Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO STATO DELL'ARTE

Per una Internet of Things più sicura: sfide e soluzioni

Vista la sempre maggiore diffusione di dispositivi connessi, è fondamentale garantire la sicurezza della Internet of Things (IoT) e sistemi basati su IoT, intesa come protezione da rischi e incidenti informatici di oggetti e strutture collegati tra loro e collegati in cloud. Ecco alcune possibili soluzioni in ambito IoT e security

31 Gen 2019
T

Enzo Maria Tieghi

Socio e docente CLUSIT, Coordinatore Area di Ricerca Internet of Things di CSA Cloud Security Alliance Italy


Rafforzare la sicurezza in ambito IoT è ormai una sfida improcrastinabile vista la sempre maggiore diffusione dei cosiddetti dispositivi connessi.

L’IoT è una realtà molto presente e utilizzata nel mondo “consumer” B2C con l’adozione da parte dei consumatori di molti prodotti/servizi già diffusi: dagli oggetti indossabili agli elettrodomestici “smart”, ed a venire trasporti, veicoli connessi e a guida autonoma/assistita.

Ma IoT o meglio IIoT (Industrial IoT) è anche nel mondo B2B, industria, nelle infrastrutture ed Erogatori di Servizi Essenziali: metering, utility, energia, trasporti, edifici, produzione industriale, grande distribuzione, banche, assicurazioni, pagamenti, salute, difesa e via dicendo.

IoT e security: l’importanza di terminologia e definizioni

Dovendo trattare di sicurezza della Internet of Things (IoT) e sistemi basati su IoT, intesa come protezione da rischi e incidenti informatici di oggetti e strutture collegati tra loro e collegati in cloud, la terminologia e definizioni possono essere importanti.

Ad esempio, il report ITU-T Y.2060 “Overview of the Internet of things” per definire i vari aspetti di IoT ci da questa definizione di IoT: “infrastruttura globale per la società dell’informazione, che permette servizi avanzati tramite l’interconnessione di oggetti/cose (fisiche e virtuali) basandosi su tecnologie dell’informazione e della comunicazione (ICT) interoperabili esistenti ed in evoluzione”.

Partendo da questa possiamo avere anche le seguenti definizioni:

  • device/dispositivo: un’apparecchiatura con le funzionalità obbligatorie di comunicazione e le funzionalità opzionali di rilevamento, attuazione, acquisizione, archiviazione e elaborazione di dati;
  • thing/cosa/oggetto: un oggetto del mondo fisico (cose fisiche) o del mondo informazioni (cose virtuali), che può essere identificato e integrato in reti di comunicazione.

Quali le sfide dell’IoT e come usarlo in modo “sicuro”

Meglio partire quindi da una posizione “neutra” per aiutare gli sviluppatori nell’arduo compito di mettere in piedi ed utilizzare al meglio l’IoT “in modo sicuro”, in quanto le soluzioni di sicurezza ICT Enterprise tradizionali valutate ed adottate dagli staff IT delle aziende non sempre rispondono in modo adeguato alle esigenze di sicurezza IoT.

Tenendo presente che i requisiti stringenti della sicurezza delle informazioni fanno riferimento al classico acronimo RID ovvero: riservatezza, integrità e disponibilità, all’IoT bisogna aggiungere autenticazione e non ripudiabilità e questo presenta sfide di tipo differente dall’IT, da valutare attentamente, tra le quali:

  • aumento di preoccupazioni sulla privacy: un tema che a volte è poco chiaro per i tecnici informatici (hardware e software) coinvolti in progetti e sviluppo di applicazioni IoT;
  • sicurezza limitata da vincoli (hardware e software) della piattaforma stessa che i tecnici hanno selezionato per lo sviluppo, che rende una sfida i controlli di sicurezza di base;
  • la mobilità estesa e distribuzione degli oggetti nello spazio/territorio, che rende complessi il monitoraggio e la gestione di molti asset connessi e distribuiti globalmente;
  • elevati volumi sia di dispositivi connessi che dei dati raccolti e gestiti, che fanno delle attività di aggiornamento dei dispositivi e manutenzione di routine una sfida;
  • gestione di dati ed informazioni basate su Cloud che rendono molti perimetri di sicurezza meno efficaci e spesso “liquidi e poco circoscrivibili.

