Dal rapporto McKinsey Global Institute del 2013, si evince che diverse tecnologie, alcune già note ed affermate sul mercato, altre meno, saranno “disruptive” nei prossimi anni e modificheranno profondamente il nostro stile di vita, i mercati e l’economia globale. Tra queste tecnologie troviamo quelle mobili, l’Intelligenza artificiale, i big data, la robotica avanzata, l’internet of things (IoT) e molte altre. Tecnologie che, utilizzate singolarmente o combinate tra loro, consentiranno di concepire nuovi modelli di business e servizi innovativi in moltissimi settori merceologici. In tutto questo c’è però il c.d. rovescio della medaglia, ossia nuove tipologie di rischi che, già da subito, ci obbligano a riflettere sugli aspetti di sicurezza e-privacy. In questo articolo, secondo le direttrici di analisi appena accennate, sarà fatto un approfondimento dell’IoTcome fenomeno di convergenza tra il mondo virtuale basato sulla rete Internet e quello degli oggetti fisici “intelligenti” che, interagendo con il mondo esterno,generano, trasmettono e ricevono datiche, analizzati, consentiranno di creare valore aggiunto a supporto dei processi decisionali. Secondo la visione di Goldman Sach, i dispositivi IoT sono caratterizzati da una serie di attribuiti che trovano la loro sintesi nell’acronimo S-E-N-S-E1 – Sensing, Efficient, Networked, Specialized e Everywhere, ossia:

“Sensing” che fa riferimento all’applicazione di sensori (ad es. di pressione, di temperatura, etc.) su ogni “cosa”, con la conseguente capacità di generare grandi quantità di dati;

“Efficient” che fa riferimento all’attitudine di dotare di “intelligenza” ed “efficienza”i processi, sfruttando proprio le informazioni raccolte e analizzate; “Networked” che fa riferimento agli oggetti che sono comunque e sempre connessi alla rete Internet;

“Specialized” che fa riferimento alla specificità degli oggetti IoT e, ancor di più, alle soluzioni realizzate in maniera del tutto “verticale” a differenza di quanto avviene nell’IT tradizionale. Infatti difficilmente possono essere applicate logiche di “reusability” da un progetto o una soluzione IoT concepita per un ambiente Healtcare ad un ambiente industriale;

“Everywhere” che fa riferimento alla pervasività che tali oggetti hanno ed avranno sempre di più nella vita di tutti noi e nei processi aziendali.

Secondo l’Osservatorio Internet of Things del Politecnico di Milano3 il numero di dispositivi intelligenti connessi alla rete nel 2020, sarà dell’ordine dei 25 miliardi; una convergenza, che trasforma radicalmente il modello di comunicazione globale, dove i dati e le informazioni non sono più un prodotto delle sole persone ma anche delle “cose”. Nel settore bancario, per i pagamenti saranno sempre più utilizzati dispositivi “wearable” come ad esempio gli orologi; anche il settore assicurativo farà largo uso di queste tecnologie che consentiranno di verificare lo stile di guida dei propri Clienti per proporre polizze assicurative personalizzate; sempre il ramo assicurativo potrà ottenere altri benefici dall’IoT, associando alla polizza assicurativa della casa o del palazzo, dispositivi capaci di proteggere l’ambiente e le persone (Smart Home& Smart Building). A livello metropolitano l’IoT potrebbe consentire una gestione ottimale del traffico, ad esempio regolando la segnaletica semaforica in base ai dati forniti dalle telecamere, anticipando ai conducenti le alternative possibili alle vie più congestionate verso le quali stanno andando incontro (Smart City). Proprio il settore automobilistico è uno di quelli più in fermento, con applicazioni dedicate al comfort, alla sicurezza e all’infotainment (Smart Car). Di esempi di questo tipo se ne potrebbero fare tanti altri e per diversi settori merceologici nei quali l’IoT sta ormai diventando sempre di più una realtà (eHealth, Smart Factory, Smart Agricolture, Smart Asset Management, Smart Logistic, Smart Metering & Smart Grid, etc.). Fatte queste considerazioni, è evidente come la sostenibilità dei nuovi modelli di business e dei servizi innovativi che sfruttano l’IoT è legata all’esito di alcune importanti sfide che dovranno essere affrontate, come quella della sicurezza e della privacy.

