Entro il 2025 si prevede che nel mondo ci saranno più di 22 miliardi di dispositivi della Internet of Things (IoT) collegati a Internet: la maggior parte di questi, secondo gli analisti, sarà utilizzata dalle pubbliche amministrazioni all’interno della logica della smart city, la “città digitale” che consente ai suoi abitanti di sfruttare le nuove tecnologie per offrire nuovi servizi e rendere più efficienti quelli tradizionalmente offerti nel contesto urbano.
In questo panorama, però, aleggia anche qualche preoccupazione, legata in particolare al tema della cyber security. “La smart city offre tante opportunità specialmente in termini di miglioramento della qualità della vita. Tuttavia, c’è un lato spesso sottovalutato di questa proliferazione della connettività determinato dal fatto che quando le città diventano più intelligenti diventano anche più vulnerabili agli attacchi informatici” conferma Daniele Rinaldi di Alosys, società specializzata nella fornitura di soluzioni per la sicurezza informatica e la gestione dei sistemi in ambito IoT.
Indice degli argomenti
L’anello debole della Internet of Things
Negli ultimi anni, per gli esperti di sicurezza informatica, l’Internet of Things ha rappresentato un vero e proprio incubo. Il boom di dispositivi “smart” che hanno inondato case e uffici è infatti arrivato quasi inaspettatamente, prima che il mercato (soprattutto sul piano della progettazione e produzione) avesse raggiuto una maturità tale da poter garantire un livello di sicurezza adeguato.
In particolare, la prima generazione di dispositivi IoT ha dimostrato di scontare un’impostazione votata al “plug and play” che, se da una parte offre ai consumatori dispositivi facili da usare senza dover affrontare complicate procedure di configurazione, dall’altra porta a una sottovalutazione delle tematiche legate alla cyber security, soprattutto per quanto riguarda la protezione degli accessi e gli indispensabili aggiornamenti software.
In altre parole: la maggior parte dei dispositivi IoT vengono “abbandonati a sé stessi” e finiscono per rappresentare un bersaglio particolarmente appetibile per i pirati informatici.
Internet of Things e smart city: il problema della progettazione
Negli ultimi anni, inoltre, sono emerse una serie di vulnerabilità strutturali, come la presenza di backdoor non documentate e l’uso di credenziali di accesso predefinite, che hanno avuto conseguenze pesantissime a livello di security. Nella declinazione delle smart city, tutto questo si traduce in un pericolo concreto.
“Secondo una ricerca rilasciata ad agosto 2018 dal gruppo X-Force Red di IBM Security e dalla società di ricerca informatica Threatcare, è estremamente facile hackerare la tecnologia delle smart city” conferma Rinaldi. Con un elemento di preoccupazione ulteriore: in questo caso il rischio non riguarda solo l’integrità dei dati di un utente privato o dei suoi dispositivi, ma la continuità di servizi che spesso rivestono un ruolo critico nella gestione della Pubblica Amministrazione.
Le infrastrutture digitali della PA, sotto questo profilo, sono esposte ad attacchi sia da parte di cyber criminali “comuni”, interessati di solito a monetizzare i loro attacchi attraverso tecniche estorsive, sia da parte dei gruppi APT (Advanced Persistent Threat) che agiscono per conto di governi e servizi segreti. Insomma: il tema della cyber security nella smart city ha una rilevanza che deriva proprio dalla possibilità che i sistemi digitali finiscano sotto un formidabile fuoco incrociato.
“Accanto al concetto di Smart City è opportuno introdurre quello di Safe City inteso sia nell’accezione safety, per la sicurezza delle persone, sia security, ovvero sicurezza di sistemi informatici. La Safe City deve essere elemento fondante e un prerequisito essenziale per qualsiasi iniziativa digitale applicata alle città, alle grandi aree urbanizzate e ai luoghi densamente frequentati” puntualizza Rinaldi.
“Ecco che quindi, oltre a dover saper gestire con la massima sicurezza i dati rilevati nelle città, saper proteggere i cittadini e la loro privacy, sopperire alla mancanza di competenze reclutando personale tecnico nella Pubblica Amministrazione in grado di effettuare le opportune verifiche sulla sicurezza, diventa fondamentale e imprescindibile applicare l’approccio Security by Design ai prodotti che verranno poi installati surre reti urbane”.
Internet of Things e smart city: un fenomeno in crescita
L’adozione di strumenti digitali per la gestione dei servizi pubblici vive un percorso di crescita costante, che ha subito una netta accelerazione negli ultimi mesi in concomitanza con la crisi legata alla pandemia da Covid-19.
“A causa dell’emergenza CODIV-19 è cresciuto esponenzialmente l’interesse verso i sistemi di prevenzione e controllo, con particolare attenzione a soluzioni da applicare nei luoghi e ambienti dove si ha la necessità di effettuare controlli costanti, non invasivi e in sicurezza, sui flussi di persone, come fattore importante all’interno di un piano complessivo di prevenzione e mitigazione del rischio. Stiamo parlando in generale di qualsiasi luogo pubblico, ma sicuramente anche dell’accesso ai mezzi di trasporto” spiega il Cyber Security Project Manager di Alosys.
Il settore del trasporto pubblico, infatti, rappresenta un esempio perfetto dei vantaggi che può offrire un sistema di gestione digitalizzato. La gestione dei flussi di persone attraverso strumenti “intelligenti” in grado di evitare assembramenti e garantire la massima efficienza dei servizi è una delle priorità delle PA in questa fase.
In ogni caso il processo, al di là della contingenza, è destinato a prendere sempre più piede e “sedimentare” trasformandosi in qualcosa di strutturale. L’urgenza di stabilire procedure e standard ispirati al concetto di security by design, di conseguenza, assume oggi un carattere prioritario.
Il trattamento dei dati
I rischi legati a eventuali attacchi informatici non impattano solo sulla continuità dei servizi, ma pongono anche un problema di rispetto della privacy dei cittadini. La raccolta di dati necessaria per l’erogazione di questi servizi deve essere accompagnata da misure rigorose per proteggere l’integrità dei dati e regolare l’accesso agli stessi. Fortunatamente, la normativa attuale fissa paletti chiari e definiti che permettono di strutturare tutti i servizi in maniera adeguata.
“Mentre il GDPR si focalizza sulla protezione dei dati delle persone fisiche e la loro sfera privata attraverso misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, la norma ISO 27001 è uno standard internazionale la quale, assieme ai Best Practice tecnici ed organizzativi, mira a salvaguardare le informazioni aziendali, o meglio i dati che l’organizzazione stessa definisce di valore o di importanza” spiega Rinaldi.
Da un punto di vista tecnico, però, l’adozione di dispositivi IoT all’interno delle smart city richiede un approccio specifico che il Cyber Security Project Manager identifica con l’adozione del sistema di autorizzazione dinamica ABAC (Attribute Based Access Control), particolarmente efficace in sistemi che richiedono un controllo di accesso granulare come l’Internet of Things.
Non si tratta di una novità, ma di una tecnologia che fornisce un controllo degli accessi dinamico, sensibile al contesto e intelligente in base al rischio alle risorse, consentendo alle politiche di controllo degli accessi che includono attributi specifici di molti sistemi di definito per risolvere un’autorizzazione e ottenere un’efficace conformità normativa, consentendo alle imprese flessibilità nelle loro implementazioni basate sulle infrastrutture esistenti.
“A differenza del paradigma Based Access Control (RBAC), dove ad un utente è assegnato un ruolo come amministratore che predetermina i diritti di accesso, con il metodo ABAC l’autorizzazione dipende dall’assegnazione dei cosiddetti attributi a ciascuna entità nel sistema che vengono valutati da politiche amministrative attraverso un complesso set di regole booleane” spiega Rinaldi. “Gli attributi possono essere confrontati con valori statici o tra loro, consentendo così il controllo degli accessi basato sulle relazioni”.
Il fattore umano nella gestione della smart city
Se il comportamento di produttori e utenti rappresenta un problema a livello globale, in Italia la situazione sembra migliore. In particolare, quando si fa riferimento alla Pubblica Amministrazione e alle norme relative alla sicurezza informatica. “L’agenzia per l’Italia Digitale (AGID) è stata sempre particolarmente attiva nell’individuazione di linee guida tese ad aiutare i dipendenti pubblici a utilizzare in maniera sicura pc, tablet e smartphone come, per esempio, indicato delle misure minime di sicurezza informatica per le pubbliche amministrazioni fissate dalla circolare 17 marzo 2017, n. 1/2017” spiega Rinaldi.
“A seguito poi degli ultimi provvedimenti governativi che incentivano l’adozione dello smart working nelle PA per favorire il contenimento del Covid-19 prevendendo anche l’utilizzo di dispositivi personali, hanno portato l’Agenzia a promuovere un’iniziativa da parte del CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) finalizzata a fornire raccomandazioni alle PA e i lavoratori Pubblici e sostenerli nel contrastare eventuali attacchi informatici con comportamenti responsabili”.
Il frutto di questa attività è un vademecum composto da undici semplici raccomandazioni, rivolte ai dipendenti pubblici che hanno adottato la modalità di lavoro agile per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali: pc, smartphone, tablet.
Si tratta di norme di comportamento che vanno dalla necessità di eseguire tempestivamente gli aggiornamenti alla corretta gestione delle credenziali di accesso ai servizi e alle risorse della Pubblica Amministrazione.
Insomma: le premesse per una declinazione “sicura” della smart city ci sono, così come la consapevolezza delle linee che dovranno essere seguite nello sviluppo dei servizi digitali.
Contributo editoriale sviluppato in collaborazione con Alosys
