Per Internet-of-Things (IoT) si intendono tutte quelle tecnologie che abilitano all’uso degli oggetti intelligenti, cioè dei sensori e degli attuatori che, collegati ad internet, si riesce a programmare o usare a distanza tramite, ad esempio, un’applicazione dal telefonino o un programma dal computer di una centrale operativa. E’ il caso della sensoristica che, ad esempio, serve le telecamere con le quali si monitorano gli animali domestici quando si è fuori casa, oppure dell’autovelox comunale che trasmette automaticamente le foto delle targhe delle auto alla polizia locale, piuttosto che del misuratore di pressione di un reattore nucleare che veicola un allarme alla centrale di controllo; ed è il caso, per intenderci, del relè intelligente che accende il sistema di irrigazione del giardino di casa, o il servo-mezzo di apertura delle porte di una metropolitana automatica, oppure il sistema di controllo della saracinesca di sfiato del troppopieno di una diga sovrastante un paesino di montagna.
Questi oggetti intelligenti miglioreranno sempre di più la qualità della vita delle persone, l’efficacia e la redditività dei processi industriali, la sicurezza delle Nazioni. Ma è un fatto che oggi introducano nuovi rischi, la cui probabilità di accadimento è generalmente più alta dei corrispondenti rischi di sicurezza cui sono sottoposti i computer, i tablet e gli smartphone.
E la ragione di ciò è semplice: mentre i governi, il mondo accademico e l’industria dei computer e dei software hanno alle spalle molti decenni di ricerca e sviluppo in tema di cybersicurezza delle tecnologie dell’informazione, le case costruttrici degli oggetti intelligenti e gli sviluppatori dei sistemi di controllo industriale - siano essi dispositivi di nuova concezione, piuttosto che versioni adattate di modelli tradizionali - non hanno esperienza col patrimonio di conoscenze di protezione cibernetica acquisite e sviluppate nel mondo IT.
Inoltre, la spinta a inserire “intelligenza” a basso costo, che ha come conseguenza uso di sistemi a capacità computazionale ridotta, e limitato consumo energetico per evitare uso di batterie ad alta capacità, rende in molti casi non utilizzabili le soluzioni sviluppate per server, PC e smartphone, oggetti per i quali non esiste la barriera del costo.
La risultante è che oggi i dispositivi IoT - a differenza di quanto accade in modo oramai sistematico per la supply chain dei dispositivi e dei software IT - generalmente non vengono prodotti incorporando le necessarie funzionalità di cybersicurezza che aiutino a mitigare i relativi rischi, né esistono di massima analoghe capacità in grado di supportare gli utilizzatori nella fase di installazione e funzionamento.
E come fattore di rischio predisponente, si consideri pure che questi sensori ed attuatori, che sono concepiti internet-ready, hanno spesso anche funzionalità plug&play, cioè si collegano alla rete ed iniziano a funzionare senza necessità di attività preliminari di installazione e configurazione, né per loro natura hanno la funzionalità - tipica nel mondo IT - del blocco sessione dopo un tempo di inattività. Un recentissimo studio ha dato atto di come, durante il lockdown, nel silenzio di uffici chiusi al pubblico, gli IoT abbiano continuato ad operare non controllati, esponendo a rischio le reti aziendali e le facilities.
Questo gap va colmato al più presto ed il mondo scientifico sta sviluppando, di concerto con l’industria e con le agenzie di controllo e regolazione, una serie di requisiti e raccomandazioni che - sull’esempio di quanto già in atto in ambito IT - spingano a considerare specifiche assunzioni di rischio e mirino a presidiare distinte aree di mitigazione.