Sicurezza IoT

La dimensione del fenomeno IoT offre una superficie di attacco immensa per chi vuole servirsene per condurre attività illecite nel dominio cibernetico, indipendentemente dalle finalità. La previsione di TrendMicro3, già per il 2017, non è certo confortante; si aspettano infatti malware analoghi a quello Mirai che, utilizzati per compromettere dispositivi IoT, consentiranno attacchi DDoS di centinaia e centinaia di Gbps, simili a quelli avvenuti nell’ultimo trimestre del 2016. Dello stesso avviso è CheckPoint4, sostenendo che molti attacchi sfrutteranno dispostivi IoT ed interesseranno sempre di più gli ambienti industriali. Interessante è quanto emerge dal report sulle minacce di McAfee Labs5 in cui si afferma che nuove tecniche di compromissione dei dispositivi IoT sfrutteranno l’inserimento di codice malevolo direttamente nel firmware, così da renderne molto più difficile l’individuazione. Sempre McAfee fa notare come queste tecniche permetteranno ai malware di godere di eccezionali privilegi, agendo senza limiti anche in virtù del fatto che nel kernel i controlli di sicurezza sono minimali. Spesso i dispositivi IoT vengono compromessi sfruttando la console di amministrazione web del dispositivo, ad esempio protetta da password di default, oppure attraverso una connessione SSH non protetta, per essere utilizzati come proxy e consentire in una fase successiva di sferrare il vero e proprio attacco verso il sistema target d’interesse. Questi problemi di sicurezza in generale dipendono però dall’insieme articolato dei diversi operatori che concorrono alla filiera del servizio IoT e da molteplici fattori riconducibili all’organizzazione, ai processi, alle tecnologie e agli aspetti culturali delle risorse coinvolte. Tra gli operatori, “in primis” troviamo i produttori dei dispositivi intelligenti, a seguire i fornitori dei servizi che quasi sempre coinvolgono installatori e società di integrazione di sistemi hardware e software necessari per realizzare il servizio stesso ed infine tutte le diverse tipologie di utenti che li utilizzano. I produttori di dispositivi tipicamente si preoccupano di realizzare questi oggetti con nuove funzionalità e a basso costo; spesso utilizzano sistemi operativi “embedded”, con una capacità computazionale limitata che ne pregiudica l’aggiornamento e\o il patching, adottano sistemi di autenticazione e autorizzazione insufficienti e forniscono limitate capacità di configurazione. C’è poi il problema dell’interoperabilità di questi dispositivi che, estremamente eterogenei tra loro, utilizzano spesso protocolli di comunicazione diversi. Molti dei problemi citati dovrebbero essere indirizzati oltre che dai produttori, anche da parte delle grandi organizzazioni che, proponendosi come fornitori di servizi, dovrebbero creare una sana pressione nei confronti di chi realizza dispositivi IoT affinché gli aspetti di sicurezza e di privacy, vengano tenuti in debita considerazione; ad esempio attraverso la scelta di produttori, installatori e integratori di sistema che, altamente qualificati, rispondono a determinati requisiti per garantire la sicurezza e la privacy, la pubblicazione di bandi di gara e la predisposizione di contrattualistica che tende ad escludere coloro che non sono in linea con queste caratteristiche. I fornitori di servizi dovrebbero inoltre affrontare i progetti IoT secondo un approccio di tipo risk-based per essere sin dall’inizio consapevole di quali accorgimenti (a livello organizzativo, di processo e tecnologico) devono porre in essere per erogare un servizio sicuro. Per tale ragione anche nei confronti dell’infrastruttura IT (componente di back-end) va postala massima attenzione, sia per garantirne la sicurezza, ma anche la sostenibilità del servizio stesso. Per queste ragioni, il fornitore di servizi IoT dovrebbe attuare sistematicamente, sin dall’inizio, per il rilascio del sistema in produzione, ma anche nelle fasi successive e periodicamente, un vero e proprio programma di sicurezza che include il monitoraggio dei sistemi, l’attuazione di vulnerability assessment e penetration test, inclusa l’interfaccia utilizzata per interagire con gli oggetti intelligenti che spesso sfrutta tecnologie mobili ed in particolare smartphone e\o tablet, etc… Se pur accennato, si desidera enfatizzare come il successo dell’IoT e dei relativi servizi, dipenderà anche da altri fattori; in particolare dall’adeguamento del modello operativo attraverso una trasformazione dell’IT che potrebbe richiedere l’uso di hardware dedicati, software evoluti per l’analisi e la correlazione di grandi quantità di dati, tecnologie di storage e di rete, il tutto senza vincoli e limiti di scalabilità. La sicurezza IoT passa anche per gli utenti finali che, resi più consapevoli, potranno giocare un ruolo attivo nello sviluppo di questa tecnologia, ad esempio attraverso campagne di sensibilizzazione oppure somministrando agli addetti ai lavori specifici programmi di formazione. Infatti, spesso chi utilizza dispositivi IoT non esegue, anche se possibile, quelle configurazioni minimali come il cambio della password di default o l’installazione di protezioni per i dispositivi mobili utilizzati per interagire e scambiare dati con gli oggetti intelligenti, come ad esempio gli antivirus e i firewall locali; addirittura ci sono utenti che, per diverse ragioni, attuano tecniche di rooting o jailbreaking sui propri smartphone e tablet, ignorando completamente che, tali azioni, alterano e compromettono gli schemi di sicurezza predisposti dalla fabbrica, espongono a gravi rischi i dati trattati e possono rendere vulnerabile, a loro insaputa, l’oggetto intelligente che può essere controllato da remoto. Al riguardo si evidenzia come i dispostivi mobili e più in generale il paradigma del Mobile Internet, costituisce un driver tecnologico dell’IoT dal momento che permette a a chiunque, uomini e oggetti, di essere sempre connessi e scambiare informazioni con le applicazioni sviluppate.

Privacy IoT

L’IoT pone grandi problemi per gli aspetti di privacy, molto di più di quelli causati dall’IT tradizionale. Se pur non in maniera esaustiva ne citiamo qualcuno:

  • non sempre gli utenti si rendono conto che hanno a che fare con dispositivi capaci d’interagire con la rete e con questa scambiare dati che possono rientrare nella sfera personale
  • non sempre, anzi quasi mai, hanno il controllo del flusso dei dati; in altre parole non si rendono neanche conto se vengono attivate delle connessioni, verso chi e quali sono i dati trasmessi;
  • spesso c’è una totale mancanza di trasparenza tra i dati grezzi raccolti dal dispositivo, successivamente inviati a soggetti terzi, e quelli eventualmente mostrati all’utente;
  • questi dispositivi, con l’obiettivo di garantire una maggiore autonomia per le batterie, evitano di utilizzare qualunque sistema di cifratura per la trasmissione dei dati
  • le informazioni raccolte da un dispositivo, anche se sono anonimizzate, potrebbero combinarsi con informazioni prodotte da altri dispositivi, consentendo l’identificazione del soggetto.

Tutto questo si traduce nel rischio di divulgare dati personali, se non addirittura sensibili ed in maniera del tutto inconsapevole per l’utente. Un problema di ampia portata che, se è iniziato con l’uso dei dispositivi wearable, tenderà a crescere via via che nel tempo l’IoT sarà utilizzato nei tanti settori già citati all’inizio dell’articolo; per fare un esempio basti pensare alle Smart City e alla grande mole d’informazioni che, raccolte dalle videocamere, potranno essere analizzate con tecniche che consentono di determinare le abitudini e gli stili di vita delle persone. Le risultanze dell’analisi potrebbero mettere in evidenza che la probabilità d’incidente per chi passa in una determinata zona è molto più alta e, avendo acquisito le targhe e i relativi percorsi fatti nel tempo, si potrebbero creare dei profili da riutilizzare a beneficio delle compagnie assicurative all’atto della stipula della polizza auto. Volendo fare altri esempi, potremmo riferirci a tutti quei dispositivi che consentono di raccogliere informazioni sul nostro stato di salute e\o sulle nostre prestazioni sportive, informazioni che in un modo o nell’altro potrebbero far gola sia alle compagnie assicurative, sia alle case farmaceutiche. Senza dilungarci con altri esempi, possiamo affermare ancora una volta che la privacy si pone come una grande sfida per l’IoT. Al riguardo se già precedentemente abbiamo avuto modo di fare alcune considerazioni su come le aziende fornitrici di servizi basati sull’IoT dovrebbero agire per ridurre questo specifico rischio, ricordiamo che in aiuto ci viene anche il nuovo Regolamento UE 2016/679 sulla protezione dei dati personali. Un regolamento con il quale la Commissione Europea intende rafforzare e unificare la protezione dei dati personali entro i confini dell’Unione Europea attraverso una semplificazione e armonizzazione delle diverse leggi Europee adottate dagli Stati Membri e prodotte ai sensi della precedente Direttiva (95/46/CE) che sarà abrogata a partire dal 25 Maggio 2018. Grazie a questo nuovo regolamento, anche i produttori di dispositivi IoT dovranno adeguarsi alle nuove indicazioni previste per la tutela dei dati personali, così da non incorrere nelle sanzioni previste a livello amministrativo. Tra le indicazioni più importanti troviamo:

  • l’obbligo di analizzare il trattamento durante l’intero ciclo di vita dei dati personali, dalla raccolta alla cancellazione, partendo dalla fase della progettazione e adottando misure di carattere tecnico ed organizzativo come la minimizzazione e la pseudonimizzazione, il tutto secondo il c.d. Principio della Privacy by Design;
  • l’obbligo di adottare impostazioni predefinite e configurazioni di default dei sistemi informatici per garantire la tutela dei dati personali con la possibilità di effettuare eventuali modifiche da parte dell’utente solo manualmente ed in una fase successiva rispetto al momento in cui il prodotto viene rilasciato, il tutto secondo il c.d. Principio della Privacy by Default;
  • la valutazione dell’impatto sulla privacy predeterminare la necessità e la proporzionalità del trattamento dei dati personali oltre ai rischi per i diritti e le libertà delle persone fisiche che consentiranno d’individuare, già a partire dalla fase di progettazione, le più adeguate misure di sicurezza da adottare per ridurli a valori accettabili. Possiamo concludere ritenendo che l’azione congiunta del nuovo Regolamento europeo e le pressioni che possono arrivare in diverse forme da parte delle grandi organizzazioni che intendono sviluppare il proprio business con le tecnologie IoT, favoriranno la regolamentazione di questo specifico settore ritenuto strategico per l’economia dell’intero pianeta.

1 http://www.goldmansachs.com/our-thinking/outlook/internet-of-things/ iot-report.pdf

2 https://www.osservatori.net/it_it/osservatori/osservatori/internet-of- things

3 http://www.trendmicro.it/informazioni-sulla-sicurezza/ricerca/previsioni- sulla-sicurezza-2017/index.html

4 http://www.adnkronos.com/magazine/cybernews/2016/11/17/ cloud-mobile-infrastrutture-iot-ecco-gli-obiettivi-degli-hacker-nel_ EBLpk0qO1reGNq3Z3X1TXO.html?refresh_ce

5 https://www.mcafee.com/it/resources/reports/rp-quarterly-threats- jun-2017.pdf

Gianluca Bocci

Gianluca Bocci

Twitter
Visit Us
LinkedIn
Share
YOUTUBE
YOUTUBE