Un recente report di Kaspersky dal titolo “Pushing the limits: How to address specific cybersecurity demands and protect IoT”, ha rivelato che due aziende su cinque a livello globale (43%) non hanno ancora dotato di soluzioni di protezione alcune parti della loro infrastruttura IoT
IoT Analytics stima che il numero globale dei dispositivi IoT connessi crescerà del 9%, raggiungendo la cifra di 27 miliardi di connessioni IoT entro il 2025. Lo strabiliante aumento dei dispositivi connessi va però di pari passo con un crescente bisogno di sicurezza. A tal proposito Gartner evidenzia che, negli ultimi tre anni, circa il 20% delle aziende ha registrato attacchi informatici ai dispositivi IoT nella propria rete.
Se due terzi delle aziende globali (64%) si serve di soluzioni IoT, il 43% di esse non le protegge completamente. Ciò significa che per alcuni progetti IoT – che possono riguardare qualsiasi cosa, da una stazione di ricarica EV ad apparecchiature mediche connesse – le aziende non utilizzano nessuno strumento di difesa.
Le ragioni dietro a questa scelta potrebbero avere a che fare con il fatto che non sempre i vari dispositivi e i sistemi IoT sono compatibili con le soluzioni di sicurezza. Circa la metà delle aziende teme che i prodotti di cybersecurity possano interferire con le prestazioni dell’IoT (46%), o che trovare una soluzione adeguata sia tutt’altro che semplice (40%). Le aziende che vogliono implementare soluzioni di sicurezza si trovano ad affrontare anche altri problemi ricorrenti come i costi elevati (40%), l’impossibilità di giustificare un investimento simile al board (36%) e la mancanza di personale specializzato e competenze specifiche di sicurezza IoT (35%).
Inoltre, più della metà delle aziende (57%) ritiene che i rischi di cybersecurity siano l’ostacolo principale all’implementazione dell’IoT. Questo può accadere quando le aziende lavorano duramente per affrontare i rischi informatici durante la fase di progettazione e poi devono soppesare attentamente tutti i pro e i contro prima dell’attuazione.
Stephen Mellor, Chief Technology Officer per Industry IoT Consortium, dichiara: “La cybersecurity è cruciale per l’IoT. La gestione del rischio è una preoccupazione importante, poiché sono in gioco la vita, l’incolumità fisica e l’ambiente. Un errore IT può essere imbarazzante e costoso; un errore IoT può essere fatale. Ma la cybersecurity è solo una piccola parte che può rendere un sistema affidabile. C’è anche bisogno di protezione fisica, privacy, resilienza, affidabilità e sicurezza, e tutto deve essere conciliato: ciò che rende un edificio sicuro (porte blindate, ad esempio) può renderlo anche pericoloso, se non consente di uscire alla svelta”.
Eric Kao, Director, WISE-Edge+ di Advantech, fornitore globale di soluzioni IoT industriali, commenta: “I progetti IoT sono piuttosto frammentati, debolmente collegati, con un dominio specifico ed un’integrazione molto forte. In confronto, progetti IT quali sistemi di messaggistica/comunicazione, analitica o CMR hanno circa l’80% dei requisiti comuni. Nel caso dell’implementazione dell’IoT, si ha invece a che fare con tutte le tipologie di sistemi legacy oltre che con vincoli fisici, protocolli di dominio, soluzioni di diversi vendor e, con la necessità di mantenere un equilibrio ragionevole tra disponibilità, scalabilità e sicurezza. Nel perseguire una maggiore disponibilità e scalabilità, alcune infrastrutture cloud devono essere sfruttate ed il sistema deve essere aperto in una certa misura. A quel punto, garantire la sicurezza diventa una sfida enorme”.
Andrey Suvorov, CEO di Adaptive Production Technology (Aprotech, azienda IloT filiale di Kasperksy), ha aggiunto: “Nonostante tutte queste sfide, l’IoT porta con sé grandi opportunità e non solo per le aziende, ma per tutti noi: ci consente, infatti, di avere una vita più confortevole e trasporti, consegne e comunicazioni più rapide. L’IoT è ampiamente usato nelle città smart (62%), nella distribuzione (62%) e nel settore industriale (60%). Tutto questo include anche altri progetti quali la gestione dell’energia e dell’acqua, l’illuminazione intelligente, sistemi di allarme, videosorveglianza e molto altro. Gli esperti di tutto il mondo lavorano costantemente per garantire che questi progetti dispongano di una protezione efficace; tuttavia tali sforzi andrebbero compiuti ad ogni livello – dai produttori di apparecchiature e sviluppatori di software ai fornitori di servizi e alle aziende che implementano e utilizzano queste soluzioni”.
Per aiutare le aziende a colmare le proprie lacune in merito alla sicurezza dell’IoT, Kaspersky suggerisce di:
- Valutare il livello di sicurezza di un dispositivo prima di implementarlo. È consigliabile dare la precedenza ai dispositivi aventi certificati di cybersecurity e ai prodotti che prestano maggiore attenzione alla sicurezza delle informazioni.
- Utilizzare policy di accesso rigide, segmentazione della rete e un modello zero-trust. Questo aiuterà a minimizzare la diffusione di un attacco e a proteggere le parti più sensibili dell’infrastruttura.
- Adottare un programma di gestione delle vulnerabilità per ricevere regolarmente i dati più rilevanti circa le vulnerabilità dei controller logici programmabili (PLC), delle apparecchiature e firmware, e applicare le patch o utilizzare eventuali workaround di protezione.
- Considerare l’”IoT Security Maturity Model” – una strategia che aiuta le aziende a valutare tutti gli step che devono affrontare per raggiungere un livello di protezione IoT sufficiente.
- Usare un gateway IoT dedicato che garantisca la sicurezza e l’affidabilità del trasferimento dei dati dall’edge alle applicazioni aziendali, come Kaspersky IoT Secure Gateway 100. È Cyber Immune, il che significa che quasi nessun attacco può danneggiare le funzioni del gateway.
 non hanno ancora dotato di soluzioni di protezione alcune parti della loro infrastruttura IoT){kind=link}