IoT: quale sicurezza per i dispositivi smart?

di Antonio Bagiolini - Business Line Manager - ICT di TÜV Italia 

L’Internet of Things (IoT) comprende una vasta gamma di dispositivi interconnessi e collegati a Internet che possono raccogliere e trasferire dati attraverso la rete senza l’intervento umano. L’incremento nell’utilizzo delle tecnologie intelligenti porta a una maggiore convenienza dell’IoT, ma apre anche la porta alle minacce per la sicurezza informatica. I report che segnalano violazioni informatiche sono in aumento, poiché il livello di sicurezza di ogni network possiede lo stesso livello di sicurezza del dispositivo meno sicuro presente al suo interno e la responsabilità di sostenere gli standard di sicurezza dei dispositivi connessi ricade sui produttori.

Una maggiore circolazione di dati porta necessariamente con sé maggiori occasioni di perdita o indisponibilità degli stessi. I vantaggi dell’IoT possono essere raggiunti solo se già in fase di progettazione, i prodotti e i servizi tengono conto di requisiti di sicurezza e di privacy, aumentando la fiducia dei consumatori. Prodotti scarsamente sicuri non solo minacciano la privacy dei consumatori, ma possono essere utilizzati dai criminali per lanciare attacchi informatici di tipo DDoS (Distributed Denial of Service) su larga scala.

Lo standard normativo 

Il Comitato tecnico per la sicurezza informatica dell’ETSI (European Telecommunications Standards Institute) ha pubblicato l’ETSI TS 103 645, lo standard sulla sicurezza dei prodotti IoT destinati al mondo consumer. Il documento contiene raccomandazioni rivolte ai produttori e agli sviluppatori di dispositivi collegabili in rete (meglio conosciuti come prodotti IoT) destinati al grande pubblico (smart TV, smartwatch, smart camera, impianti domotici ecc.) e diffusi ormai in ogni ambito sociale e produttivo. L’obiettivo è contribuire ad accrescere la sicurezza dei dispositivi IoT, in modo da aumentare parallelamente la fiducia dei consumatori. Il documento, infatti, si concentra sui controlli tecnici e organizzativi più rilevanti per affrontare le carenze significative e diffuse in materia di sicurezza. 

Nella sicurezza

Le nuove regole di sicurezza interessano una vasta gamma di dispositivi IoT: prodotti per la sicurezza come rilevatori di fumo e serrature delle porte, telecamere intelligenti, televisori e altoparlanti, dispositivi medicali indossabili, sistemi di domotica e di allarme, apparecchi domestici (ad esempio, lavatrici e frigoriferi). Tra le raccomandazioni indicate nello standard figurano, ad esempio, quella di evitare di immettere sul mercato device con username e password impostate di default (admin; admin) e quella di individuare dei contact points a cui segnalare eventuali nuove vulnerabilità dei prodotti.

Altre buone pratiche e raccomandazioni da seguire possono essere:

• il costante rilascio di aggiornamenti e patch di sicurezza;

• l’utilizzo di canali di comunicazione sicuri;

• l’archiviazione sicura di credenziali di accesso;

• la minimizzazione della possibile “superficie di attacco” dei device;

• la garanzia di integrità del software;

• la resilienza dei sistemi IoT agli attacchi informatici;

• la cancellazione agevole e intuitiva dei dati personali degli utenti;

• l’installazione e manutenzione semplificata dei dispositivi.

È fondamentale possedere un modello che faccia affidamento su altre metodologie di sicurezza della rete, quali controlli di accesso rigorosi, segmentazione della rete e definizione di una “superficie protetta” che include dati, risorse, applicazioni e servizi critici per il core business.