LO STATO DELL'ARTE

Per una Internet of Things più sicura: sfide e soluzioni

Vista la sempre maggiore diffusione di dispositivi connessi, è fondamentale garantire la sicurezza della Internet of Things (IoT) e sistemi basati su IoT, intesa come protezione da rischi e incidenti informatici di oggetti e strutture collegati tra loro e collegati in cloud. Ecco alcune possibili soluzioni in ambito IoT e security

31 Gen 2019
T
Enzo Maria Tieghi

Socio e docente CLUSIT, Coordinatore Area di Ricerca Internet of Things di CSA Cloud Security Alliance Italy

Rafforzare la sicurezza in ambito IoT è ormai una sfida improcrastinabile vista la sempre maggiore diffusione dei cosiddetti dispositivi connessi.

L’IoT è una realtà molto presente e utilizzata nel mondo “consumer” B2C con l’adozione da parte dei consumatori di molti prodotti/servizi già diffusi: dagli oggetti indossabili agli elettrodomestici “smart”, ed a venire trasporti, veicoli connessi e a guida autonoma/assistita.

Ma IoT o meglio IIoT (Industrial IoT) è anche nel mondo B2B, industria, nelle infrastrutture ed Erogatori di Servizi Essenziali: metering, utility, energia, trasporti, edifici, produzione industriale, grande distribuzione, banche, assicurazioni, pagamenti, salute, difesa e via dicendo.

IoT e security: l’importanza di terminologia e definizioni

Dovendo trattare di sicurezza della Internet of Things (IoT) e sistemi basati su IoT, intesa come protezione da rischi e incidenti informatici di oggetti e strutture collegati tra loro e collegati in cloud, la terminologia e definizioni possono essere importanti.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Ad esempio, il report ITU-T Y.2060 “Overview of the Internet of things” per definire i vari aspetti di IoT ci da questa definizione di IoT: “infrastruttura globale per la società dell’informazione, che permette servizi avanzati tramite l’interconnessione di oggetti/cose (fisiche e virtuali) basandosi su tecnologie dell’informazione e della comunicazione (ICT) interoperabili esistenti ed in evoluzione”.

Partendo da questa possiamo avere anche le seguenti definizioni:

  • device/dispositivo: un’apparecchiatura con le funzionalità obbligatorie di comunicazione e le funzionalità opzionali di rilevamento, attuazione, acquisizione, archiviazione e elaborazione di dati;
  • thing/cosa/oggetto: un oggetto del mondo fisico (cose fisiche) o del mondo informazioni (cose virtuali), che può essere identificato e integrato in reti di comunicazione.

Quali le sfide dell’IoT e come usarlo in modo “sicuro”

Meglio partire quindi da una posizione “neutra” per aiutare gli sviluppatori nell’arduo compito di mettere in piedi ed utilizzare al meglio l’IoT “in modo sicuro”, in quanto le soluzioni di sicurezza ICT Enterprise tradizionali valutate ed adottate dagli staff IT delle aziende non sempre rispondono in modo adeguato alle esigenze di sicurezza IoT.

Tenendo presente che i requisiti stringenti della sicurezza delle informazioni fanno riferimento al classico acronimo RID ovvero: riservatezza, integrità e disponibilità, all’IoT bisogna aggiungere autenticazione e non ripudiabilità e questo presenta sfide di tipo differente dall’IT, da valutare attentamente, tra le quali:

  • aumento di preoccupazioni sulla privacy: un tema che a volte è poco chiaro per i tecnici informatici (hardware e software) coinvolti in progetti e sviluppo di applicazioni IoT;
  • sicurezza limitata da vincoli (hardware e software) della piattaforma stessa che i tecnici hanno selezionato per lo sviluppo, che rende una sfida i controlli di sicurezza di base;
  • la mobilità estesa e distribuzione degli oggetti nello spazio/territorio, che rende complessi il monitoraggio e la gestione di molti asset connessi e distribuiti globalmente;
  • elevati volumi sia di dispositivi connessi che dei dati raccolti e gestiti, che fanno delle attività di aggiornamento dei dispositivi e manutenzione di routine una sfida;
  • gestione di dati ed informazioni basate su Cloud che rendono molti perimetri di sicurezza meno efficaci e spesso “liquidi e poco circoscrivibili.

