Internet of Things: rischi e politiche aziendali per la sicurezza | Ingegneri.info

Internet of Things: rischi e politiche aziendali per la sicurezza

Internet of Things e Big Data stanno rivoluzionando il mondo digitale, ma sono intrinsecamente correlati a varie tipologie di rischi informatici, dal furto di dati agli attacchi cibernetici su scala nazionale

image_pdf

Internet of Things e Big Data sono per natura – computer che “dialogano” con altri computer, con un controllo umano relativo o addirittura nullo – esposti a rischi di attacchi cibernetici, anche su scala nazionale e internazionale. Gli archivi sono troppo grandi per essere filtrati analogicamente e le opportunità – per programmatori, aziende e hacker senza scrupoli – di schedare subdolamente gli utenti spesso vengono colte in barba all’etica e alle leggi (ora meno nebulose in merito, grazie all’introduzione del GDPR).

Leggi anche: GDPR, le novità per i professionisti tecnici

Nel manuale Big Data: privacy, gestione, tutele edito da Altalex –  e scritto dallo Studio Legale Mondini-Rusconi – si analizza in dettaglio, tra gli altri temi, quello pressante dei pericoli collegati all’utilizzo massivo di dati digitali e delle connesse zone d’ombra applicative e morali. Di seguito un capitolo del volume focalizzato proprio su questa tematica.

Internet of Things: come controllare i Big Data?

Mark Weiser, famoso ricercatore dello Xerox PARC negli Stati Uniti, nel 1988 ha coniato il termine “ubiquitous computing” dove “la tecnologia recede nel background delle nostre vite”, diventando invisibile e offrendoci servizi e informazioni senza richiedere la nostra attenzione per controllarla. È straordinario come questa visione abbia anticipato di circa trent’anni l’effettivo sviluppo di tecnologie in grado di renderla concreta.

Solo oggi, infatti, la combinazione di capacità di elaborazione, connettività, basso consumo e basso costo dei dispositivi digitali consente di sviluppare sistemi per la cosiddetta Internet of Things”(IoT), Internet delle Cose, nella quale i dispositivi interagiscono direttamente tra di loro per svolgere in autonomia le funzioni alla base di innumerevoli servizi.

Dal punto di vista dei Big Data, questi sistemi rappresenteranno una sorgente continua di informazioni che saranno trasmesse attraverso la rete Internet, elaborate, correlate e archiviate. Così, se da un lato le prospettive di un mondo “smart” grazie alla Internet of Things sono affascinanti, dal punto di vista del controllo dei dati e del loro utilizzo si aprono scenari preoccupanti e molti esperti hanno già iniziato a segnalare il problema:

  • I dispositivi IoT sono autonomi e progettati per operare in assenza del controllo umano. Questo comporta che tipicamente non dispongano neanche di un’interfaccia con cui controllare le attività che svolgono.
  • I dispositivi IoT devono costare e consumare poco. Di conseguenza, non è possibile adottare tecniche sofisticate di protezione dall’accesso non autorizzato ai dati o dagli attacchi di hacker.
  • Anche le procedure di aggiornamento del software avvengono senza possibilità di controllo e supervisione umana, richiedendo quindi una fiducia assoluta e perenne in tutta la catena di sistemi coinvolti, dal programmatore al gestore dei server e della rete. Se un anello di questa catena viene violato, i dispositivi IoT che dipendono da essa possono diventare insicuri, per sempre.
  • Più un dispositivo diventa invisibile o comunque destinato a utenti non esperti (come tutti i dispositivi per le applicazioni domestiche) e più è probabile che non vengano eseguite le necessarie procedure di configurazione avanzate per renderlo, per quanto possibile, più protetto da eventuali attacchi.

Il rischio non solo è reale, ma è già attuale. L’esempio più eclatante è rappresentato da Shodan, un motore di ricerca per IoT che consente di accedere a centinaia di milioni di dispositivi IoT in tutto il mondo e che fornisce anche le istruzioni per violarne la sicurezza. Inoltre, dispositivi IoT sono già stati utilizzati in più occasioni per sferrare attacchi DDOS (“Distributed Denial of Service”).

Data la loro numerosità estremamente superiore a quella dei normali computer, tali attacchi possono avere portate e conseguenze un tempo inimmaginabili, come bloccare l’intera rete Internet di una nazione divenendo così potenziali strumenti per attività belliche o terroristiche.

Internet of Things: linee guida e politiche aziendali

Alla luce delle considerazioni di cui sopra dovrebbe essere evidente che i sistemi che, direttamente o indirettamente, interessano i Big Data sono intrinsecamente insicuri. Quindi, l’unica strategia di difesa possibile si basa sulla conoscenza. In ambito professionale (ma non solo) è necessario armonizzare competenze tecniche e giuridiche, in modo da minimizzare i rischi informatici e predisporre adeguate procedure formali e clausole contrattuali.

