Videosorveglianza e dispositivi IoT: le buone pratiche suggerite da ACN

Nello scorso mese di giugno, l’Agenzia per la Cybersicurezza Nazionale (ACN) aveva diffuso un bollettino sui rischi derivanti dalla compromissione di dispositivi e servizi connessi ad Internet – telecamere IP, IOT, controllori, router e sistemi di supervisione industriali – che possono diventare la porta d’ingresso per attacchi informatici se non si adottano adeguate misure di prevenzione e protezione.

CSIRT Italia, durante l'attività di monitoraggio svolta, ha osservato un elevato numero di casi in cui tali dispositivi e servizi vengono resi accessibili direttamente dalla rete pubblica, senza adeguate misure di protezione e senza una preventiva valutazione del livello di rischio correlato, determinando il pericolo di compromissione da parte dei criminali informatici.

Episodi spiacevoli di cui la cronaca ha di recente riferito e che hanno riguardato l’accesso abusivo a telecamere ad uso privato, confermano che il problema è ancora attuale e sottolinea l’importanza di adottare adeguate misure di protezione anche verso questi dispositivi. I rischi connessi - la violazione della privacy o l’utilizzo di tali dispositivi come ponte per ulteriori attacchi - non vengono infatti immediatamente percepiti come tali.

I suggerimenti per limitare i rischi 

Per ridurre i rischi, l’Agenzia raccomanda 12 buone pratiche che possono trovare applicazione in ambienti domestici, e 20 suggerimenti destinati invace a organizzazioni strutturate, nelle quali l’esposizione di servizi remoti costituisce un rischio critico.

Ambiente domestico

• Cambiare le credenziali predefinite su router, telecamere, NAS e altri dispositivi
• Evitare l’uso delle configurazioni di default, personalizzando porte, utenti, nomi di rete e impostazioni di sicurezza
• Utilizzare l’autenticazione a più fattori ogni volta che è disponibile 
• Utilizzare password forti, uniche per ogni dispositivo (min. 12 caratteri, maiuscole, minuscole, lettere, numeri, caratteri speciali)
• Aggiornare regolarmente il firmware dei dispositivi, abilitando gli aggiornamenti automatici quando disponibili
• Disattivare l’UPnP (Universal Plug and Play) sul router, che può esporre servizi automaticamente su Internet. 
• Limitare l’accesso remoto: disabilitare il controllo da remoto se non strettamente necessario. 
• Isolare i dispositivi IoT su una rete guest, separandoli da PC, smartphone e dispositivi personali.
• Monitorare l’attività del router: verificare connessioni aperte e traffico anomalo, tramite pannello di gestione o app.
• Utilizzare DNS sicuri per filtrare contenuti indesiderati e migliorare la sicurezza.
• Configurare il firewall del router per bloccare connessioni in ingresso non autorizzate.
• Utilizzare l’accesso remoto in modo sicuro, evitando l’apertura di porte sul router/firewall per servizi come RDP, VNC o SSH; preferire invece l’uso di soluzioni VPN dedicate per accedere alla rete domestica.

Contesti aziendali, industriali, istituzionali

• Formazione continua del personale su sicurezza informatica e riconoscimento di tentativi di attacco.
• Impostazione di password robuste e univoche, con gestione centralizzata delle credenziali.
• Applicazione rigorosa della politica del Least Privilege, limitando gli accessi solo al personale e ai sistemi strettamente necessari.
• Aggiornamento tempestivo e continuo di firmware, software e patch di sicurezza per tutti i dispositivi e servizi.
• Utilizzo obbligatorio di autenticazione multifattoriale (MFA) per ogni accesso remoto.
• Segmentazione di rete e isolamento dei sistemi critici, utilizzando ad esempio VLAN o subnet fisiche dedicate.
• Impiego di VPN aziendali sicure per tutti gli accessi remoti, vietando l’esposizione diretta di servizi (RDP, SSH, VNC ecc.) su Internet.
• Disabilitazione di servizi non necessari e chiusura delle porte non utilizzate.
• Implementazione di firewall con regole restrittive e sistemi di prevenzione intrusioni (IPS/IDS).
• Monitoraggio continuo e centralizzato degli accessi e dei log tramite soluzioni SIEM.
• Applicazione di politiche di controllo accessi basate su ruolo (RBAC) e revisione periodica delle autorizzazioni.
• Adozione di sistemi di protezione avanzata, come endpoint detection and response (EDR) e antivirus aggiornati.
• Configurazione di sistemi di notifica e allarme per accessi sospetti o anomalie di rete.
• Adozione di un Incident Response Plan (IRP) formalizzato e testato, per gestire rapidamente e efficacemente eventuali incidenti di sicurezza
• Implementazione di geofencing o whitelist IP per limitare gli accessi da aree geografiche o indirizzi IP non autorizzati in particolare per sistemi critici.
• Utilizzo di DNS sinkhole o firewall DNS per bloccare domini malevoli noti.
• Analisi e test di vulnerabilità periodici, inclusi penetration test sui servizi esposti.
• Implementazione di soluzioni di Zero Trust Network Access (ZTNA) per una verifica continua delle identità e dei dispositivi.
• Backup regolari e sicuri delle configurazioni e dei dati critici per permettere il rapido ripristino in caso di compromissione.
• Adozione di policy di sicurezza documentate e audit periodici di conformità normativa.