SOLUZIONI DI SICUREZZA

Smart working e dispositivi IoT di casa: problematiche di sicurezza e soluzioni

L’ondata di smart working forzato a causa del coronavirus può essere una buona occasione per rivedere le policy aziendali e, soprattutto, porre l’accento su un problema ancora “in potenza” come quello della cyber security del lavoro agile, soprattutto quando lo smart worker usa i dispositivi IoT di casa. Ecco perché

04 Mar 2020
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

La peculiare situazione che stiamo vivendo in queste settimane a causa del Coronavirus (o COVID-19) ha costretto tantissimi lavoratori a passare in regime di smart working pur di mantenere un livello di Business Continuity adeguato: una decisione forzata che potrebbe, però, avere conseguenze veramente sfavorevoli dal punto di vista della cyber security, soprattutto quando il lavoro agile lo si compie utilizzando i dispositivi IoT di casa.

C’è infatti un grande errore di fondo quando si valuta l’impatto e i potenziali rischi che la smobilitazione fuori dal perimetro aziendale di tantissimi device: troppo spesso, infatti, si legge della necessità di rendere sicura la connessione verso gli asset aziendali, attraverso applicativi in cloud o VPN, di evitare l’utilizzo di device personali per svolgere le mansioni lavorative e via discorrendo.

Suggerimenti validi, anzi vere e proprie best practice che sempre più aziende stanno facendo parte integrante delle proprie policy, ma non stiamo forse ignorando l’elefante nella stanza?

Tante aziende piccole o grandi che siano oramai forniscono una dotazione aziendale, quasi sempre un laptop. Il problema dell’utilizzo dei device personali è sicuramente presente, ma probabilmente meno diffuso di quanto si possa preventivare.

Il vero problema riede nell’ambiente i cui i dispositivi vengono introdotti per svolgere le mansioni: le nostre case.

La società “IoT centrica” non aiuta

Cosa significa? Che l’attenzione non deve essere più focalizzata sulle connessioni verso gli asset aziendali o verso gli applicativi in cloud già più o meno sicuri, ma su quanto ci circonda quando lavoriamo da casa.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software

Viviamo in una società che sta diventando IoT centrica, non solo lato Enterprise e azienda, ma in particolare nell’ambito della domotica e degli oggetti di uso quotidiano. Basti pensare che entro il 2025 è stato stimato che il numero di questi dispositivi contemporaneamente connessi a Internet supererà i 75 miliardi di unità.

Concretamente questo si traduce in una casa “tipo” di un lavoratore “x” che si vede costretto a lavorare da remoto con un minimo di 3 o 4 dispositivi IoT connessi sulla stessa rete del laptop aziendale.

Dai router stessi, alle Smart TV, passando per stampanti e Smart Watch: insomma, almeno uno dei componenti che danno vita alla Smart Home del futuro prossimo è molto probabilmente già nelle nostre case.

Questo significa che, a differenza dell’infrastruttura aziendale, standardizzata e controllata, il nostro lavoratore “tipo” si troverà a condividere la rete con questa miriade di dispositivi, provenienti da produttori differenti, non necessariamente aggiornati o magari con password ancora “factory set”.

Ciò moltiplica, di fatto, il perimetro e le possibilità di attacco per un criminal hacker di arrivare al computer della vittima, non solo per sottrarre informazioni o dati sensibili, ma anche solo per depositare – per esempio – il payload di un malware con la previsione che questo poi si possa diffondere nell’azienda bersaglio una volta terminata la fase di smart working.

Questa non è solo verve da Nostradamus, basti pensare al recente caso che ha coinvolto i Wi-Fi chips di Broadcom e Cypress – presenti in milioni di device IoT e non solo – risultati vulnerabili alla CVE-2019-15126 che permetteva a potenziali aggressori di intercettare il traffico che passava dai device dotati di questi sensori.

Ma è solo la punta dell’iceberg, perché i router sono forse una delle aree su cui più facilmente anche l’utente meno “cyber informato” perda un modicum di attenzione, per esempio, alla password del modem di casa.

