Security of Things

Roberti Gabriele_Idc

L’Internet of Things promette di rivoluzionare i modelli di business e di trasformare il modo di lavorare delle imprese, garantendo opportunità che in pochi ad oggi hanno esplorato

Il fenomeno Internet of Things (IoT) o “Internet delle Cose” è sicuramente uno dei più recenti e dirompenti fattori di cambiamento dell’industria mondiale, non solo IT. IDC definisce l’IoT come una rete composta da reti di endpoint univoci e identificabili (le “cose”) che comunicano senza il bisogno di interazione umana, utilizzando una connettività prevalentemente IP, su scala da locale a globale. Nonostante l’adozione di queste tecnologie, negli ultimi due anni, sia stata ancora limitata, l’Internet of Things avrà crescite inarrestabili nei prossimi anni. Secondo le ultime previsioni IDC, la base installata di endpoint IoT passerà dai circa 10,3 miliardi del 2014 a oltre 29,5 miliardi nel 2020, con una crescita media annua del 19,2%, mentre la spesa mondiale per sistemi e soluzioni IoT passerà dai 655 miliardi di dollari del 2014 a circa 1.700 miliardi di dollari nel 2020. Il comparto Western Europe, di cui l’Italia è parte, che finora ha mostrato un’adozione inferiore alla media, esploderà con una crescita media annua degli endpoint installati di oltre il 27%. Per molte aziende, quindi, l’Internet of Things sta diventando una realtà, passando dallo stadio di pianificazione all’esecuzione dei primi progetti. Secondo una survey IDC condotta in 15 paesi su circa 2.500 aziende medio-grandi, 7 aziende rispondenti su 10 hanno già sviluppato o svilupperanno progetti di questo tipo nei prossimi 12 mesi. In particolare, l’interesse è molto alto in settori come il manifatturiero, i trasporti e la sanità, in cui una grande maggioranza delle aziende ritiene che le tecnologie IoT abbiano e avranno in futuro una rilevanza strategica. Tuttavia, l’indagine sottolinea anche come il mantenimento di un adeguato livello di sicurezza rimanga una delle principali sfide.

La sicurezza prima di tutto

L’ecosistema IoT è composto da un mix di tecnologie che comprende moduli, sensori e device, connettività, piattaforme dedicate, storage, server, software di analytics, servizi IT e security hardware/software. Sebbene gli investimenti maggiori, in questo ambito, siano dedicati a endpoint, sensori, connettività e servizi di consulenza e IT, le aziende devono considerare con attenzione gli aspetti di sicurezza nel momento in cui sviluppano le proprie strategie IoT.

Leggi anche:  Cloud ibrido e AI trasformano il retail per soddisfare le nuove preferenze di acquisto

Secondo IDC, nei prossimi anni il 90% delle reti aziendali subirà violazioni della sicurezza legate ad aspetti IoT. Malgrado molti di questi saranno etichettati come inconvenienti, è fondamentale che chi si occupa della sicurezza informatica in azienda adatti le policy a un ambiente, e a processi di business, in forte evoluzione. Ma cosa significa security quando si parla di IoT? In che modo queste tecnologie possono rappresentare un rischio per l’azienda? E soprattutto, tali rischi possono essere indirizzati in modo generalizzato o vanno affrontati in maniera dedicata?

Il tema della sicurezza è di primaria importanza per ogni azienda. Di conseguenza, può capitare che la confidenzialità, la riservatezza delle informazioni e la disponibilità e integrità dei dati pongano dei compromessi, se non dei limiti, agli scenari di utilizzo delle nuove tecnologie. Inoltre, in ambito IoT, la sicurezza informatica si lega in modo stretto alla sicurezza fisica. Spesso si è letto di “oggetti connessi” affetti da malware o attaccabili: dagli sportelli bancomat ai dispositivi biometrici, fino agli ultimi esperimenti di “hackerare” un’automobile prendendone il pieno possesso mentre il suo proprietario ne è alla guida. Perché le opportunità dell’Internet of Things possano essere sfruttate, quindi, le aziende devono garantire elevati standard di sicurezza per quanto riguarda i propri prodotti e servizi attraverso adeguati processi di sviluppo e test. Tuttavia, questo è necessario ma non sufficiente.

