 rappresenta probabilmente una delle opportunità più promettenti per affrontare, anche in combinazione con il machine learning, il tema security in modo strutturale.
«La disseminazione del dato, indotta dall’adozione di tecnologie IoT, comporta la dispersione delle funzioni elaborative per ottenere una diffusione del trattamento dei dati necessaria a rendere l’architettura scalabile e funzionale» spiega Sergio Ribba, chief technology officer di NovaNext. «Edge computing e fog computing, elementi che devono integrare le funzioni per realizzare il trasporto in sicurezza del dato verso i sistemi di elaborazione centralizzati in cloud o data center, diventano quindi elementi dell’architettura in grado di realizzare la necessaria capacità pre-elaborativa. Il posizionamento di capacità elaborative nei sistemi di trasmissione periferici e in dispositivi come i PAC (Programmable automation controller) crea i presupposti per realizzare i meccanismi di trattamento sicuro dei dati». Tuttavia – rileva ancora Ribba – solo i dispositivi IoT con sufficiente capacità elaborativa e di memoria possono implementare tecniche di ML che includono supervised, unsupervised e reinforcement learning, per la protezione dei dati, o la rilevazione di attacchi e malware. «Le sfide da analizzare riguardano l’individuazione del giusto compromesso tra l’accuratezza delle funzioni di protezione, anche basate su tecniche di ML e l’incremento di complessità elaborativa, dispendio energetico, latenza di comunicazione, che queste potrebbero comportare» – spiega Ribba. Approccio condiviso anche da Gastone Nencini, country manager di Trend Micro Italia che tuttavia avverte: «Oggi, la soluzione non è un software o un approccio singoli, ma una strategia di ampio respiro che prenda in considerazione l’aspetto tecnologico e i processi, oltre agli approcci sistematici». È fondamentale che il cliente indirizzi adeguatamente necessità come la protezione dei data center, la cifratura, la segmentazione della rete e il controllo degli accessi di persone e oggetti. «Ma lo è altrettanto disporre di soluzioni in grado di identificare, con algoritmi o analisi specifiche, anomalie riconducibili a minacce avanzate o, ancor peggio, a furti di dati personali o business critical» – mette in evidenza Enrico Sorge, senior technical engineer cyber security di Italtel. «Un approccio questo a nostro parere vincente. Più dinamico nell’identificare minacce ancora non note all’industria ma, al tempo stesso, determinante per tenere sotto controllo anche i punti più deboli della supply chain, ossia partner e fornitori, elementi di valore del business aziendale, ma purtroppo saliti alla ribalta come gli anelli più deboli dove colpiscono i malintenzionati».
FAR WEST IOT, DOVE SONO LE LEGGI?
In questo momento nell’UE non esistono in materia di sicurezza vincoli normativi per i produttori di oggetti IoT. Gli unici paletti sono di natura tecnica. Ma è sufficiente garantire l’interoperabilità del prodotto con i protocolli più comuni (Bluetooth, Wi-Fi e così via) per ottenere il via libera alla commercializzazione di qualsiasi oggetto. Un vuoto legislativo che consente ai costruttori di operare nella più totale libertà. Compresa quella di rilasciare poche informazioni circa le modalità di conservazione e finalità dei dati raccolti. Come auspicato per altri settori, per esempio l’armonizzazione dell’imposizione fiscale tra i paesi membri dell’UE, sono in molti a ritenere che una regolamentazione efficace non potrà che essere sovranazionale. Lo ha sostenuto per esempio l’ENISA, l’agenzia europea per la sicurezza delle reti e dell’informazione che – in uno studio incentrato sui problemi connessi allo sviluppo del settore – ha evidenziato la totale assenza di linee guida legali e requisiti minimi per le installazioni IoT sia in ambito consumer sia industriale. Una mancanza – si sottolinea nello studio citato – che determina l’assenza di un adeguato incentivo per i produttori a costruire dispositivi che abbiano a bordo controlli di sicurezza degni di questo nome. Lacuna – suggerisce ENISA – che potrà essere colmata solo attraverso un programma europeo di certificazione dei prodotti IoT (secondo criteri “by design” e “by default” come previsti per la privacy dal GDPR), che però con queste caratteristiche non rientra in nessun piano europeo. Inutile nascondere che in ogni caso un processo di certificazione e standardizzazione europeo richiederebbe tempi lunghi. Da qui il suggerimento di numerosi osservatori di partire da best practice già esistenti. ENISA non esita a parlare in relazione a questa situazione di un vero “fallimento del mercato”. La mancanza di sicurezza dei dispositivi IoT – lo si voglia ammettere o meno – crea diffidenza tra imprese e consumatori.
