L’evoluzione della cybersecurity nell’era dell’IoT

L’evoluzione della cybersecurity nell’era dell’IoT

L’Internet of Things è una tecnologia in continua evoluzione con un potenziale applicativo ancora in gran parte inesplorato. All’IoT sono dedicate numerose linee guida, standard e normative prodotte da autorevoli istituzioni, focalizzate soprattutto sugli aspetti legati alla sicurezza

Di Internet of Things si parla ormai da dieci anni. Già nel 2010, il governo cinese dichiarò che l’IoT sarebbe stata una delle priorità strategiche dell’allora piano quinquennale. Un paio di anni dopo, nel 2012, nasce anche la declinazione industriale di questo concetto, definita Industrial Internet da General Electric e poi anche Industrial IoT. Tra le tante definizioni di questa tecnologia citiamo quella dell’ENISA, l’Agenzia dell’Unione europea per la cyber sicurezza, che considera l’IoT un “ecosistema cyber-fisico di sensori e attuatori interconnessi, che consentono un processo decisionale intelligente”.

L’IoT è una tecnologia in continua evoluzione i cui ambiti applicativi trarranno vantaggi significativi dagli sviluppi attesi di alcune tecnologie abilitanti, soprattutto la fibra e le reti 5G, con aumento della velocità di trasmissione e contestuale riduzione dei tempi di latenza per l’utilizzo di dispositivi in applicazioni di artificial intelligence (AI) e machine learning (ML). Obiettivo: sfruttare la mole di dati generati dai dispositivi IoT ai fini decisionali, con incremento del livello di “intelligenza” nei servizi abilitati dagli stessi dispositivi IoT, avvantaggiando in particolare le applicazioni in tempo reale, per il benessere personale, nel Life Science, nell’industria come nelle utility, nelle case e nei trasporti.

Considerata l’ampia diffusione di questa tecnologia, l’IoT non poteva non essere oggetto di linee guida, standard e normative, prodotte da autorevoli istituzioni come NIST (negli USA), ISO e la stessa ENISA (in Europa). Regole sono anche contenute in direttive emanate dalla UE e recepite dagli stati membri (come per esempio GDPR e NIS). E sempre più strette sono le interrelazioni con la sicurezza delle informazioni, la cybersecurity e la safety, la business continuity e la protezione dei dati personali.

La prima cosa da sottolineare è che un dispositivo IoT deve assicurare il rispetto dei principi base della sicurezza delle informazioni (riservatezza, disponibilità e integrità), ma presenta anche alcuni aspetti specifici, relativi alla sicurezza degli oggetti fisici, quali la safety, la non ripudiabilità, l’autenticazione (come menzionato dal NIST IR-8228). Se prendiamo in considerazione i rischi, oltre a valutare quelli legati al singolo dispositivo, occorre prendere in esame anche la soluzione nel suo complesso, cioè i singoli dispositivi o sensori, i sistemi periferici di raccolta dei dati, i canali di comunicazione utilizzati, i sistemi e le applicazioni che gestiscono i dati raccolti, edge e cloud.

Leggi anche:  Le PMI con software obsoleti subiscono il 53% in più di danni economici in caso di violazione dei dati

Relativamente alla security bisogna ricordare che uno dei “peccati originali” dell’IoT è quello a volte di utilizzare (spesso senza valutazione del rischio e contromisure specifiche) la rete aziendale esistente per raccogliere informazioni generate da dispositivi IoT non sicuri: alle vulnerabilità e minacce esistenti si vanno così a sommare quelle specifiche del “nuovo mondo IoT” e i malintenzionati potrebbero sfruttare vulnerabilità pregresse unite a quelle dell’IoT per portare attacchi a tutta l’infrastruttura aziendale.

La Community for Security di CLUSIT ha pubblicato a marzo 2020 il libro “IoT Security e Compliance – Gestire la complessità e i rischi” (disponibile sul sito clusit.it). Qui si affrontano le tematiche IoT più rilevanti a livello gestionale, con riferimenti al quadro normativo e alle tecnologie attuali relative al mondo IoT. Il volume è una fonte di informazioni dettagliate relative alle soluzioni (e alla protezione) di IoT e IIoT con esempi di applicazioni di queste tecnologie all’automotive, ai trasporti, alla gestione del territorio, all’ambito sanitario e fitness, all’industria, al building management, all’energia e allo smart meeting, ai quali vengono dedicati specifici capitoli “verticali” per una possibile implementazione “consapevole, sicura e compliant”.

Enzo Maria Tieghi comitato scientifico di CLUSIT