Le assunzioni di rischio da prendere in considerazione sono fondamentalmente tre. Anzitutto che gli oggetti intelligenti saranno sempre più sfruttati per condurre attacchi coordinati con effetti tangibili, come anche la partecipazione ad attacchi DDoS (Distributed Denial of Service: per i non addetti ai lavori, si tratta dell’attacco ad un server finalizzato ad “ingolfarlo” per impedire che eroghi il servizio) contro altre organizzazioni, l'intercettazione del traffico di rete o la compromissione di altri dispositivi sullo stesso segmento di rete. Vale come esempio per tutti l’evento del 21 ottobre 2016 allorché, a seguito della creazione di una delle più grandi botnet formate da IoT, cioè da una rete clandestina di oggetti intelligenti segretamente controllati all’insaputa dei legittimi proprietari, vennero creati DDoS su servizio DNS (Domain Name System: per i neofiti è un pò come la guida telefonica o l’indirizzario stradale che Internet usa per associare l’indirizzo numerico ai nomi dei siti web o dei domini di posta elettronica). Tale attacco impedì l'accesso degli utenti alle più grandi risorse web degli Stati Uniti, inclusi Twitter, Spotify e PayPal.
Le altre due valutazioni riguardano il fatto che: i dispositivi IoT che contengono dati, verranno fatti bersaglio di attacchi CIA (Confidentiality, Integrity, Availability) per rubare, compromettere o rendere indisponibili le informazioni ivi salvate o per essi trasmessi; e che gli attacchi agli Internet-of-Things potranno essere sferrati per compromettere la privacy degli individui.
Da qui la necessità di assicurare la protezione fisica dei dispositivi, la sicurezza logica dei dati e, per i casi in cui siano trattati dati personali, la tutela del diritto alla riservatezza.
Sotto questo profilo, i produttori dovranno assicurare il presidio tecnologico in cinque aree di mitigazione consistenti nel: mantenere un inventario aggiornato e puntuale di tutti i dispositivi IoT e delle loro caratteristiche rilevanti (Asset Management); identificare e mitigare le vulnerabilità note nel software dei dispositivi, ad esempio installando patch e modificando e impostazioni di configurazione (Vulnerability Management); evitare l'accesso fisico e logico non autorizzato ed improprio (Access Management); prevenire l'accesso e la manomissione dei dati salvati nel dispositivo od in transito che potrebbero esporre informazioni sensibili o consentire la manipolazione o l'interruzione delle operazioni del dispositivo (Data Protection); ed infine le attività di Incident Detection con cui monitorare e analizzare l'attività del dispositivo IoT per evidenziare indicatori di compromissione dei dispositivi e dei dati.
La questione è molto seria e non secondaria. Tanto che il Presidente degli Stati Uniti ha firmato qualche giorno addietro il "Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems" con cui lancia la Iniziativa presidenziale per la messa in cybersicurezza degli sistemi di controllo industriale (OT). Ed investe in modo sistemico tutta la supply chain delle tecnologie IoT: i fabbricanti e gli installatori dovranno affrontarla lungo tutto il ciclo di vita della tecnologia, a partire dalla fase di ricerca, sviluppo e produzione pre-vendita, con le corrette attività tecniche finalizzate ad assicurare le caratteristiche e le funzionalità di cybersicurezza. Sarà necessario, inoltre, che proseguano nelle attività informative e di supporto post-vendita al fine di garantire la necessaria assistenza tecnica all’utenza finale, anche con riferimento all’uso di piattaforme cloud già oggi proposte dalla supply chain IT per la cifratura delle comunicazioni tra oggetti intelligenti.
Non va sottaciuto, da ultimo, che tutto ciò si tradurrà inevitabilmente in aumento sia dei costi di produzione, che delle risorse necessarie per assicurare il funzionamento, la manutenzione e la qualità del servizio: questi costi ricorrenti potrebbero rendere i dispositivi IoT non più appetibili in molti contesti.
Orazio Danilo Russo, Giorgio Giacinto, Alessandro Rugolo
Per approfondire:
https://blog.osservatori.net/it_it/iot-sicurezza-privacy
https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8228.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf
https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259B-draft.pdf
https://www.securityweek.com/life-lockdown-offices-are-empty-people-full-risky-iot-devices
