Internet of Things (IoT) & sicurezza: non solo Organizzazioni ma anche Smart Home
Introduzione
Il processo di digitalizzazione ed innovazione in corso scaturito dalla pandemia ci pone di fronte ad uno scenario caratterizzato da una sempre maggiore dipendenza da Internet e dall’Internet of Things (IoT). È quanto mai necessario ed urgente identificare i potenziali rischi, le minacce e le vulnerabilità che l’IoT comporta dal momento che la maggiore adozione di questa tecnologia sta creando una domanda di misure di sicurezza informatica sempre maggiore. Inoltre – secondo quanto pubblicato dalla società globale di ricerca Statista – i dispositivi connessi all’IoT, entro il 2025, saranno oltre 75 miliardi, con un aumento di quasi tre volte il numero riscontrato nel 2019. Tale numero considerevole di dispositivi connessi condividono dati critici e, pertanto è quanto ma urgente mitigare i rischi ad essi correlati, soprattutto considerando il fatto che essi possono oramai verificarsi anche nella quotidianità di tutti noi, all’interno delle nostre abitazioni sempre più digitalizzate, i.e. le cosiddette Smart Home o case intelligenti.
I mercato della sicurezza dell’Internet of Things (IoT)
Qualsiasi cosa, oggigiorno, dagli asset di un’organizzazione all’auto e agli utensili domestici, può essere interconnessi grazie all’Iot e convertirsi in dispositivi “intelligenti”; ne consegue che la sicurezza informatica è diventata argomento scottante a tal punto da essere argomento di dibattito da parte dei Governi a livello mondiale e da generare la promulgazione di leggi atte a garantire la creazione di dispositivi sicuri “by design”.
Gli attacchi a prodotti “intelligenti”, che si connettono a Internet – o addirittura si collegano ad essa autonomamente – continuano senza sosta e offrono agli hacker una moltitudine di nuove superfici di attacco e si prevede che anche per tutto il 2021 si verificheranno tentativi di hackeraggio che sfruttano le vulnerabilità dei dispositivi IoT. Inoltre, le soluzioni 5G oramai ampiamente disponibili faciliteranno i criminali che saranno maggiormente in grado di abusare degli endpoint per i propri scopi. I protocolli come HTTP (Hypertext Transfer Protocol ) e API sono solo alcuni dei canali su cui si basano i dispositivi IoT e che gli hacker possono intercettare.
L’IoT e le Smart Home: piani di continuità domestica
L’IoT alimenta le Smart Home tramite i dispositivi programmabili e gli elettrodomestici intelligenti che sono connessi a Internet e possono essere facile bersaglio da parte degli hacker per ottenere i dati del consumatore oltre a rendere la casa estremamente vulnerabile.
Se un piano di continuità aziendale per la gestione dell’IoT aiuta un’azienda a continuare le operazioni quando sorgono problemi. Ne consegue che progettare un “piano di continuità domestica” può risultare altrettanto strategico per i sistemi IoT di un’abitazione. Ovvero, nella vita quotidiana, all’interno delle nostre Smart Home, dobbiamo applicare la cultura della resilienza, quale calibrata sintesi di gestioni dei rischi collegati alla tecnologia dell’IoT e, al tempo stesso, garantire la continuità operativa dei nostri elettrodomestici, strumentazioni e applicazioni che ci aiutano a gestire le nostre abitazioni.
L’unico modo per proteggersi da una potenziale minaccia consiste nel diventare più consapevoli dei dispositivi domestici intelligenti installati, ovvero, acquisire la conoscenza del nostro contesto abitativo in termini di oggetti e applicazioni smart.
Una Smart Home se da un lato può garantire vari benefici in termini di risparmio energetico e funzionalità di sicurezza aggiuntive per la famiglia, dall’altro lato, può convertirsi in una fonte di rischi che devono essere gestiti e mitigati. Pertanto, la pianificazione della “continuità operativa domestica” diventa strategica indipendentemente dal fatto che una casa disponga o meno di un sistema di Smart Home completo o semplicemente di una raccolta di dispositivi intelligenti, valutando la sicurezza dei prodotti e dei sistemi. Di seguito un elenco delle cose che ognuno di noi consumatori dovrebbe sapere per rendere sicura una Smart Home in un’ottica di gestione dei rischi e continuità operativa “domestica”:
- Valutare le caratteristiche di sicurezza del dispositivo smart
- Modificare i nomi dei router predefiniti prima di installare o utilizzare dispositivi smart – Rinominare i router con un codice alfanumerico univoco, ove applicabile, che non sia associato ad alcuna informazione personale, ricordando che qualsiasi nome assegnato dal produttore fornisce agli hacker informazioni che possono aiutarli a infiltrarsi nella rete.
- Creare password complesse e abilitare l’autenticazione a due fattori – Per ogni dispositivo creare password complesse utilizzando ad es. numeri casuali, lettere o caratteri speciali. È necessario usare password diverse per ogni dispositivo o account, così quando un account viene compromesso, gli altri sono al sicuro. Inoltre, può risultare utile considerare l’utilizzo di un gestore di password – difficile da attaccare e in grado di monitorare la frequenza con cui si cambiano le password – per generare e memorizzare password casuali difficili da decifrare.
A fronte del proliferare degli attacchi cyber, considerare l’autenticazione a due fattori in modo tale da ricevere una notifica di attività sospette dal momento che un hacker non può accedere all’account senza il codice univoco del sistema a due fattori.