Sviluppare sistemi IoT “Sicuri”

Per impostare correttamente progetti di sviluppo IoT che includano la cyber security (intesa come protezione da rischi informatici di reti e sistemi IoT), possiamo ad esempio valutare la Linea guida pubblicata a fine 2015 dalla Cloud Security Alliance (CSA), ove troviamo alcuni principi per l’adozione “sicura” della IoT e alcune raccomandazioni da seguire per disegnare ed usare sistemi dell’IoT che possano soddisfare alcuni obiettivi:

  • mantenere riservatezza e integrità di dati personali e di business raccolti all’interno del sistema IoT attraverso l’utilizzo di crittografia, autenticazione e protezione dell’integrità dell’infrastruttura IoT;
  • comprendere ed affrontare i temi della privacy dei soggetti interessati prima della implementazione dell’IoT effettuando una valutazione globale dell’impatto sulla privacy;
  • salvaguardare l’infrastruttura dagli attacchi che colpiscono la IoT come vettore con destinazione gli asset di un’organizzazione, attraverso l’uso di controlli del ciclo di vita del dispositivo IoT e un approccio di security secondo layered security/defence in depth;
  • avviare un approccio globale per affrontare le minacce alla sicurezza attraverso la condivisione di informazioni all’interno di community con fornitori di security, colleghi del settore industriale, i CERT, eventualmente coinvolgendo associazioni come Clusit e CSA Cloud Security Alliance.

Valutiamo i rischi per sviluppare una IoT sicura

Partiamo dall’osservazione che alcuni sistemi IoT sono mal progettati e implementati perché usano protocolli e tecnologie non pensati per IoT e diversi tra loro: questo spesso porta a configurazioni più complesse del necessario e questo le rende complicate da gestire e mantenere nel tempo.

Notiamo anche la scarsità nell’IoT, ancora oggi nel 2018, di piattaforme e tecnologie mature, di processi e modelli di business consolidati e sono quasi sconosciute linee guida condivise sul ciclo di vita, sviluppo, manutenzione, obsolescenza dei dispositivi IoT.

La IoT a volte porta problemi di sicurezza fisica il cui impatto è ancora da valutare correttamente: pensiamo a sistemi di automazione e controllo, telecontrollo, SCADA ed i comandi da remoto di impianti potenzialmente pericolosi per l’incolumità di persone, dell’ambiente e dell’impianto stesso.

Aggiungiamo che gli impatti IoT sulla privacy a volte sono complessi e non sempre immediatamente evidenti: abbiamo già menzionato la scarsità di best practice disponibili per gli sviluppatori ed utilizzatori di IoT e questo impatta anche su l’autenticazione e l’autorizzazione di dispositivi IoT, Incident Management e Response nell’IoT, audit e di logging non definiti per i device e things dell’IoT (anche ai fini di analisi forensi e “post mortem” a seguito di incidenti).

Da parte dei CISO e dei responsabili della IT security, infine, è stato notato che c’è disponibilità limitata di interfacce tra dispositivi IoT, SIEM, IAM e applicazioni di security, non sono sempre conosciuti e disponibili metodi di identificazione e di situational awareness per la postura di security riguardo agli asset IoT ed a riguardo della compliance le norme di security per le configurazioni per piattaforme virtualizzate IoT e multi-tenancy non sono ancora mature e standardizzate.