Il livello di exploitability dei device IoT non conosce limiti. Non sono che passate alcune settimane da quando un team di ricercatori, giusto per citare un altro caso degno di nota, è riuscito a dimostrare come utilizzando le lampadine smart della Philips Hue fosse possibile infettare un intero network con il payload di un malware.

Il Proof of Concept (PoC) dimostrato era di fatto un esercizio di escalation dei privilegi (per escalation s’intende lo sfruttamento di una vulnerabilità di un software applicativo o di un sistema operativo al fine di acquisire il controllo di risorse di macchina normalmente precluse a un utente o a un’applicazione), che faceva leva su due separate CVE per portare a termine l’attacco.

Smart working e dispositivi IoT di casa: questione di valutazione

Certo, tutti gli animali sono uguali, ma alcuni sono più uguali degli altri. Quindi quando si valuta la potenziale minaccia rappresentata dagli oggetti che ci mettiamo in casa, cosa determina il rischio?

Le domande chiave sono principalmente due, qual è il danno potenziale posto dal dispositivo e qual è la relativa sofisticazione del dispositivo in termini di:

  • connettività/accesso (sia come può essere infiltrato sia se nel caso in cui venisse compromesso a cos’altro potrebbe accedere?);
  • le sue capacità funzionali (che male potrebbe fare se fosse compromesso, direttamente o indirettamente?);
  • la sua cyber-anatomia (ha un sistema operativo completo – Windows, Android, Automotive Linux, ha un filesystem e impostazioni di configurazione?)

Ci deve essere anche una misura di quanta considerazione è stata applicata alla messa in sicurezza del dispositivo durante la sua progettazione e produzione. Alcune marche ben note possono – anche se non i tutti i casi – fornire una certa sicurezza “built-in” a differenza di produttori low-cost che vendono unicamente sulle piattaforme e-commerce.

Quindi il rischio presentato da un dispositivo IoT dipende da diversi fattori relativi sia alla progettazione che a come il dispositivo viene utilizzato e dove viene distribuito.

Paragonate uno smartphone a un frigorifero con accesso a Internet.

Lo smartphone può potenzialmente fare molto più male (gestisce dati confidenziali, credenziali bancarie, password, ha una fotocamera/microfono che potrebbe essere abusato, e fornisce una postazione ideale per hackerare altri dispositivi, con un sistema operativo completo e un accesso a internet sia Wi-Fi che cellulare).

Tuttavia, per sua natura, lo smartphone è noto fin dall’inizio per essere potenzialmente vulnerabile.

Dal produttore, ma anche dai fornitori di applicazioni di terze parti e dagli utenti, tutti apprezzano che la sicurezza sia di primaria importanza.

Per questo motivo le misure di cyber security sono intrinseche e fondamentali, abilitate e gestite. Gli aggiornamenti per la protezione contro le nuove vulnerabilità vengono applicati automaticamente, e la sicurezza oltre la protezione del codice di accesso viene aumentata con la crittografia dei dati e il software con firma crittografica.

Al contrario, il frigorifero viene semplicemente sbloccato e acceso. Molto probabilmente utilizza la connettività universale plug and play per facilitare la connessione in rete e, poiché durante la sua progettazione non è stata presa in considerazione la necessità di sicurezza, è molto più suscettibile al compromesso.

Ma che male può fare un frigorifero? Un’acquisizione in stile Stuxnet non farà troppi danni – anche se il latte andrà inacidito se il termostato del frigorifero viene sovrascritto.

Ma potrebbe anche essere sfruttato all’interno di una botnet per attacchi DDOS o utilizzato per accedere ad altri dispositivi di casa, tra cui il router, per compiere una privilege escalation e arrivare a infettare il laptop dello smart worker.

Insomma, lo scenario è ben chiaro.

L’ondata di smart working forzato di migliaia di lavoratori può essere sì una buona occasione per rivedere le policy aziendali, ma è doppiamente utile per porre l’accento su un problema ancora “in potenza”, ma che nel breve potrebbe rivelarsi endemico (proprio come il COVID-19): quello della cyber security.

Evento ibrido
Approcci, strumenti e soluzioni efficaci per un mondo del lavoro sempre più phygital
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr