ExperThinkers GDPR GRC Normative Security

Resilienza IoT: Sicurezza e Privacy dei dispositivi connessi

26 Febbraio 2024

Introduzione

L’acronimo IoT (Internet Of Things) indica qualsiasi sistema formato da dispositivi connessi a Internet che analizzano e trasferiscono dati. Negli ultimi anni si è assistito a un’accelerazione della loro adozione in una vasta gamma di settori, dalla domotica alla sanità, dalla logistica all’industria manifatturiera. Basti pensare che i dispositivi IoT rappresentano circa il 54% dei 21,7 miliardi connessi attivi. A ciò si aggiunge una stima secondo cui entro il 2025 ci saranno oltre 30 miliardi di connessioni IoT. Risulta quindi necessario garantire la loro sicurezza e affidabilità in modo da renderli resilienti. Questi concetti sono estremamente importanti poiché questi dispositivi possono essere sfruttati per accedere in maniera illecita ad altri sistemi e ogniqualvolta si aggiunge un dispositivo IoT alla rete, aumenta la potenziale superficie di attacco.

I pericoli dell’IoT

Il rischio maggiore sta nel fatto che in fase di progettazione e realizzazione di tali dispositivi spesso non viene data priorità alla sicurezza, relegandola a elemento secondario. A causa di questo approccio le vulnerabilità dei dispositivi connessi possono rimanere latenti per mesi o addirittura per anni prima di essere individuate e possono essere sfruttate da vari attacchi, come ransomware e attacchi DDoS (Distributed Denial of Service). Per esempio, un malintenzionato può compromettere i dispositivi che utilizzano ancora le password predefinite o individuare i dispositivi con vulnerabilità che non sono state corrette tramite un aggiornamento. Un gruppo di dispositivi connessi può essere utilizzato per creare una botnet ed eseguire un attacco DDoS o come punto di accesso a una rete per sottrarre informazioni sensibili. Uno degli attacchi più famosi è stato quello Mirai del 2016, che prese di mira il provider di servizi DNS Dyn usando una botnet di dispositivi IoT. Dopo aver compromesso i dispositivi che utilizzavano le password predefinite, è stato lanciato un attacco DDoS che ha sovraccaricato i server e bloccato i servizi di molte aziende come Twitter, eBay, New York Times, il sito del Financial Times, Spotify, alcuni circuiti Visa, Netflix e Reddit.

L’OWASP (Open Web Application Security Project) ha sviluppato un progetto specifico per la sicurezza IoT. L’OWASP IoT è stato progettato per supportare i produttori, gli sviluppatori e gli utenti per una maggiore comprensione dei rischi per la sicurezza associati ai dispositivi IoT, in modo da fornire indicazioni su come prevenire o ridurre tali rischi. Le vulnerabilità OWASP IoT Top 10 sulle quali è necessario concentrarsi maggiormente sono:

  1. Password deboli, facilmente indovinabili o preimpostate.
  2. Servizi di rete non sicuri.
  3. Interfacce di sistema non sicure.
  4. Aggiornamenti non sicuri e inaffidabili.
  5. Utilizzo di componenti non sicuri o obsoleti.
  6. Protezione della privacy e dei dati insufficiente.
  7. Trasferimenti e archiviazione dei dati non sicuri.
  8. Cattiva gestione dei dispositivi e dei servizi a essi collegati.
  9. Impostazioni di default non sicure.
  10. Mancanza di misure di “Physical Hardening”.

 

La sicurezza IoT secondo le norme internazionali

Nel panorama internazionale sono presenti norme e linee guida che stabiliscono i requisiti necessari per garantire e migliorare la sicurezza di questi dispositivi:

ISO/IEC 27400

Nel giugno 2022 è stata pubblicata la norma tecnica ISO/IEC 27400:2022 che fornisce delle linee guida utili per la sicurezza informatica e la privacy dei sistemi IoT. Vengono definiti controlli per la sicurezza e la privacy, suddividendoli in base ai destinatari di riferimento, considerando non solo i fornitori e gli sviluppatori, ma anche gli utenti e chi usufruirà di tali sistemi. Le adeguate misure di sicurezza dovrebbero essere implementate durante tutte le fasi del ciclo di vita dei sistemi IoT, a partire dalla progettazione e dallo sviluppo, fino alla messa in opera, alla manutenzione e alla dismissione.

NIST NISTIR 8228

Secondo il documento NIST NISTIR 8228 – Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks del 2019, gli obiettivi principali per gestire e ridurre i rischi cyber dei sistemi IoT devono essere la protezione della privacy delle persone, della sicurezza dei dati (la riservatezza, l’integrità e la loro disponibilità) e la protezione del dispositivo. Anche in questo documento si evince la necessità fare riferimento all’intero ciclo di vita dei dispositivi IoT e suggerisce di identificare i tipi di dispositivi in uso, valutando i rischi in base all’ambiente IoT in cui operano.

