A giugno 2022 la International Organization for Standardization ha pubblicato la ISO 27400:2022, uno standard internazionale per la protezione dei dispositivi IoT che si integra nella più vasta famiglia delle ISO 27000 sulla sicurezza delle informazioni.
Nel dettaglio, la ISO 27400:2022 include misure tecniche e organizzative sotto forma di linee guida su rischi, principi e controlli per la sicurezza e la privacy delle soluzioni Internet of Things (IoT). Tale standard introduce, quindi, necessari e adeguati controlli di sicurezza e privacy nella mitigazione dei rischi inaccettabili dei sistemi IoT.
Tali sistemi, infatti, costituiscono una superficie di attacco ampia, nonché una sfida molto importante per un sistema di gestione della sicurezza delle informazioni (ISMS) che deve prevedere, come noto, l’applicazione e il mantenimento di controlli di sicurezza appropriati su ciascuna porzione del sistema e dal caso includere controlli specifici anche per l’IoT adottate.
L’altro aspetto cruciale è la protezione dei dati personali, in quanto la gestione delle informazioni personali (PII, Personally Identifiable Information) deve poter considerare i rischi – quali furti o usi impropri – nonché eventuali danni alle persone identificate dalle informazioni e impatti sulla reputazione delle organizzazioni coinvolte con conseguenze negative sulla fiducia da parte degli utenti verso tale tecnologia.
Per avere idea di quanto sia ampia la diffusione di tale tecnologia, dobbiamo riferirci agli aggiornamenti del 2022 del mercato delle connessioni IoT che segnalavano il raggiungimento di 12,2 miliardi di endpoint attivi nel 2021.
Nonostante il rallentamento dovuto alla carenza di chip, quindi una crescita significativamente inferiore rispetto agli anni precedenti, il mercato dell’Internet delle cose dovrebbe arrivare nel 2022 a 14,4 miliardi di connessioni attive ed entro il 2025 a circa 27 miliardi di dispositivi IoT connessi.
Dispositivi IoT e ISO 27001: impatti nella sicurezza delle informazioni e capacità di resilienza
Indice degli argomenti
Tutti i dettagli della ISO 27400:2022
Per illustrare gli aspetti cruciali delle linee guida incluse nella ISO 27400:2022 è utile seguirne la struttura logica analizzando i contenuti dei capitoli più “pratici”.
Conoscere i sistemi IoT per difenderli efficacemente
Il Capitolo 5, come anticipa il titolo “IoT concepts”, introduce i concetti e le definizioni principali dei sistemi IoT.
In particolare, nella definizione di IoT sono incluse le infrastrutture, i servizi o parti di un sistema che interagiscono e comunicano con il mondo fisico attraverso il rilevamento o l’attivazione, sia i dispositivi elettronici discreti, sia come componenti di “ecosistemi” più ampi e complessi.
La linea guida ha considerato ecosistemi ampi che hanno al centro tali dispositivi, con estese caratteristiche, nonché un’ampia gamma di usi e prodotti generalmente associabili a una rete di comunicazione tra macchine, distinguendoli dall’internet convenzionale in cui la rete di comunicazione è, invece, stabilita tra persone con altre persone o macchine (ad es. desktop, laptop e server).
Inoltre, la connettività riguarda i dispositivi IoT sia a livello consumer (es. Smart Home), sia industriale (macchine) e gli utenti ne servono principalmente per molteplici usi riferibili alla sfera della vita quotidiana e quella lavorativa.
La loro rapida crescita e diffusione si basa sulla possibilità di collegare i dispositivi o le applicazioni compatibili con Internet tra di loro e quindi di renderli controllabili. Ad esempio, le componenti della casa intelligente: attraverso l’IoT, gli utenti possono ricevere una notifica quando si verificano determinati eventi, come quando la temperatura ambiente scende al di sotto di un certo valore o quando lo spazzolino elettrico viene utilizzato con troppa pressione. Ma i sensori intelligenti possono anche garantire in modo indipendente che una tapparella oscuri automaticamente la finestra, ad esempio, senza che le persone debbano comunque intervenire personalmente.
La definizione formulata da ISO e dalla Commissione elettrotecnica internazionale (IEC) descrive l’IoT come “un’infrastruttura di entità, persone, sistemi e risorse di informazione interconnesse insieme a servizi che elaborano e reagiscono alle informazioni dal mondo fisico e dal mondo virtuale”.
Si tratta di perimetro ampio di applicazione dello standard, nel quale sono compresi: sistemi operativi e applicazioni che eseguono e forniscono i servizi, l’infrastruttura di rete (reti personali, locali e WAN), le organizzazioni che li progettano, li producono, li gestiscono e configurano, fino anche al mondo fisico e i luoghi, le persone e le organizzazioni con cui gli stessi interagiscono in particolare come utenti.
Lo standard identifica le componenti che sono riconducibili all’IoT, fornendo un framework basato sui Domini (paragrafo 5.6). Per User Domain (UD) s’intende, ad esempio, il dominio degli utenti digitali ed umani che configurano, gestiscono, usano i dispositivi IoT ed i servizi associati, mentre per Physical Entity Domain (PED) quello specifico delle entità fisiche del sistema. Mentre per Operations and Management Domain (OMD) s’intendono le componenti di sistema addette al supporto operativo e gestionale, incluse le organizzazioni addette allo sviluppo e alla produzione, la configurazione oppure l’assistenza.
Analogamente agli altri standard della famiglia delle ISO27K, sono stabilite le cosiddette parti interessate – Stakeholders. Nell’ambito IoT sono inclusi, infatti, i responsabili della fornitura di servizi che consentono il funzionamento del sistema, detti “IoT service provider” (ISP); i responsabili di sviluppo, progettazione, implementazione, produzione, configurazione, assistenza ed integrazione dei servizi, chiamati “IoT service developer” (ISD), e quelli dei device, detti Device Developer (IDD); gli utenti digitali o umani del sistema o del servizio, chiamati “IoT user” (IU).
ISO 27400:2022: analisi dei rischi nei sistemi IoT
Il rischio significativo dell’internet delle cose è delimitato entro una varietà di usi, nell’innovazione continua e nell’ubiquità con cui tali soluzioni, sempre più in profondità penetrano nelle nostre attività, case, veicoli e vite. Si consideri che in virtù della propagazione e della diffusione di tali dispositivi, anche la realizzazione del loro censimento ed il loro inventario risulta essere complicato e costoso.
Tra i rischi sono stati inclusi, quelli relativi:
- alla vulnerabilità nei sistemi, nelle applicazioni e nelle reti, oltre ai processi e alle attività associati (ad es. il settaggio, ma anche la manutenzione e l’utilizzo);
- minacce, sia deliberate (ad es. hacker e malware) che naturali (ad es. condizioni operative fisiche avverse, interruzioni di corrente, scariche elettrostatiche, difetti di progettazione, bug/errori di codifica, incidenti degli utenti e inettitudine);
- di sicurezza e ai danni alla proprietà, nonché i consueti incidenti relativi alla sicurezza delle informazioni e alla privacy (ad es. danneggiamento, divulgazione, perdita di dati);
- inerenti il ciclo di vita (ad es. cose economiche, usa e getta, non gestite e/o profondamente integrate possono durare anni con la probabilità che non riparate);
- alla loro capacità d’interoperabilità, l’interazione e le dipendenze tra le cose e con altri dispositivi in rete; alle loro capacità funzionali, l’accessibilità (ad es. interfacce uomo-macchina minimaliste) e di prestazioni di calcolo (ad es. scarsa capacità di elaborazione e archiviazione).
Risultano rischi pertinenti all’estrema mobilità e dinamicità con cui tali oggetti vengono usati e poi sostituiti (se non abbandonati); nonché alle loro medesime applicazioni/usi, in quanto potrebbero emergere situazioni non previste dai loro progettisti/produttori o non gestibili (ad esempio quando le cose vengono riproposte, combinate o personalizzate per nuove applicazioni).
Nel tempo questi oggetti possono, inoltre, cambiare di mano, influenzando il contesto e aumentando la possibilità di configurazioni insicure e divulgazione inappropriata delle informazioni archiviate (ad esempio quando vengono vendute casualmente, perse o scartate).
Lo standard serve ad identificare alcune “fonti di rischio” e “scenari di rischio” in quanto propone una sezione di carattere informativo (par. 6.2), nonché una selezione d’esempio (Annex A IoT monitoring camera sample risk scenario). Le fonti di rischio non vengono tuttavia correlate ai controlli di cui al capitolo successivo.
I controlli di security e privacy della ISO 27400:2022
I controlli sono applicabili durante l’intero il ciclo di vita del sistema IoT e sono identificati in relazione al dominio o alle competenze delle parti interessate, verso le quali sono pertanto indirizzati.
Si tratta 45 controlli di sicurezza e privacy che devono essere messi in relazione al dominio oppure delle competenze della parte interessata.
A titolo esemplificativo, sono inclusi controlli pertinenti la politica per la sicurezza IoT specificati per “IoT service provider” (ISP) e “IoT service developer” (ISD), ma anche per i destinatari d’uso IoT (IU) nel dominio degli utenti (User Domain), verso quali sono indirizzati inerenti controlli per le Impostazioni iniziali del dispositivo e del servizio.
Conclusioni
Lo standard ISO 27400:2022 rappresenta un obiettivo di sicurezza e protezione dei dati personali per il mercato IoT nel suo insieme.
In considerazione dell’ampia diffusione e della varietà con cui tali sistemi IoT sono sviluppati e introdotti nella vita quotidiana, rappresenta un obiettivo di rilievo nel campo di applicazione industriale, per quanto sia imprevedibile poter prevedere, invece, quali progressi in materia di sicurezza e privacy potrebbe produrre al livello consumer.
Per un parere complessivo sullo standard dobbiamo tenere presente il valore che offre ai propri utenti, ponendosi come uno strumento utile per attuare un approccio allineato al rischio, per considerare e valutare i rischi delle informazioni nei contesti, non limitato perciò ai generici scenari indicati in questa prima versione dello standard.
