Oggi, sempre più spesso, si parla di IoT e sicurezza. Dal fatidico “L-O” sono passati quasi 50 anni e il “mondo connesso” è diventato molto più grande portando con sé una profonda evoluzione nelle dinamiche di relazione. Basti pensare che già nel 2009 le persone connesse in rete erano meno degli oggetti: un cambiamento che ha dato vita a quella che oggi conosciamo come l’IoT (Internet of Things), in cui la sfida più grande è certificare non più l’identità delle persone, ma quella delle cose.
Accertare l’identità di chi opera transazioni online è diventata una prassi e ci stupiamo quando questo non avviene: ciascun contesto giuridico e commerciale richiede l’autenticazione dell’utente, con livelli di sicurezza che variano a seconda dell’esigenza del servizio. Nel 1993, invece, una famosa vignetta apparsa sul New Yorker recitava: Su Internet, nessuno sa che sei un cane. Nella prima era di Internet (quella dell’IoP – Internet of People), l’anonimato si presentò da subito come la più grande e democratica opportunità offerta dalla rete: online, chiunque poteva interagire con utenti di tutto il mondo senza pregiudizi o limiti di sorta. Purtroppo, in certi contesti questa peculiarità ha posto grossi limiti all’adozione delle nuove tecnologie: la mancanza di identità digitale, da una parte ha creato incertezza nella contrattualizzazione elettronica e dall’altra ha permesso la proliferazione di accessi non autorizzati alle reti aziendali e domestiche.
Ripensando alla vignetta del New Yorker, oggi non leggeremmo più di un cane che si finge un uomo, ma di un oggetto che si finge qualcos’altro, sia esso un umano o un altro oggetto: ora verrebbe quasi da dire che su Internet nessuno sa che sei un tostapane che finge di essere un cane.
Indice degli argomenti
IoT e sicurezza: i punti chiave per proteggere gli smart objects
Per mettere in sicurezza questo nuovo sistema di smart objects occorre tenere presente che, rispetto all’IoP, l’Internet of Things presenta alcune importanti differenze.
La prima è la massa critica di oggetti connessi: ognuno è collegato a una propria rete, che a sua volta è collegata ad altre reti e quindi ad altrettanti oggetti, che potenzialmente comunicano tra loro. Una ragnatela sconfinata e pertanto difficile da tenere sotto controllo.
La seconda differenza è la complessità dell’oggetto stesso, costituito da un hardware, che contiene un software, che a sua volta riceve e restituisce dati alla rete e quindi ad altri oggetti: ogni componente dell’oggetto può essere esposta a rischio o esserne veicolo, con un effetto moltiplicatore dalle conseguenze imprevedibili. Hardware, software, dati e connettività diventano, come per i computer, punti critici per la tenuta della rete e degli oggetti stessi.
A questi elementi ne va aggiunto un terzo, strettamente economico: il device dell’IoT è un oggetto poco costoso, sia da un punto di vista energetico che strutturale. In questo contesto la priorità non è mai stata la sicurezza: se si escludono alcuni campi specifici, attualmente in rete sono connessi molti oggetti vulnerabili.
Aumentare la sensibilità verso la sicurezza in Rete
Fortunatamente l’approccio, anche regolatorio, sta lentamente cambiando, aumentando la sensibilità verso la sicurezza in Rete: a livello italiano, già dal 2013 è stato messo in campo un piano nazionale per la cyber sicurezza volto a riempire il vuoto normativo lasciato dalle norme di settore, come il Codice dell’Amministrazione Digitale e il noto Regolamento europeo eIDAS che regolano solo certi aspetti delle transizioni elettroniche. Inoltre, come noto, a giugno 2018 l’Italia ha dato attuazione, recependola nell’ordinamento locale, alla Direttiva (UE) 2016/1148 (“Direttiva NIS”), “intesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi”.
Per il momento, tali misure riguardano principalmente quei soggetti che hanno digitalizzato, automatizzato e robotizzato la propria attività produttiva nei contesti più critici per l’economia nazionale, come il settore idrico ed energetico. In questo contesto, la semplicità dei device deve fare i conti con il rischio di avere delle macchine che sono vulnerabili: nell’ambito industriale, quindi, l’attenzione per la sicurezza informatica è ben sviluppata. Si tratta di perimetri nei quali attribuire il livello corretto di responsabilità e fiducia alle transazioni tra gli smart object è cruciale. Certificare l’identità di una macchina significa, infatti, avere certezza che l’oggetto è quello che dice di essere, che è autorizzato a trovarsi in quella rete e che può, quindi, legittimamente dialogare con le altre macchine connesse. Con vantaggi molteplici: da una più facile attribuzione di responsabilità alle azioni intraprese da persone e macchine che interagiscono in un processo produttivo, fino a un controllo in tempo reale di tutta la logistica e di eventuali manutenzioni.
Non si tratta di un’impresa impossibile: occorre far tesoro della lezione imparata nell’IoP e usare quell’esperienza per rispondere adeguatamente alle esigenze del nuovo contesto, intervenendo non solo per mettere in sicurezza il singolo oggetto, ma il processo di attivazione nel suo insieme, avendo cura sia del dialogo M2M che quello H2M.
Un forte impulso all’innovazione nel sistema produttivo e all’Industria 4.0
È per questo che InfoCert Tinexta Group – la più grande Certification Authority europea nonché gestore accreditato AgID dell’identità digitale nell’ambito di SPID – dopo essere stata pioniera nella certificazione della “people identity”, ha sviluppato una soluzione per la certificazione anche della “machine identity”. Si chiama MID-PKI (Machine Identity Public Key Infrastructure) e nasce proprio per portare i livelli di trust – che InfoCert già offre alle transazioni digitali fra umani – all’interno del contesto IoT, mantenendo un alto grado di sicurezza e interoperabilità.
MID-PKI gestisce infatti l’intero ciclo di vita del certificato caricato a bordo di una macchina, dal momento della sua attivazione fino alla dismissione e rottamazione, così da garantirle massima sicurezza all’interno di una rete (o di una flotta di altri oggetti). L’approccio tecnologico PKI è corredato da un framework di linee guida e strumenti che permettono una corretta gestione dei certificati e garantiscono il rapporto di fiducia tra Certification Authority e soggetti operativi, in modo da garantire il corretto enrollment dei degli oggetti.
La creazione di un sistema globale di connessioni sicure sta dando un forte impulso all’innovazione nel sistema produttivo e all’Industria 4.0: certamente, in un tempo non lontano, l’identità degli oggetti non sarà più un’incognita anche per tutti gli altri settori della vita quotidiana, dalla domotica nelle case intelligenti fino ai sensori della smart grid. E così potremo finalmente dire: su Internet ognuno sa con certezza se sei un umano, un cane o… un tostapane.
Disclaimer: contributo editoriale realizzato in collaborazione con InfoCert, partner del Cyber Security Summit 2018, l’evento italiano sulla cyber security organizzato da Cybersecurity360.it e AgendaDigitale.eu.