Controlli di security da tenere presenti per l’IoT

Ecco quindi alcuni controlli di sicurezza che ci sentiamo di suggerire (in modo assolutamente indicativo e non esaustivo) per le aziende che intendono disegnare o adottare applicazioni e sistemi basati su IoT. Si tratta di controlli adattati alle specifiche caratteristiche dell’IoT, per consentire alle aziende di mitigare alcuni dei rischi più evidenti:

  • analizzare l’impatto sulla privacy per i soggetti interessati (tutti gli stakeholder) e quindi adottare un approccio privacy by design nello sviluppo e deployment dell’IoT;
  • applicare approcci Secure Systems Engineering e security by design in fase di disegno, sviluppo e testing dell’IoT.
  • adottare protezioni e security a più livelli per difendere oggetti ed utilizzatori di IoT;
  • implementare best practice condivise per la protezione dei dati e delle informazioni sensibili;
  • definire i controlli per tutto il ciclo di vita dei dispositivi IoT, dal disegno, allo sviluppo, all’utilizzo fino anche alla dismissione per rotture e/o obsolescenza;
  • definire e sviluppare framework di autenticazioni / autorizzazioni per l’ecosistema IoT utilizzando standard condivisi;
  • definire e attuare un quadro di audit/logging per l’ecosistema IoT aggiunto ad un sistema di monitoraggio in grado di identificare eventuali anomalie di comportamento e/o utilizzo.

Alcune considerazioni per la sicurezza IoT

Pensiamo a differenti “cicli di vita” per diverse applicazioni e target di mercato: ad esempio, un prodotto consumer e di basso costo è destinato ad essere attivo ed utilizzato anche solo per alcune settimane/mesi (a volte quanto dura il dispositivo stesso, e non per questo meno “importante” a livello di privacy e di PII, Personally Indentifiable Information).

Un device per l’industria, building o utility può avere un ciclo di vita di anni/lustri: proviamo a pensare ai lampioni di un centro abitato, alle centrali termiche/frigo di un edificio, a ascensori di un aeroporto e un ospedale o stazioni di pompaggio di un acquedotto. Come metteremo mano agli aggiornamenti di firmware/software o gestiremo le configurazioni nel tempo, tra qualche anno? Come “spegneremo” dispositivi obsoleti, “dimenticati” ed abbandonati che potranno rappresentare future backdoor per accesso alle reti di domani?

Che protezione/sicurezza “fisica” possiamo ipotizzare per dispositivi “abbandonati” in cabine di guardiania, in scantinati, in armadi in edifici remoti o shelter sparsi sul territorio che potrebbero rappresentare porte di ingresso alla rete? Qual è la linea di demarcazione tra la rete dell’IoT, tra la rete dell’utilizzatore, tra quella del manutentore, la rete del provider di servizi di connessione e la rete dell’organizzazione che la gestisce? Dove finiscono i sistemi IT dell’azienda e dove inizia la IoT che utilizza e/o fa confluire dati ai quei sistemi IT? Che impatti hanno già oggi le politiche aziendali di tipo BYOD (Bring Your Own Device, letteralmente: porta il tuo dispositivo), ovvero l’utilizzo di dispositivi personali, quali smartphone e tablet di proprietà dei collaboratori e del personale esterno all’azienda per accedere a dati, informazioni IoT ed applicazioni aziendali?

Valutiamo la privacy by design, in quanto applicazioni IoT che non hanno impatti sulla privacy, messe insieme e connesse ad altre potrebbero averne anche di importanti: anche utilizzando crittografia ed altri controlli una qualsiasi traccia potrebbe far risalire una specifica transazione ad una specifica organizzazione o persona.

Sappiamo che alcuni protocolli e dispositivi IoT oggi disponibili e largamente utilizzati sul mercato non sono stati pensati fin dall’inizio per essere sicuri, e a volte vincoli di capacità di elaborazione e di banda non permettono l’implementazione di tecniche di autenticazione e crittografia evoluti e necessari agli scopi della security.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4