IOT, GDPR E ANALISI DEI RISCHI
Se l’attuale vuoto legislativo rappresenta una delle cause dell’attuale mancanza di sicurezza dei dispositivi IoT, il GDPR potrebbe incidere sulla qualità costruttiva di questi oggetti? Come noto il Regolamento, diversamente da una Direttiva che deve essere prima recepita, è subito attuativo. Dopo il 25 maggio 2018, tutte le imprese sono a rischio sanzione per inadempienza. La mancanza del decreto di attuazione ha di fatto sospeso le sanzioni, e il Garante italiano per la Privacy sulla scia dell’omologa Autorità francese ha allungato di sei mesi i tempi per l’adeguamento. Salvo ulteriori slittamenti, a partire da questo termine, gli organi di controllo (Garante Privacy, Guardia di Finanza, etc.) potranno verificare l’applicazione da parte delle aziende di quanto previsto dalla normativa a protezione dei dati personali. «Credo che il GDPR stia ponendo ogni tipo di impresa di fronte ad approcci e best practice di sicurezza che in molti ambiti sono percepiti come innovativi (o almeno “nuovi”), generando una forma di sensibilizzazione che non ha precedenti» – premette Luca Bechelli, membro del direttivo di CLUSIT. «L’approccio estremamente maturo e molto anglosassone di rendere le aziende “accountable” – continua Bechelli – introduce una assunzione di una responsabilità, già in parte presente ma scarsamente percepita. Consapevolezza che prima o poi farà riflettere i dirigenti sulla seguente domanda: Perché conduco delle attività per proteggere i dati degli interessati, e non faccio la medesima cosa con quelli dell’azienda»? Protezione che passa anche attraverso la completa visibilità sia dei dispositivi in rete sia dei dati raccolti e di chi li riceve. Visibilità fortemente influenzata dal livello normativo esistente, che può sorreggerla o affossarla. «Tranne che in specifici settori in cui il trattamento dei dati personali si può intendere come parte del core business (come nella Sanità), personalmente – continua Becchelli del CLUSIT – non mi aspetto un grande contributo dal GDPR a breve termine alla protezione dei sistemi IoT. Soprattutto in ambito industriale dove questi sistemi raramente rientrano nel perimetro di attuazione del GDPR». Secondo Vercellino di IDC, l’impatto del GDPR sui sistemi di produzione industriale nell’immediato sarà assolutamente limitato. «Nel lungo termine – a due, forse tre anni – i primi risultati del GDPR si osserveranno in un cambiamento culturale presso le medie e grandi imprese, con una maggiore attenzione alla creazione di specifici processi per la tutela e la privacy dei dati». Un cambio di paradigma sul quale costruire scelte di implementazione e controllo dei dispositivi IoT più efficaci. Ma che richiederà ancora del tempo.
D’altra parte afferma Bechelli, «non esiste un vero marchio GDPR-Ready». Secondo l’interpretazione condivisa, il Regolamento impatta sul tema IoT perlomeno sotto il profilo dell’analisi dei rischi. La norma stabilisce infatti che il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Questo significa che pur non stabilendo misure minime di sicurezza, il Regolamento impone di disporre di un processo per provare, verificare e valutare regolarmente l’efficacia delle misure tecnico/organizzative e garantire la sicurezza del trattamento. Per quanto riguarda i dispositivi IoT, il GDPR non dice certo che l’apparecchiatura dovrà essere progettata secondo precisi standard di sicurezza. Però stabilisce che quella utilizzata dovrà essere monitorata nel tempo. In modo che il livello di sicurezza sia sempre proporzionato al rischio. Al fine di valutare se le misure di sicurezza presenti nel dispositivo risultino adeguate, l’azienda di fatto eserciterà perciò delle scelte, che nel medio periodo potrebbero innescare un processo virtuoso. «Il GDPR costringerà le aziende a dover considerare i concetti di “security by design” e di “privacy by design” e questo sarà sicuramente un bene» – prevede Nencini di Trend Micro Italia. «Ma la filiera degli strumenti IoT (software, installatori, manutentori, integrazioni) sarà in grado di mantenere questi standard? Quanto costerà un progetto IoT con una security e una privacy by design»? Dubbi legittimi. Come quelli sollevati in prima persona da Giovanni Buttarelli, garante europeo per la protezione dei dati, circa la capacità degli organi di controllo, sottodimensionati in termini di risorse e personale, di verificare il rispetto di leggi complesse (chiaro, il riferimento al GDPR) applicabili a tutte le aziende del mondo che offrono servizi ai cittadini europei.
CONCLUSIONI
Forse, dovremo imparare ad accettare un livello limitato di sicurezza su alcuni oggetti IoT. Oppure, addirittura a rinunciarvi del tutto. Alcuni dispositivi semplicemente non possono esserlo senza un investimento sproporzionato di denaro. Si renderà allora necessario provare a cambiare prospettiva. Oggi, gli sforzi maggiori in tema di sicurezza si concentrano sull’endpoint. Sottovalutando l’apporto che i maggiori carrier potrebbero giocare in chiave sicurezza IoT. Bloccando per esempio l’accesso alla rete dei dispositivi più vulnerabili. E selezionando con maggior cura fornitori e costruttori. Come abbiamo visto parlando di GDPR, la normativa può favorire un atteggiamento più responsabile da parte delle aziende. Alle quali si richiede però uno sforzo non banale di verifica del livello di maturità dei propri fornitori nei confronti della sicurezza. Verifica che alla fine le porti a fare affari prioritariamente con coloro che prendono la sicurezza sul serio. Considerazioni simili valgono nei confronti dei costruttori. Chi produce oggetti IoT, prima o poi capirà l’importanza di realizzare dispositivi più sicuri. Nel frattempo, le imprese utenti devono essere pronte a rivolgersi a costruttori in grado di offrire maggiori garanzie. Anche a costo di sostenere costi più elevati e accollarsi l’impegno d’integrare maggior sicurezza e controlli all’interno dei propri sistemi IoT.