GDPR

Riguardo specificatamente alla privacy e alla sicurezza dei dati, è necessario far riferimento al GDPR, il Regolamento generale sulla protezione dei dati. Gli sviluppatori e fornitori di sistemi IoT devono implementare misure di sicurezza robuste per garantire una gestione dei dati personali sicura. Concetto fondamentale per la protezione della privacy è quello della privacy by design. Tramite l’art. 25 del GDPR (e il Considerando 78) viene stabilita l’adozione di politiche e misure volte a soddisfare i principi della protezione dei dati fin dalla fase di progettazione e sviluppo di applicazione, servizi e prodotti che trattano dati personali. Altro concetto fondamentale è quello della privacy by default, delineato sempre nell’art.25, che stabilisce il trattamento, per impostazione predefinita, dei dati solo strettamente necessari per la specifica finalità, in modo che l’interessato riceva un alto livello di protezione.

Cybersecurity Act

Le componenti ICT dei sistemi IoT dovrebbero essere conformi anche al quadro europeo di certificazione della cybersicurezza previsto dal Regolamento UE 2019/881 o Cybersecurity Act. Quest’ultimo prevede la creazione di sistemi europei di certificazione in ambito cyber in modo da attestare che i prodotti, servizi e processi ICT valutati nel loro ambito siano conformi a determinati requisiti di sicurezza. I livelli di certificazione previsti dal Cybersecurity Act sono tre:

  • affidabilità di base: ridurre al minimo i rischi di base noti di incidenti e attacchi informatici. Le attività di valutazione da intraprendere comprendono almeno un riesame della documentazione tecnica;
  • affidabilità sostanziale: ridurre al minimo i rischi noti connessi alla cybersicurezza e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate. Le attività di valutazione da intraprendere comprendono almeno un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note e un test per dimostrare che i prodotti, servizi o processi ICT attuino correttamente le necessarie funzionalità di sicurezza;
  • affidabilità elevata: ridurre al minimo il rischio di attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative. Le attività di valutazione da intraprendere comprendono almeno un riesame per dimostrare l’assenza di vulnerabilità pubblicamente note, un test per dimostrare che i prodotti, servizi o processi ICT attuino correttamente le necessarie funzionalità di sicurezza, allo stato tecnologico più avanzato, e una valutazione della loro resistenza agli attacchi commessi da soggetti qualificati mediante test di penetrazione.

L’obiettivo di questo quadro comune è quello proteggere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati e trattati e le funzioni o i servizi offerti da tali prodotti per tutto il loro ciclo di vita, favorendo il concetto di security by design, quindi affrontare tutte le questioni di sicurezza cyber fin dalla prime fasi di progettazione dei dispositivi.

Cyber Resilience Act

Questo concetto è al centro anche del EU Cyber Resilience Act (CRA), il nuovo Regolamento europeo proposto dalla Commissione nel 2022 e attualmente in discussione nel Parlamento. Questa norma riguarderà sia l’hardware che il software dei dispositivi IoT e si applicherà ai produttori e agli sviluppatori, che diventeranno responsabili della sicurezza dei dispositivi connessi. Vengono affrontati due problemi principali: il basso livello di sicurezza informatica dei prodotti con elementi digitali, manifestato da vulnerabilità diffuse e dalla fornitura insufficiente e incoerente di aggiornamenti di sicurezza per affrontarli; la comprensione e l’accesso insufficienti alle informazioni da parte degli utenti, impedendo loro di scegliere prodotti con adeguate proprietà di sicurezza informatica o di utilizzarli in modo sicuro.

Il Cyber Resilience Act si propone di raggiungere due obiettivi principali: favorire lo sviluppo di prodotti con un basso livello di vulnerabilità al momento della commercializzazione, da parte dei produttori durante l’intero ciclo di vita; educare gli utenti sulla sicurezza informatica per renderli più consapevoli nella scelta di hardware e software. A questi obiettivi generali se ne aggiungono altri, più specifici. In primo luogo, si vuole assicurare l’attenzione dei produttori al tema della sicurezza fin dalla fase di progettazione e per tutto il ciclo di vita del prodotto (tramite un supporto continuo), proponendo un quadro chiaro sulla cybersicurezza per agevolare la conformità. Infine, un altro obiettivo è quello di aumentare la trasparenza sulla sicurezza dei prodotti e consentire ad aziende e utenti di utilizzare i prodotti in modo sicuro.