Per quanto riguarda gli aspetti tecnici, alcune linee guida fondamentali:

  • Adottare procedure per la configurazione e la gestione sicura di qualunque sistema informatico, sia esso aziendale o privato; questo principio include un’adeguata gestione delle autorizzazioni di accesso e delle password, una politica di aggiornamento del software, un rigoroso controllo dei programmi scaricati dalla rete, ecc.;
  • Definire un piano di formazione e aggiornamento continuo degli utenti dei sistemi e dei dispositivi informatici in tema di sicurezza; la principale vulnerabilità dei sistemi informatici risiede nel fattore umano, ed è quindi strategico diffondere la conoscenza ed educare a buone pratiche nell’uso degli stessi;
  • Definire e adottare un piano di prevenzione dei danni; come naturale conseguenza dell’impossibilità di ottenere un livello di sicurezza assoluta, è necessario effettuare un’analisi dei rischi onde definire le procedure da adottare in caso di incidente e quantificare le risorse da impiegare, per esempio, per strategie avanzate di backup e soluzioni per “business continuity” e “disaster recovery” (rispettivamente, assenza di interruzione nei servizi critici anche in caso di attacco informatico o evento catastrofico e capacità di ripristino delle funzionalità dei sistemi in tempi compatibili con le esigenze commerciali dell’azienda).

Internet of Things: autorizzazioni all’accesso ai dati da parte delle APP

L’ampia disponibilità di programmi gratuiti, soprattutto per dispositivi mobili (le cosiddette app per smartphone e tablet) rappresenta una significativa criticità per la sicurezza e la riservatezza dei dati.

La procedura di installazione delle app prevede la richiesta di autorizzazione per l’accesso a dati e funzionalità del dispositivo. Il problema deriva dal fatto che la quasi totalità degli utenti concede tali autorizzazioni senza leggere cosa effettivamente viene richiesto. Questo comportamento è così diffuso che le procedure di installazione nel tempo sono state via via semplificate nascondendo i dettagli delle autorizzazioni, per accedere ai quali sono ora necessarie operazioni aggiuntive.

Di questa situazione approfittano gli sviluppatori che rendono disponibili i programmi gratuitamente, ma in cambio si appropriano dei dati degli utenti e, talvolta, acquisiscono il controllo dei loro dispositivi. Per esempio, appare quantomeno singolare che alcune app che hanno il solo scopo di permettere di utilizzare il telefono come torcia, accendendo lo schermo o il flash della fotocamera, richiedano l’autorizzazione a leggere e modificare la memoria del dispositivo, accedere alle informazioni sulle telefonate effettuate, modificare la configurazione del sistema (per verificarlo è sufficiente leggere i dettagli delle autorizzazioni dei più popolari programmi flashlight in Google Play).

Esiste quindi il rischio concreto che a seguito dell’installazione di questo genere di programmi i nostri dati vengano resi disponibili per attività criminose, prime fra tutte il furto di identità e la lettura dei nostri messaggi e delle nostre mail, quest’ultima magari allo scopo di effettuare un attacco del tipo man-in-the-e-mail.

Internet of Things: BYOD (Bring You Own Device) o dispositivi aziendali?

L’argomento appena trattato è in realtà un aspetto di un problema più generale che ogni azienda ed ente dovrebbe affrontare definendo una opportuna strategia per la gestione dei dispositivi informatici.

La scelta fondamentale riguarda l’utilizzo promiscuo di un dispositivo personale per accedere ai dati, alla mail, alla rete e al sistema informatico dell’azienda. Trattandosi di un dispositivo privato fuori dal controllo dei responsabili dei sistemi informativi aziendali, è possibile (anzi, probabile, in base alle statistiche) che sia affetto da virus o malware.

Come sopra descritto, gli smartphone e i tablet possono contenere app insicure e i personal computer programmi di origine sconosciuta o addirittura “piratati”, esponendosi così a malware pericoloso. Molte aziende scelgono pertanto di mantenere il controllo totale dei dispositivi su cui viaggiano dati aziendali fornendo ai dipendenti smartphone, tablet e personal computer preconfigurati e protetti utilizzabili esclusivamente per le attività lavorative. Si tratta naturalmente di una scelta costosa e impegnativa, ma a seguito di una seria analisi dei rischi risulta spesso conveniente.

Leggi anche: Idee Vincenti, un contest tra startup per valorizzare i beni culturali

Copyright © - Riproduzione riservata
Internet of Things: rischi e politiche aziendali per la sicurezza Ingegneri.info