Una nuova generazione di tecnologie per la protezione dell’Internet delle cose dagli attacchi cyber è alle porte. Sicurezza sui dispositivi, autenticazione, crittografia, tecnologie per la protezione delle reti e delle comunicazioni tra oggetti connessi. Ma sono in arrivo anche nuovi standard e maggiori vincoli legislativi per migliorare la qualità costruttiva e la sicurezza degli oggetti IoT
Due tra i principali protocolli IoT – Message Queuing Telemetry Transport (MQTT) e Constrained Application Protocol (CoAP) – sono a rischio attacco a causa di vulnerabilità significative nella progettazione. Il monito arriva da Trend Micro ed è dettagliato all’interno della ricerca The Fragility of Industrial IoT’s Data Backbone, condotta in collaborazione con il Politecnico di Milano e sviluppata da Federico Maggi, ricercatore del team Trend Micro Research. Come si legge nello studio, le falle nei due protocolli, diffusi soprattutto in ambito machine-to-machine (M2M) potrebbero essere sfruttate per fini di “spionaggio industriale, attacchi mirati o di tipo denial-of-service”. «Non sempre le reti a cui i nostri dispositivi si collegano sono sicure» – afferma Mauro Cicognini, membro del comitato direttivo di CLUSIT. «Le reti Internet of Things per la varietà di protocolli di comunicazione, standard e funzionalità dei dispositivi richiedono uno sforzo maggiore rispetto a quelle tradizionali». Non è un caso che router e firewall siano i bersagli più gettonati dagli attaccanti specializzati in IoT. Lo scorso anno il CERT USA si è visto costretto a diramare un alert specifico per mettere in guardia dai tentativi dei criminali di prendere possesso degli apparati di rete. Riuscire a penetrare nell’infrastruttura di routing e switching di un’organizzazione sfruttando i sistemi più vetusti (legacy), non aggiornati consente di monitorare e se serve bloccare il traffico dati da e verso gli host più importanti. «La rete deve essere un impianto sicuro di trasporto delle informazioni di business» – afferma Giuliano Tonolli, direttore commerciale e amministratore di Personal Data, Gruppo Project.
«Ma parecchie aziende sembrano sottovalutare questo aspetto. Quando invece sarebbe opportuno adottare soluzioni di monitoraggio del traffico che rilevino le anomalie operative dei dispositivi e assicurino la business continuity». Dallo studio di Cisco Mobile Visual Networking Index, che fotografa il traffico dati sulle reti mobili di tutto il mondo tra il 2017 e il 2022, emerge che il traffico su quelle italiane quadruplicherà, come conferma Stefano Vaninetti, security leader di Cisco Italia. L’obiettivo a cui tendere perciò è di avere – «una rete intrinsecamente sicura, capace di adeguarsi al perimetro mutevole della realtà aziendale e di proteggere qualsiasi elemento a essa connesso a livello centrale» – evitando l’approccio a silos delle soluzioni di sicurezza del passato. «Un approccio centralizzato – prosegue Vaninetti – migliora la visibilità, il controllo degli accessi e la segmentazione e classificazione di tutti i dispositivi». Un ambito presidiato dalla tecnologia come conferma Cicognini di CLUSIT: «Disponiamo di soluzioni che abbracciano OT e IoT, per rilevare la “security posture” dell’organizzazione, tenendo conto dei vincoli specifici dell’ambiente». Soluzioni che rilevano il comportamento “normale” degli oggetti presenti in rete e allo stesso tempo individuano eventuali difetti di configurazione e vulnerabilità software. «L’approccio più comune è l’ascolto passivo del traffico su una porta in mirror, e l’analisi di quanto rilevato, via via che il traffico arriva e viene classificato» – spiega Cicognini. «Meno intrusive degli scan, queste soluzioni riescono a restituirci una serie di informazioni su chi è collegato, chi comunica con chi, i parametri di controllo e i range di utilizzo entro i quali operare».
IL PARADOSSO DELL’IOT
«Nel 2022, avremo circa 165 milioni di device e connessioni IoT sulle reti mobili italiane» – ci dice Vaninetti di Cisco Italia. Non solo sensori collocati in remoti impianti di rilevazione dell’inquinamento atmosferico o della temperatura dell’acqua di una centrale termica. Lontani dal nostro quotidiano. Al contrario, oggetti di uso comune come il cellulare o il televisore. Eppure, una sorta d’invisibilità sembra avvolgerli. Secondo una recente survey condotta da Gemalto, vendor leader in ambito identità e sicurezza digitale, quasi una organizzazione su due (48%) non è in grado di stabilire l’integrità di un dispositivo IoT connesso. Il paradosso evidente è l’impossibilità di proteggere quello che neppure si riesce a vedere. Ma c’è di peggio. Ossia la scarsa sicurezza di questi oggetti. Falliti prima di tutto sul piano progettuale. Licenziati da costruttori che hanno sostanzialmente operato come più a loro conveniva, svincolati da qualsiasi obbligo normativo. Prendiamo i sistemi operativi su cui girano questi dispositivi. Spesso non sono neppure aggiornabili, semplicemente perché non è stato previsto. È il caso del condizionatore d’aria montato sulla parete esterna di un capannone industriale che non dispone di un collegamento Wi-Fi. O dello smartphone il cui sistema operativo – per scelta del costruttore – rimane congelato al momento della fabbricazione per tutta la durata del suo ciclo di vita. Ora, se non è possibile aggiornare il sistema operativo, come si fa a mettere una pezza a una vulnerabilità?
Una manna per chi vuole approfittarne. Come dimostra il caso clamoroso della rete Mirai, botnet di oggetti smart solo sulla carta e che ha messo knock-out milioni di dispositivi IoT. «I cybercriminali hanno intuito le opportunità finanziarie di questo mercato. Perciò stanno moltiplicando e differenziando i loro attacchi» – ci dice Morten Lehn, general manager Italy di Kaspersky Lab. «Una tendenza che cresce di anno in anno. Stando ai nostri esperti, nella prima metà del 2018, si sono verificati più di 120mila attacchi da varianti di malware, il triplo rispetto a quelli registrati nel 2017». Le vulnerabilità sono le stesse che affliggono qualsiasi altro dispositivo tradizionale. Così come i vettori d’attacco. «L’IoT è uno dei principali obiettivi dei criminali informatici e questo è dovuto in modo particolare a due fattori: l’utilizzo massivo di dispositivi connessi e la poca consapevolezza da parte delle aziende dei rischi a essi collegati» – conferma Lara Del Pin, country manager di Panda Security per Italia e Svizzera.
Una situazione che dovrebbe portare i produttori di device e i gestori delle reti e delle piattaforme a considerare la sicurezza come una priorità. «Anche perché nello scenario emergente di “hybrid edge computing” i dati sono elaborati all’edge, nel cloud e altri ancora su specifiche piattaforme di raccolta» – spiega Daniela Rao, senior research and consulting director di IDC Italia. Secondo IDC, nel corso dei prossimi tre anni, l’estensione delle reti 5G e la continua crescita degli endpoints e delle applicazioni amplificheranno il problema della sicurezza. «Produttori e operatori aumenteranno di oltre il 15% all’anno gli investimenti per la sicurezza di devices, reti e piattaforme di gestione delle applicazioni IoT. In particolare nel controllo degli accessi, crittografia, whitelist e meccanismi per stabilire l’identità del dispositivo e le comunicazioni sicure e a livello di rete nel rilevamento e prevenzione delle intrusioni, firewall e gateway di sicurezza per la segmentazione, controllo dell’accesso alla rete e piattaforme di orchestrazione, strumenti di scansione e valutazione delle vulnerabilità, sicurezza wireless e software di gestione degli accessi remoti». Più risorse economiche dunque per proteggere questi dispositivi. Onere però che dovrebbe spettare in primo luogo ai costruttori. Prendiamo la protezione delle identità e degli accessi ai dispositivi. Un campo in cui disponiamo di tecnologie già mature e che si tratta soprattutto di adattare a un contesto diverso. Grazie a standard rodati come il protocollo LDAP, le informazioni possono essere memorizzate direttamente sul dispositivo, creando un archivio di identità IoT. Ma non sempre il dispositivo lo consente. Stesso discorso per proteggere l’autenticazione. Le soluzioni esistenti consentono di gestire più utenze sul singolo dispositivo autenticandosi con una password oppure utilizzando meccanismi più robusti a due fattori, certificati digitali e biometria. Ma non tutti gli oggetti IoT per caratteristiche e qualità costruttiva riescono a supportarle.
CRITTOGRAFIA DEI DATI
Crittografare i dati e trasferirli tra i dispositivi IoT e i sistemi back-end protegge l’integrità delle informazioni, impedendo l’accesso da parte di malintenzionati. Tuttavia, la varietà di dispositivi IoT e di profili hardware limita le possibilità di avere processi di crittografia e protocolli omogenei. Per non compromettere la sicurezza di tutto il processo, insieme alla crittografia dei dati devono essere previsti processi di gestione del ciclo di vita delle chiavi. «Le limitazioni vengono soprattutto dall’hardware, che per ovvi motivi di costi viene limitato allo stretto necessario» – osserva Cicognini di CLUSIT. «È poi senz’altro vero che la crittografia non serve a nulla se le chiavi non sono ben gestite. Sappiamo però quanto questi processi siano complessi e delicati. Il mio consiglio è di non usare la crittografia se non dove la riservatezza sia davvero utile, oppure sia indispensabile garantire l’integrità dei dati».
ANALYTICS DI SICUREZZA
C’è una stretta correlazione tra IoT e dati, consumati e prodotti a ritmi sempre più sostenuti. Ciò alimenta la diffusione degli oggetti connessi. Ma l’IoT è qualcosa di più. Meno visibile. Oggetti certo, e poi reti, tecnologie e persone connesse, in campo per raggiungere obiettivi condivisi, perseguiti da applicazioni che apportano una serie di benefici ai loro utilizzatori in diversi settori. Ma per raggiungere questi risultati, i dati generati dall’IoT sono lavorati e analizzati. Dietro le quinte, operano una serie di processi di data analytics (DA) che passano al setaccio set piccoli e grandi di dati per estrarne tendenze, pattern, statistiche, informazioni significative. Utili all’organizzazione per prendere decisioni. Gli analytics di sicurezza non differiscono per caratteristiche generali da questo schema. Parliamo di soluzioni che partendo dalla raccolta, normalizzazione, aggregazione e monitoraggio dei dati provenienti dai dispositivi IoT sono in grado di generare informazioni più raffinate e alert in relazione ad attività specifiche della security (monitoraggio, detection, response, e così via) quando si discostano dalle politiche di sicurezza decise dall’organizzazione. Piattaforme che sfruttano machine learning e tecniche big data per eseguire processi di rilevamento e modellazione predittivi delle anomalie. Funzionalità in pieno sviluppo che secondo gli esperti conferiranno a queste soluzioni la capacità di individuare attacchi e intrusioni – oggi – invisibili agli apparati di sicurezza tradizionali. Tutte queste tecnologie connesse alla sicurezza dei dispositivi, alla protezione delle reti e delle comunicazioni tra oggetti connessi rappresentano un mercato in forte crescita. «Le ultime stime di IDC prevedono un mercato globale – che comprende sia la sicurezza fisica, quella dei nuovi dispositivi e sensori e quella della componente di networking – di oltre 18 miliardi di dollari nel 2022 (CAGR 10,2%)» – conferma Giancarlo Vercellino, associate research director di IDC Italia.
