La sicurezza dei dati nell’era dell’Internet of Things (IoT) coinvolge due aspetti fondamentali: quello della protezione delle informazioni a livello del singolo dispositivo e quello legato al potenziale impatto sull’intero sistema.
Sullo sfondo, però, rimane un dato comune alla maggior parte dei dispositivi che, per convenzione, vengono ricompresi nella categoria dell’IoT, cioè lo scarso livello di sicurezza “by design” che li caratterizza.
Sicurezza dati e IoT: il ritardo delle soluzioni
L’esplosione del settore IoT ha superato tutte le aspettative. I dispositivi “intelligenti”, secondo le stime più prudenti, raggiungerebbero nel 2020 il numero di 50 miliardi a livello di installato (Cisco, 2018). Stiamo parlando di videocamere a circuito chiuso, termostati, serrature elettroniche, sistemi di controllo dell’illuminazione, elettrodomestici e qualsiasi altro tipo di smart device possa trovare posto nelle abitazioni o nei luoghi di lavoro. Tutti i dispositivi collegati a Internet (o alla rete locale) e, di conseguenza, potenzialmente soggetti ad attacchi in remoto. Un aspetto, quest’ultimo, che è stato messo a fuoco solo in un secondo tempo, cioè quando era troppo tardi. Prima che il tema della sicurezza dei dati nell’IoT diventasse una drammatica emergenza, le fabbriche avevano sfornato e distribuito miliardi di dispositivi.
Gli aspetti negativi dell'IoT
Dal punto di vista di un cyber-criminale, i dispositivi IoT rappresentano un’occasione unica per portare attacchi relativamente semplici che possono avere conseguenze devastanti. La prima e più ovvia opportunità è quella di violarne i sistemi per accedere alle informazioni che contiene, sottraendo così dati sensibili (si pensi alla possibilità di utilizzare una videocamera per spiare il legittimo proprietario) che possono essere utilizzati anche a scopo estorsivo. La compromissione di un device IoT, però, può rappresentare anche un passaggio intermedio per un attacco di più ampia portata, in cui il dispositivo “smart” viene usato come “cavallo di troia” per introdursi in un network locale. Più frequentemente, però, i dispositivi IoT sono compromessi con l’obiettivo di creare botnet composte da migliaia di device e utilizzate per portare ulteriori attacchi, come nel caso dei DDoS (Distributed Denial of Service) effettuati dalla botnet Mirai nel corso del 2017.
I problemi della sicurezza dati nell’IoT
Cosa rende così vulnerabili i dispositivi “smart”? Prima di tutto la loro stessa natura. Si tratta, nella quasi totalità dei casi, di piccoli device caratterizzati da un’estrema semplicità e con scarse capacità computazionali. Qualcosa, insomma, che non può essere protetto attraverso l’utilizzo di un software dedicato secondo la classica logica per cui la sicurezza è garantita a livello di endpoint. Non solo: negli ultimi tre anni la cronaca ha registrato l’emersione di vulnerabilità nel settore IoT che sono provocate da quelle che potremmo definire “leggerezze” clamorose a livello di progettazione software. Una vera galleria degli orrori, che comprende la presenza di credenziali predefinite (spesso integrate nel codice stesso del firmware), la predisposizione di backdoor non documentate e falle di sicurezza più o meno complesse.
Come assicurare la sicurezza dei dati nell'IoT
Se una protezione a livello endpoint è impraticabile, le tecniche per proteggere i dispositivi IoT esistono. Si tratta, in particolare, di strumenti in grado di analizzare il traffico interno alla rete locale per individuare eventuali comportamenti “anomali” dei dispositivi collegati. In chiave di prevenzione, invece, la protezione dei dispositivi IoT passa necessariamente da un’accurata gestione degli aggiornamenti di sicurezza dati che permettono di “tappare” le falle di sicurezza non appena vengono scoperte. Un aspetto, questo, che purtroppo viene trascurato con troppa facilità. A peggiorare la situazione, poi, c’è anche il fatto che la filiera di produzione fa riferimento, per quanto riguarda i componenti fondamentali, a uno stretto numero di aziende che forniscono gli assemblatori. Come risultato, ogni falla di sicurezza in questi componenti finisce per impattare su decine, se non centinaia, di prodotti diversi. In questo scenario, anche la distribuzione delle patch di sicurezza diventa estremamente complicata. Il rischio, infatti, è che l’aggiornamento esista, ma non venga nemmeno proposto o segnalato all’utilizzatore finale semplicemente perché si è “perso” nella filiera.