Diversi approcci, a diversi livelli

Capire se intervenire sulla sicurezza a livello di device, di rete o di sistema, in un’architettura IoT, non è cosa semplice. Tanto più se consideriamo che l’ecosistema è composto da molteplici oggetti, con particolari vincoli di ingombro, di potenza elaborativa e, quindi, di consumo energetico. Se, per quanto riguarda i livelli più alti dell’architettura IoT come le piattaforme e il service enablement, le esigenze in termini di sicurezza possono essere soddisfatte da soluzioni già in uso, adeguatamente integrate (per esempio identity management e security/vulnerability management per quanto riguarda la gestione dei “security events”), gli strati più bassi dell’intelligenza di sistema richiederanno nuove tipologie di prodotto.

Leggi anche:  ally Consulting: sicurezza e process automation le due aree chiave per la ripartenza

Lo sviluppo di nuovi scenari, nel prossimo futuro, porterà inoltre a nuove possibili minacce e, quindi, a nuovi requisiti in termini di sicurezza. IDC, in particolare, prevede lo sviluppo delle seguenti tecnologie a supporto della sicurezza per l’Internet of Things:

  • Device identification e authentication. Soluzioni specifiche che identifichino e autentichino il device. Si pensi, ad esempio, a un certificato creato da un’autorità dedicata all’IoT, con caratteristiche e funzionalità diverse da quelle utilizzate nei sistemi che identificano la persona o il device personale.
  • Strumenti di crittografia, ovvero strumenti che possano fornire una sicurezza ai dati generati da sensori ed endpoint, con riferimento particolare alle architetture IoT.
  • Dispositivi per la sicurezza della rete. Firewall e sistemi di Unified Threat Management opportunamente modificati, in modo da assicurare la protezione alle reti distribuite di oggetti (ad esempio i data diodes per la separazione delle comunicazioni).
  • Soluzioni per il monitoraggio della sicurezza di rete e per il rilevamento delle intrusioni, dedicati agli ambienti IoT, per il controllo di comunicazioni su protocolli come, ad esempio, Bluetooth Low energy, ZigBee, RFID o altri protocolli M2M.
  • Soluzioni di sicurezza per le applicazioni, per cercare vulnerabilità in ambienti IoT specifici.

Un piano d’azione

E’ quindi chiaro che le sfide principali, per chi implementerà progetti di IoT nel prossimo futuro, avranno molteplici sfaccettature, dall’autenticazione degli endpoint, fino alla sicurezza dei dati, generati da molteplici “oggetti” connessi e da fruire su una molteplicità di device. Per le aziende, quindi, sarà necessario predisporre un piano d’azione che guardi da una parte alla tecnologia e dall’altra ai processi: l’IT, in particolare, dovrà predisporre un’architettura “IoT ready”, che riesca a dialogare con molteplici piattaforme, che protegga i dati sulla rete aziendale e che consenta l’autenticazione a persone, device e oggetti, nel rispetto degli standard delle diverse industry.

Leggi anche:  2021 in crescita per MMM Group

Tutto ciò richiede una forte governance e la volontà di investire in data security e di gestire specifiche policy per la privacy. Per fare questo, il chief information security officer (CISO) non potrà agire da solo, ma dovrà cercare il coinvolgimento del CEO e il supporto del board, in modo che tutta l’azienda sia allineata verso l’obiettivo comune di implementare e sfruttare in modo sicuro i sistemi IoT.

Il paradigma dell’Internet of Things, infine, spinge a un nuovo approccio di collaborazione e apertura. La crescita di endpoint e dati disponibili costringerà il CISO a collaborare con i suoi pari grado e con altri stakeholders, condividendo informazioni e vedute d’insieme. Ciò rappresenta un cambiamento non banale, ma necessario, che porterà a nuove efficienze e a una miglior conoscenza e consapevolezza per quanto riguarda la sicurezza, i processi e le operation. Anche la trasparenza sarà un punto fondamentale: l’Internet of Things apre le porte della conoscenza di dati e processi in modo nuovo e, sebbene possa sembrare scomodo, le società che non adotteranno questi standard di trasparenza non potranno meritare la fiducia dei propri clienti.

Gabriele Roberti, senior research analyst di IDC Italia