Sviluppare sistemi IoT “Sicuri”

Per impostare correttamente progetti di sviluppo IoT che includano la cyber security (intesa come protezione da rischi informatici di reti e sistemi IoT), possiamo ad esempio valutare la Linea guida pubblicata a fine 2015 dalla Cloud Security Alliance (CSA), ove troviamo alcuni principi per l’adozione “sicura” della IoT e alcune raccomandazioni da seguire per disegnare ed usare sistemi dell’IoT che possano soddisfare alcuni obiettivi:

  • mantenere riservatezza e integrità di dati personali e di business raccolti all’interno del sistema IoT attraverso l’utilizzo di crittografia, autenticazione e protezione dell’integrità dell’infrastruttura IoT;
  • comprendere ed affrontare i temi della privacy dei soggetti interessati prima della implementazione dell’IoT effettuando una valutazione globale dell’impatto sulla privacy;
  • salvaguardare l’infrastruttura dagli attacchi che colpiscono la IoT come vettore con destinazione gli asset di un’organizzazione, attraverso l’uso di controlli del ciclo di vita del dispositivo IoT e un approccio di security secondo layered security/defence in depth;
  • avviare un approccio globale per affrontare le minacce alla sicurezza attraverso la condivisione di informazioni all’interno di community con fornitori di security, colleghi del settore industriale, i CERT, eventualmente coinvolgendo associazioni come Clusit e CSA Cloud Security Alliance.

Valutiamo i rischi per sviluppare una IoT sicura

Partiamo dall’osservazione che alcuni sistemi IoT sono mal progettati e implementati perché usano protocolli e tecnologie non pensati per IoT e diversi tra loro: questo spesso porta a configurazioni più complesse del necessario e questo le rende complicate da gestire e mantenere nel tempo.

Notiamo anche la scarsità nell’IoT, ancora oggi nel 2018, di piattaforme e tecnologie mature, di processi e modelli di business consolidati e sono quasi sconosciute linee guida condivise sul ciclo di vita, sviluppo, manutenzione, obsolescenza dei dispositivi IoT.

La IoT a volte porta problemi di sicurezza fisica il cui impatto è ancora da valutare correttamente: pensiamo a sistemi di automazione e controllo, telecontrollo, SCADA ed i comandi da remoto di impianti potenzialmente pericolosi per l’incolumità di persone, dell’ambiente e dell’impianto stesso.

Aggiungiamo che gli impatti IoT sulla privacy a volte sono complessi e non sempre immediatamente evidenti: abbiamo già menzionato la scarsità di best practice disponibili per gli sviluppatori ed utilizzatori di IoT e questo impatta anche su l’autenticazione e l’autorizzazione di dispositivi IoT, Incident Management e Response nell’IoT, audit e di logging non definiti per i device e things dell’IoT (anche ai fini di analisi forensi e “post mortem” a seguito di incidenti).

Da parte dei CISO e dei responsabili della IT security, infine, è stato notato che c’è disponibilità limitata di interfacce tra dispositivi IoT, SIEM, IAM e applicazioni di security, non sono sempre conosciuti e disponibili metodi di identificazione e di situational awareness per la postura di security riguardo agli asset IoT ed a riguardo della compliance le norme di security per le configurazioni per piattaforme virtualizzate IoT e multi-tenancy non sono ancora mature e standardizzate.

