Le tecnologie IoT si avvalgono di software e sensori per la creazione e raccolta di dati, scambiando informazioni mediante la connettività a reti. Generalmente, lo scopo è il miglioramento dell’efficienza, l’aumento dei benefici economici e la riduzione degli sforzi umani.
Le vulnerabilità e le minacce nell’IoT, come ci spiega un approfondito articolo di Cybersecurity360, Internet of things, le soluzioni ai pericoli più comuni nelle aziende, sono prettamente relative all’utilizzo del dispositivo stesso, alle singole tecnologie utilizzate e alla versione del software: le modalità d’uso di questi prodotti si riflettono in scelte di sviluppo differenti, sia in termini di software sia di hardware. I software lavorano in modo specifico in base al produttore e alla generazione del prodotto; ciò rende difficile lo sviluppo di applicazioni coerentemente compatibili con i diversi ecosistemi tecnologici.
Le principali vulnerabilità di un dispositivo IoT sono presenti nella componente software che interagisce con la Rete, che dovrebbe seguire le ferree regole di sicurezza delle applicazioni, al fine di evitare gli errori più banali e le serie problematiche derivanti, utilizzando framework e plug-in che implementino i controlli di sicurezza e pianificando eventuali aggiornamenti o correzioni.
Nella fase di architettura non viene, tuttavia, spesso considerata la superficie di attacco che presentano i servizi di rete del dispositivo. Un buon sviluppo deve prevedere la rilevazione delle attività dannose oltre ad una reazione proattiva a un attacco.
Altro elemento da considerare con attenzione, la scelta dei protocolli utilizzati e dei metodi di cifratura: utilizzare protocolli sicuri per trasmettere dati cifrati è la soluzione più sicura, ma bisogna comprendere che i dispositivi IoT generalmente non dispongono di molta capacità computazionale, quindi, per limiti fisici, la combinazione delle due metodologie non può essere possibile.
Generalmente le distribuzioni IoT sono applicate su un’infrastruttura preesistente, o hanno un ciclo di implementazione estremamente lungo. Per mantenere la sicurezza dei dispositivi nel tempo è fondamentale pianificare patch e aggiornamenti.
Esiste una metodologia sicura e standardizzata per l’installazione degli aggiornamenti, basata su hash e firma a chiave pubblica, il cui scopo è di permettere ai dispositivi di riconoscere l’autenticità dell’aggiornamento, dato che questi avvengono quasi unicamente mediante canali non attendibili. I dispositivi dovrebbero sempre convalidare i certificati crittografici e scartare gli aggiornamenti non attendibili.
Altre soluzioni per semplificare la complessità di protezione associata ai sistemi IoT, approfondite nell’articolo Sicurezza nell’Internet of Things: le tecnologie chiave di protezione di ZeroUnoWeb, potrebbero essere:
- soluzioni di sicurezza delle API IoT;
- blockchain applicata alla IoT;
- tecniche di hardening dei dispositivi IoT;
- controlli sulla privacy dell’utente per i dispositivi IoT;
- soluzioni di segmentazione della rete IoT;
- soluzioni PKI per IoT;
- soluzioni di identificazione delle minacce IoT.
La progettazione dell’IoT dovrebbe essere compatibile con la sicurezza futura, poiché la crittografia, le metodologie e le tecnologie di sicurezza evolvono. Un prodotto IoT dovrebbe essere in grado di essere aggiornato ai nuovi standard, ma essendo ad oggi l’obsolescenza troppo rapida, il mantenimento e l’evoluzione di un prodotto è troppo costoso per il produttore. Si rende necessario, pertanto, rivedere quelle che ad oggi sono le metodologie ed i protocolli attualmente utilizzati nell’implementazione delle tecnologie IoT, a favore di una maggior grado di sicurezza che possa essere mantenuto adeguato nel tempo.
A cura di Marco Rizzi, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
