Security e Compliance per l’Internet of Things: gestire la complessità e i rischi

“IoT Security e Compliance – Gestire la complessità e i rischi” è il titolo del volume che la Community for Security di Clusit ha pubblicato e presentato lo scorso Marzo 2020, in pieno lockdown da Covid19: un libro che avrebbe dovuto essere annunciato dal palcoscenico del Clusit Security Summit di Milano, dove da anni ogni primavera tutta l’industria italiana della Cyber Security si ritrova per fare il punto e verificare i nuovi orizzonti. Il volume è il risultato di nove mesi di lavoro che ha coinvolto più di cinquanta tra autori, contributori, editor e team leader, tutti esperti volontari, consulenti indipendenti ed appartenenti ad oltre trenta organizzazioni ed aziende attive nel mondo dell’Internet of Things, dell’IIoT (Industrial IoT) e della Cyber Security che hanno contribuito con la loro passione e tempo a stilare questo manuale dove il lettore potrà scoprire tutto quello che oggi è importante sapere per sviluppare, utilizzare e mantenere strutture e progetti IoT con la consapevolezza di quanto sia necessario per adeguatamente proteggerle e renderle conformi a normative e standard industriali e di mercato.

L’IoT, acronimo di Internet of Things (in italiano, Internet degli oggetti/cose), è diventato di grande attualità dal 2010, quando il governo cinese dichiarò che l’Internet of Things sarebbe stata una priorità strategica dell’allora piano quinquennale. Da un punto di vista pratico, l’Internet of Things incorpora capacità di elaborazione (detta anche “intelligenza”) e connessione di oggetti più svariati. Questo comporta la possibilità di raccogliere dati attraverso questi oggetti ed analizzarli, una maggiore automazione e controllo da remoto, un’analisi su come migliorare l’uso e prevenire malfunzionamenti degli oggetti stessi (o altri oggetti a loro collegati), incrementando in tal modo qualità (e disponibilità) del loro utilizzo nel tempo. Tra le tante definizioni di IoT citiamo quella di ENISA (riportata anche nel documento), che considera l’IoT un “ecosistema cyber-fisico di sensori e attuatori interconnessi, che consentono un processo decisionale intelligente”.

Il paradigma IoT presenta tra le sue promesse: la riduzione del consumo di risorse energetiche; la prevenzione di guasti, malattie o altri eventi sfavorevoli; la riduzione di sprechi di varia natura; il potenziamento della sicurezza; lo sviluppo nell’automazione delle attività quotidiane; i miglioramenti della qualità della vita; la maggiore capacità di raccolta ed analisi di dati in tempo reale nelle comunità, sul territorio come nelle città, nell’industria come nelle utility, su mezzi di trasporto come nelle Infrastrutture Critiche, dal corpo umano o da animali, da oggetti statici o fluidi dinamici, e via dicendo.

McKinsey ha individuato 5 macro-tipologie di applicazioni IoT: Commercial IoT, Healthcare IoT, Transportation IoT, Consumer IoT, Industrial IoT che si articola a sua volta in Manufacturing, Oil & Gas, Agricoltura, Utilities, Smart Cities e Pubblica Amministrazione.

Una disciplina così innovativa e pervasiva, come l’IoT, non poteva non essere oggetto di linee guida, standard e normative, opportunamente elencate nel documento a cui si rimanda per una più puntuale descrizione. Al riguardo, norme dedicate all’IoT, e prodotte da autorevoli istituzioni come NIST (in USA), ISO e ENISA (in Europa), sono anche contenute in direttive emanate dalla UE e recepite dagli Stati membri (come ad esempio GDPR e NIS), e presentano sempre più interrelazioni con la sicurezza delle informazioni, la cybersecurity e la safety, la business continuity e la protezione dei dati personali.

Ecco che dunque la sicurezza e l’evoluzione delle tecnologie ICT ed OT assumono nel mondo IoT una rilevanza determinante. Un dispositivo IoT deve assicurare il rispetto dei principi base della sicurezza delle informazioni (Riservatezza, Disponibilità e Integrità) ai quali bisogna aggiungerne alcuni specifici di IoT/IIoT “fisici”, quali ad esempio Safety, Non Ripudiabilità, Autenticazione (come menzionato dal NIST IR-8228).

Parlare di sicurezza in ambito IoT deve comportare anche una riflessione sui rischi. Questi possono essere valutati per un singolo dispositivo, considerando anche le soluzioni per cui può essere utilizzato, oppure per una soluzione nel suo complesso, per cui è necessario considerare tutto il sistema che la costituisce: i singoli dispositivi o sensori, i sistemi periferici di raccolta dei dati, i canali di comunicazione utilizzati, i sistemi e le applicazioni che gestiscono i dati raccolti.

Relativamente alla sicurezza è importante sottolineare che uno dei cosiddetti “peccati mortali dell’IoT” è quello di utilizzare, senza valutazione del rischio e contromisure specifiche (per convenienza? perché già a disposizione? per imperizia e/o mancanza di skill specifici?), la rete aziendale esistente per raccogliere informazioni generate da dispositivi IoT non sicuri: vulnerabilità e minacce sono quindi sia quelle già esistenti alle quali si aggiungono quelle del “nuovo mondo IoT”. I malintenzionati sono sempre dietro l’angolo e possono sfruttare vulnerabilità pregresse unite a quelle IoT per portare attacchi a tutta l’infrastruttura aziendale.

La diffusione dell’IoT e la nascita di nuovi ambiti applicativi sono già attuali e trarranno vantaggi significativi dagli sviluppi attesi nei prossimi anni su alcune tecnologie abilitanti, fra le quali, ad esempio la banda messa a disposizione dall’implementazione della fibra e delle reti 5G, che porteranno ad un aumento rilevante della velocità di trasmissione e ad una contestuale riduzione dei tempi di latenza nell’utilizzo dei dispositivi. Ecco quindi la possibilità di applicare tecnologie di Artificiale Intelligence (AI) e Machine Learning (ML), per sfruttare la mole di dati generati dai dispositivi IoT ai fini decisionali, con incremento del livello di “intelligenza” nei servizi abilitati dagli stessi dispositivi IoT, avvantaggiando in particolare le applicazioni in tempo reale, per il benessere personale e nel Life Science, nell’industria come nelle utility, nelle case e smart city come nei trasporti.

Noi della Community for Security, autori del libro “IoT Security e Compliance – Gestire la complessità e i rischi”, abbiamo cercato di sintetizzare le tematiche IoT più rilevanti a livello gestionale, con riferimenti al quadro normativo ed alle tecnologie attuali relative al mondo IoT: il lettore potrà trovare una ricca (e speriamo esauriente) fonte di informazioni più dettagliate relative alle soluzioni (ed alla protezione) di IoT e IIoT con possibili esempi di applicazioni delle tecnologie IoT all’Automotive, ai trasporti ferroviari e stradali, alla gestione del territorio, all’ambito Sanitario e fitness, Industria e Building Management, Energia e Smart Metering, a cui vengono dedicati specifici capitoli “verticali” per una possibile implementazione “consapevole, sicura e compliant”.

Il documento è liberamente scaricabile dal sito https://iotsecurity.clusit.it

Enzo M. Tieghi

membro del Comitato scientifico del Clusit, l’associazione italiana degli esperti di sicurezza informatica, e CEO di ServiTecno

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.