La norma stabilirà requisiti minimi di cybersecurity per i prodotti digitali, imponendo l’obbligo di produrre una valutazione di conformità. La mancanza di quest’ultima porterà a sanzioni per i produttori, impedendo la commercializzazione di prodotti che non soddisfano i requisiti essenziali di sicurezza informatica. Ciò spingerà i produttori e gli sviluppatori di dispositivi IoT a integrare misure di sicurezza nelle fasi iniziali del processo di progettazione e a fornire aggiornamenti continui per garantirne la sicurezza e la resilienza nel tempo. Di fatto, nell’ambito del CRA e dei tre livelli di certificazione del Cybersecurity Act, i dispositivi IoT potranno essere certificati solo se soddisferanno gli standard di sicurezza specificati, come la protezione dei dati, la sicurezza della rete e la comunicazione sicura. Inoltre, la certificazione garantirà agli utenti finali che il dispositivo IoT è stato valutato in modo indipendente per i rischi per la sicurezza e ha soddisfatto i requisiti di sicurezza necessari

US Cyber Trust Mark

Sulla scia del Cyber Resilience Act europeo è stato proposto negli USA dalla Federal Communications Commission (FCC) il Programma US Cyber Trust Mark, volto a fornire ai consumatori maggiore fiducia nella sicurezza dei dispositivi intelligenti che scelgono di utilizzare. Una delle caratteristiche principali di questo programma è la creazione di un logo che sarà applicato ai prodotti che soddisfano i criteri di cybersecurity stabiliti dal NIST (password predefinite uniche e robuste, la protezione dei dati, gli aggiornamenti regolari del software e la capacità di rilevare incidenti di sicurezza, etc.).

Conclusioni

Da questa analisi si evince che sono le scelte e le azioni dei consumatori, degli sviluppatori e dei fornitori che, combinate tra loro, garantiscono la resilienza dei dispositivi IoT. Le migliori pratiche di sicurezza in mano agli utenti riguarderanno l’aggiornamento dei dispositivi, l’utilizzo di password “forti” e dell’autenticazione multi-fattore, l’inventario di tutti i dispositivi connessi e l’abilitazione dell’accesso corretto per ciascuno di essi. Al momento dell’acquisto, è buona prassi che vengano scelti dispositivi e sistemi IoT che forniscono informazioni di contatto per il supporto, in modo tale da avere una garanzia sull’uso sicuro dei dispositivi. Dopo avere acquistato un dispositivo o un sistema IoT, l’utente dovrebbe applicare in modo corretto le impostazioni iniziali, per garantire il corretto funzionamento anche dal punto di vista della sicurezza. Infine, quando un dispositivo IoT non viene più utilizzato, è importante disattivarlo e revocare tutte le credenziali, per evitare possibili rischi di sicurezza, e quando un dispositivo deve essere smaltito o riutilizzato, devono essere rimossi tutti i dati al suo interno, per garantire la protezione delle informazioni.

Alla base di tutto ciò ci devono essere però i concetti, citati precedentemente, di security by design e security by default da un lato e privacy by design e privacy by default dall’altro. I primi due fanno riferimento a un approccio per lo sviluppo software e hardware che mette la sicurezza al centro dell’intera fase di progettazione e di quelle successive in modo che, fin dal primo utilizzo, un dispositivo IoT offra la migliore protezione possibile. A questo è necessario collegare i principi di privacy by design e privacy by default, i quali rendono la protezione dei dati parte integrante dell’intero processo di sviluppo e del successivo utilizzo dei dispositivi.

La responsabilità della resilienza dei sistemi IoT è quindi condivisa: lo sviluppo di questi dispositivi deve avere al centro la sicurezza e la privacy, che devono essere garantite successivamente con un monitoraggio e supporto continuo, a cui deve seguire il corretto utilizzo da parte degli utenti.

 

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info@consulthink.it

Recent posts
Guardiani Virtuali o Occhi Indiscreti? Il ruolo dell'Intelligenza Artificiale tra Innovazione Tecnologica e Privacy
Analisi del caso CrowdStrike Falcon
Previous post 20 anni di Consulthink
Next post CyberSecurity e Marketing: come salvare il Digital Marketing buttandone metà
Ultime News
Guardiani Virtuali o Occhi Indiscreti? Il ruolo dell'Intelligenza Artificiale tra Innovazione Tecnologica e Privacy
26 Febbraio 2024
Analisi del caso CrowdStrike Falcon
26 Febbraio 2024
Tracciamento occulto: quando le App diventano spie digitali della tua Privacy
26 Febbraio 2024
Sharenting: quando l’entusiasmo dei genitori supera i confini digitali
26 Febbraio 2024
Assegnazione medaglia silver EcoVadis a Consulthink S.p.A.
26 Febbraio 2024