- Aumentare la sicurezza della rete con il proxy SSL (Secure Sockets Layer) – L’utilizzo del proxy contribuisce a: elevare il livello di sicurezza di rete, filtrare le attività dannose e aiutare a monitorare l’utilizzo interno di Internet. La crittografia SSL protegge anche un dispositivo e il server esterno a cui è collegato. Pertanto, se viene intercettata una connessione al traffico, l’hacker non può leggere le informazioni ottenute.
- Evitare l’utilizzo del Wi-Fi pubblico per l’accesso remoto – Le reti Wi-Fi pubbliche, sebbene generalmente sicure, non sempre si rivelano tali, soprattutto quando si utilizzano per accedere a dispositivi IoT da remoto. Gli hacker possono monitorare il traffico non crittografato e possono vedere un dispositivo vulnerabile. Pertanto, è preferibile utilizzare il proprio cellulare o una VPN per accedere a dispositivi domestici intelligenti da remoto.
- Aggiornare regolarmente i dispositivi – I dispositivi obsoleti sono vulnerabili agli hacker. Anche se un router domestico intelligente e una rete domestica hanno una protezione maggiore, i dispositivi obsoleti possono essere falle di sicurezza. I criminali online possono accedere e sfruttare facilmente i dati, pertanto si consiglia di:
- aggiornare i dispositivi al software più recente
- applicare le ultime patch di sicurezza
- installare software di sicurezza antivirus o anti-malware sui dispositivi connessi alla rete domestica
in modo tale da garantire che non rimangano falle di sicurezza per attacchi dannosi.
- Assicurarsi che i Sistemi HVAC (i.e. sistemi di Heating, Ventilation and Air Conditioning, ovvero “riscaldamento, ventilazione e condizionamento dell’aria”) possano sempre funzionare indipendentemente dal fatto che l’intero sistema di casa intelligente sia operativo.
Conclusioni
I dispositivi della Smart Home connessi a Internet tramite l’IoT se da un lato possono fornire un migliore livello di comodità alla nostra vita, dall’altro lato possono rendere vulnerabili le nostre case e i dispositivi connessi. È necessaria una trasposizione della cultura del rischio, della continuità operativa e della resilienza nella nostra vita domestica e progettare un piano di “difesa” per proteggere i dispositivi domestici intelligenti.
Laura De Nardis, professoressa dell’Università di Yale, nel suo recente libro “Internet in Everything: Freedom and Security in a World with No Off Switch” enumera le minacce globali, i rischi ed i pro e i contro dell’IoT che sta influenzando e influenzerà sempre più sia la privacy individuale sia la sicurezza degli Stati. Ovvero, man mano che sempre più dispositivi si connettono a Internet e si integrano in ogni aspetto della vita quotidiana, assistiamo ad una sorta di conflitto tra l’efficacia e la sicurezza del dispositivo, tra l’utilità del dispositivo e la privacy individuale, tra la minaccia alla sicurezza e la mitigazione delle minacce. Considerando il fatto che i dispositivi digitali sono oramai parte della vita quotidiana delle società contemporanea e Internet è diventato così integrato da diventare addirittura “invisibile”, molte persone potrebbero non rendersi conto che i propri dispositivi intelligenti sono connessi a Internet; inoltre, la crescente diffusione dell’IoT sta rapidamente riducendo il confine tra fisico e virtuale, tra connesso e spento, tra connesso e disconnesso. Pertanto, se l’Iot permette, da un lato, la raccolta di dati che hanno valore e che, se violati, possono essere venduti sul dark web con conseguenze negative per la privacy personale, dall’altro lato, può creare una rete di occhi e orecchie computerizzati ovunque noi andiamo. Ne consegue che, all’homo semper connexus, saranno richieste maggiori competenze tecnologiche rispetto al passato e dovrà quanto mai dare priorità alla sicurezza prestando maggiore attenzione a come entra ed esce da Internet e a come utilizza i propri dispositivi.
Lo scenario appena descritto solleva anche problematiche di etica relative al mondo digitale che deve fondarsi e poggiare su tre pilastri: un’etica dei dati, un’etica degli algoritmi e un’etica delle persone e dei professionisti Hi-Tech.
Come sostiene Helga Nowotny, sociologa dell’Università di Vienna, co-fondatrice dell’European Reserch Council (Erc), e autrice del libro “The cunning of uncertainty‘ ( tradotto “L’astuzia dell’incertezza”, titolo che fa riferimento all’abilità di muoversi in un mondo molto innovativo ma altrettanto incerto): “Occorre un’analisi etica dello sviluppo tecnologico, occorre definire ciò che sarà socialmente accettabile, legalmente definito e riconosciuto, altrimenti il rischio è quello di ritrovarci una tecnologia gestita male, fuori controllo e che può essere addirittura dannosa”. Si tratta, quindi, di massimizzare le opportunità e mitigare i rischi del digitale attraverso le analisi etiche dei rischi e dei benefici dell’Intelligenza artificiale e dell’IoT che devono essere necessariamente incluse in tutto il processo di progettazione, di collaudo, d’implementazione e di utilizzo di queste tecnologie. Pertanto, i vari attori istituzionali e governativi dovranno trovare, stabilire e applicare delle linee guida, delle regole comuni e delle convergenze sull’etica digitale a livello internazionale se vogliono salvaguardare i propri cittadini.
Articolo a cura di Federica Maria Rita Livelli
Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.
Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) - Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) - Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) - Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 "Gestione per la qualità e metodi statistici")
Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence
È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.