L’ARRIVO DELLO STANDARD ETSI
La progressiva diffusione dei dispositivi IoT e le prime avvisaglie delle vulnerabilità di sicurezza collegate hanno fatto aumentare la consapevolezza della necessità di costruire oggetti più sicuri. Lo standard ETSI TS 103 645 sulla sicurezza dei prodotti IoT destinati ai consumatori, rilasciato dal Comitato tecnico per la sicurezza informatica dell’ETSI (European Telecommunications Standards Institute) rappresenta il primo risultato tangibile. Il documento contiene una serie di raccomandazioni rivolte ai produttori e agli sviluppatori di dispositivi collegabili alla rete destinati al grande pubblico (smart TV, smartwatch, impianti domotici, etc.) per accrescerne la sicurezza e l’affidabilità. Creando così maggiore fiducia presso i consumatori verso questi prodotti. Come sappiamo le persone affidano i propri dati personali a un numero crescente di dispositivi e servizi online. La mancanza di sicurezza minaccia la privacy dei consumatori esponendoli ad attacchi informatici di vario tipo. Lo standard rilasciato da ETSI indirizza questo genere di problematiche, raccomandando una serie di specifiche di alto livello per la sicurezza dei dispositivi di consumo collegabili a Internet e dei servizi associati che i costruttori sono invitati a seguire.
Un set di regole costruttive applicabile praticamente a qualunque dispositivo IoT. Tra le raccomandazioni contenute nello standard c’è ad esempio quella di provvedere al rilascio periodico di aggiornamenti di sicurezza per dei software di controllo; di evitare di immettere sul mercato prodotti con username e password di default e quella di prevedere punti di contatto aziendali per segnalare eventuali vulnerabilità dei prodotti. Ma ci sono anche raccomandazioni relative all’archiviazione sicura di credenziali di accesso e dati personali; alla creazione di canali di comunicazione sicuri; all’integrità del software che deve essere il più possibile garantita; così come alla protezione dei dati personali e alla loro cancellazione da parte degli utenti che deve avvenire in maniera semplice; la possibilità di esaminare i dati telemetrici dei dispositivi. Inoltre, lo standard prevede la minimizzazione della “superficie di attacco” dei dispositivi e la resilienza dei sistemi IoT agli attacchi informatici e che l’installazione e la manutenzione dei dispositivi avvenga in maniera semplificata. L’auspicio è che le best practice proposte possano guidare i produttori nella costruzione di una nuova generazione di oggetti in grado di rispettare i requisiti di sicurezza imposti dalle normative vigenti. Come il GDPR, citato dallo standard, oppure il Cybersecurity Act, il nuovo insieme di regole europee che a breve dovrebbe introdurre un sistema europeo di certificazione della sicurezza di prodotti e servizi digitali. «Le nuove specifiche contribuiranno a creare uno standard di sicurezza di base e offriranno alle organizzazioni la flessibilità necessaria per innovare e implementare soluzioni di sicurezza appropriate per le nuove generazioni dei loro prodotti» – afferma Salvatore Marcis, technical director di Trend Micro Italia. Le raccomandazioni contenute nello standard coprono quasi tutte le aree più importanti della security. Sebbene poi la loro osservanza non assicuri la compliance dei prodotti interessati, l’elevato livello di dettaglio conferisce allo standard buone chance per diventare uno strumento prezioso per individuare le misure più adeguate e allinearsi alla normativa esistente.
«Lo standard è ragionevole, ben scritto, contiene numerose raccomandazioni sensate» – concorda Cicognini. «Tuttavia, non indica quale sia il livello minimo di conformità, ovvero se tutti i criteri citati siano obbligatori per ottenere una “certificazione”, oppure se alcuni siano derogabili, in base per esempio all’analisi dei rischi. Azzardato perciò – secondo Cicognini – ipotizzare un forte impatto sul mercato. «Lo standard inciderà in minima parte sull’operato dei produttori, almeno finché non avranno una compelling reason per adottarlo». Diverso sarebbe se il legislatore decidesse di richiedere un qualche livello minimo di conformità. «In questo caso, l’industria potrebbe ragionevolmente proporre di utilizzare quei criteri come baseline. Data l’attuale legislazione, non credo probabile un’adozione volontaria e generalizzata dello standard. A meno che naturalmente, non arrivi una forte spinta del mercato».