Controlli di security da tenere presenti per l’IoT

Ecco quindi alcuni controlli di sicurezza che ci sentiamo di suggerire (in modo assolutamente indicativo e non esaustivo) per le aziende che intendono disegnare o adottare applicazioni e sistemi basati su IoT. Si tratta di controlli adattati alle specifiche caratteristiche dell’IoT, per consentire alle aziende di mitigare alcuni dei rischi più evidenti:

  • analizzare l’impatto sulla privacy per i soggetti interessati (tutti gli stakeholder) e quindi adottare un approccio privacy by design nello sviluppo e deployment dell’IoT;
  • applicare approcci Secure Systems Engineering e security by design in fase di disegno, sviluppo e testing dell’IoT.
  • adottare protezioni e security a più livelli per difendere oggetti ed utilizzatori di IoT;
  • implementare best practice condivise per la protezione dei dati e delle informazioni sensibili;
  • definire i controlli per tutto il ciclo di vita dei dispositivi IoT, dal disegno, allo sviluppo, all’utilizzo fino anche alla dismissione per rotture e/o obsolescenza;
  • definire e sviluppare framework di autenticazioni / autorizzazioni per l’ecosistema IoT utilizzando standard condivisi;
  • definire e attuare un quadro di audit/logging per l’ecosistema IoT aggiunto ad un sistema di monitoraggio in grado di identificare eventuali anomalie di comportamento e/o utilizzo.

Alcune considerazioni per la sicurezza IoT

Pensiamo a differenti “cicli di vita” per diverse applicazioni e target di mercato: ad esempio, un prodotto consumer e di basso costo è destinato ad essere attivo ed utilizzato anche solo per alcune settimane/mesi (a volte quanto dura il dispositivo stesso, e non per questo meno “importante” a livello di privacy e di PII, Personally Indentifiable Information).

Un device per l’industria, building o utility può avere un ciclo di vita di anni/lustri: proviamo a pensare ai lampioni di un centro abitato, alle centrali termiche/frigo di un edificio, a ascensori di un aeroporto e un ospedale o stazioni di pompaggio di un acquedotto. Come metteremo mano agli aggiornamenti di firmware/software o gestiremo le configurazioni nel tempo, tra qualche anno? Come “spegneremo” dispositivi obsoleti, “dimenticati” ed abbandonati che potranno rappresentare future backdoor per accesso alle reti di domani?

Che protezione/sicurezza “fisica” possiamo ipotizzare per dispositivi “abbandonati” in cabine di guardiania, in scantinati, in armadi in edifici remoti o shelter sparsi sul territorio che potrebbero rappresentare porte di ingresso alla rete? Qual è la linea di demarcazione tra la rete dell’IoT, tra la rete dell’utilizzatore, tra quella del manutentore, la rete del provider di servizi di connessione e la rete dell’organizzazione che la gestisce? Dove finiscono i sistemi IT dell’azienda e dove inizia la IoT che utilizza e/o fa confluire dati ai quei sistemi IT? Che impatti hanno già oggi le politiche aziendali di tipo BYOD (Bring Your Own Device, letteralmente: porta il tuo dispositivo), ovvero l’utilizzo di dispositivi personali, quali smartphone e tablet di proprietà dei collaboratori e del personale esterno all’azienda per accedere a dati, informazioni IoT ed applicazioni aziendali?

Valutiamo la privacy by design, in quanto applicazioni IoT che non hanno impatti sulla privacy, messe insieme e connesse ad altre potrebbero averne anche di importanti: anche utilizzando crittografia ed altri controlli una qualsiasi traccia potrebbe far risalire una specifica transazione ad una specifica organizzazione o persona.

Sappiamo che alcuni protocolli e dispositivi IoT oggi disponibili e largamente utilizzati sul mercato non sono stati pensati fin dall’inizio per essere sicuri, e a volte vincoli di capacità di elaborazione e di banda non permettono l’implementazione di tecniche di autenticazione e crittografia evoluti e necessari agli scopi della security.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5