Più ottimista il parere di Salvatore Marcis di Trend Micro Italia secondo cui lo standard rilasciato dall’ETSI getta le basi per la creazione di uno schema di certificazione dei dispositivi IoT. «Un passaggio fondamentale, in quanto le persone affidano i loro dati personali a dispositivi e servizi online». La prova che la sicurezza è una vera e propria priorità. Peraltro recepita anche altrove. «Negli ultimi anni, sono nati tanti consorzi industriali che propongono diverse soluzioni e standard tecnici (IoT CyberSecurity Alliance, Trusted IoT Alliance, CSA IoT Working Group, etc.) per affrontare in modo coerente e uniforme – «la necessità di pensare a un livello di embedded security» – come osserva Vercellino di IDC Italia. «Non esiste una risposta valida per qualsiasi dispositivo IoT. Oggi più che in passato, si richiede agli operatori IoT hardware di concepire i nuovi dispositivi implementando, dove possibile, alcuni ragionamenti di sicurezza in modo nativo. Prassi che si va traducendo in un principio sempre più generale, valido per qualsiasi organizzazione e qualsiasi processo, attraverso il GDPR (“security by design”). Qualunque nuovo standard e linea guida che si muova in questa direzione è senz’altro di valore».
«Se nella convergenza tra OT e IT, stiamo vedendo quanto sia difficile portare delle pratiche di buonsenso basate sull’esperienza IT in contesti diversi, nel caso dell’IoT vedo criticità diverse, meno impegnative» – aggiunge Andrea Ferrazzi, security competence center manager & CISO di Maticmind. «Credo che la transizione sarà piuttosto naturale, anche in considerazione del fatto che il livello di maturità dei consumatori è molto aumentato». Detto questo, non è solo la sicurezza dei dispositivi a essere importante. «Saranno le piattaforme di gestione della connettività e delle applicazioni che diventeranno importanti e sempre più sofisticate, per garantire protezione dei dati, identificare e reagire velocemente a minacce e attacchi, offrendo un’esperienza di qualità agli utenti finali» – rileva Daniela Rao di IDC Italia. «Molti dispositivi connessi oggi disponibili sul mercato al dettaglio sono gestiti da piattaforme cloud che non sono attrezzate per proteggere i dati degli utenti o garantire elevati standard di sicurezza».
PIÙ SICUREZZA PIÙ IOT
La pervasività dell’IoT è un fenomeno certo, che una maggiore sicurezza può senz’altro contribuire ad accelerare. «Il mercato è una forza potente e – se i clienti cominceranno a lamentarsi e ad attendersi una qualità più elevata, soprattutto nel software di controllo dei dispositivi – i fornitori saranno rapidi ad adeguarsi» – osserva Cicognini di CLUSIT. Una possibilità su cui però non tutti sono pronti a scommettere. Prendiamo il software. Qui, a dare le carte sono saldamente i produttori. Nonostante le sollecitazioni a una maggiore responsabilità, per ora i gesti che ne sono seguiti hanno avuto una valenza poco più che simbolica. Probabilmente, come è avvenuto per altri ambiti, sarà ancora la leva legislativa a imprimere l’accelerazione maggiore. I segnali in tal senso non mancano. Un po’ ovunque – dall’Asia agli USA – il settore continuerà a essere regolamentato ancora di più in direzione di maggiori vincoli verso i costruttori. Ma ci vorrà comunque del tempo e gli effetti non saranno immediati. È però ragionevole aspettarsi che con l’adozione di progetti IoT l’approccio alla security maturi sia in termini di progettazione che di risorse investite. Detto questo, è evidente che la complessità del tema della protezione IoT rimane alta. La sicurezza IoT richiede un approccio end-to-end basato su scalabilità, analytics e standard e per alcuni ambiti anche crittografia. In questa fase – però – è ancora consigliabile arrivare a bilanciare i benefici di business correlati ai prodotti IoT con i pericoli che questi dispositivi introducono nelle organizzazioni. Solo quando prodotti e servizi incorporeranno sin dalla progettazione i principi di fiducia, privacy e sicurezza, i vantaggi dell’Internet of Things potranno dirsi completamente raggiunti. L’auspicio è che già a partire dai prossimi mesi gli standard possano iniziare a dare il loro contributo, fungendo da riferimento sia per i consumatori che per l’industria.
