Se la sicurezza, in tutte le forme che l’idea copre e nelle quali va considerata, è un fattore determinante per qualsiasi applicazione informatica, nel caso dell’IoT il concetto assume, se possibile, un valore ancora superiore. Come ha detto Jim Heppelmann, Ceo di Ptc, in un recente evento dedicato appunto alla strategia IoT della società: “La posta in gioco (sulla sicurezza) non è mai stata così alta. Se una falla nel sistema di una banca vi può far perdere dei soldi, un baco nel sistema di manutenzione di un jet vi può far perdere la vita”. E non è un esempio portato al limite per far colpo sui presenti. Paradossalmente infatti, proprio per ridurre il rischio di errori umani, gestione e manutenzione dei sistemi più complessi e delicati, dai jet alle supercar, dagli impianti chimici ai sistemi militari, saranno sempre più automatizzate sulla base dell’analisi dei dati scambiati in una piattaforma IoT.
Ma nell’IoT, alla crescita del ruolo della sicurezza si accompagna anche la crescita della sua complessità. E comunque sempre potenzialmente “perforabili”. Le cause esterne che determinano la crescita della complessità sono due: l’eterogeneità dei dati e la sensibilità degli stessi.
La prima è intrinseca alla natura stessa dell’IoT, che connette tra loro e ai sistemi analitici e transazionali dell’azienda elementi (sensori, attuatori, segnalatori di stato e altro) che si scambiano dati strutturati secondo modelli diversi sia per tipologia funzionale sia per piattaforma tecnologica adottata/sviluppata dal fornitore. Pur essendo, ovviamente, un punto chiave per la sicurezza delle operazioni sui dispositivi connessi e riconoscendo l’importanza che tali dati non giungano in mani estranee (dai concorrenti sino, al limite, ad eventuali terroristi o sabotatori), non possiamo qui approfondirne gli aspetti perché sono problemi essenzialmente tecnologici e strettamente legati al tipo specifico di progetto o iniziativa.
La seconda causa di complessità, che discende in parte dalla prima, sta nel fatto che per mezzo degli elementi esterni di cui sopra, i sistemi (specialmente analitici) dell’azienda si trovano a ricevere e gestire dati che non riguardano solo i dispositivi o sistemi connessi ma anche, direttamente o indirettamente, l’uso che ne fa l’acquirente/utente. Relativi quindi a persone chiaramente identificate dal codice del prodotto/servizio monitorato, quando non da nome e cognome. Ora, già il fatto di essere riferibili a un singolo individuo rende queste informazioni soggette alle norme per la protezione della privacy e dei dati sensibili. Che si devono poter applicare, in nome del diritto di recesso, anche qualora la persona in causa ne abbia concesso esplicitamente l’uso. Inoltre, riguardano cose spesso davvero private, come ad esempio i dati sulla condizione fisica raccolti a scopo di sport, fitness e sanità (campi d’applicazione dell’IoT ai quali si guarda con molto interesse) che possono far gola a diverse realtà, dalle industrie farmaceutiche alle assicurazioni.
Compliance e protezione
Non staremo a spendere parole sugli effetti negativi che possono colpire un’impresa a seguito di una perdita, o peggio di un’intrusione, nei dati personali dei clienti e dei partner (l’IoT riguarda anche queste figure) perché molto abbiamo scritto in proposito. Ricordiamo solo che si va incontro a perdite economiche che investono l’intera catena del valore dati dagli effetti diretti sulla clientela attuale (reclami, rimborsi, mancati acquisti, passaggio alla concorrenza, cause legali…) e indiretti su quella potenziale, per la cattiva immagine diffusa dalle reti sociali e dal passaparola. Siccome per evitare questi rischi si possono attuare pratiche di protezione dati in gran parte indipendenti dal settore d’industria e dai progetti IoT avviati, vediamo cosa Forrester suggerisce di fare nel recente studio CIOs: Drive Internet-Of-Things Strategies. Forward With Effective Data Protection Practices.
Per attuare una strategia di sicurezza il Cio deve lavorare su più fronti. Come si può capire, un valido data management è fondamentale e soprattutto in un paese come l’Italia, dove le leggi sulla privacy sono più rigide che altrove, è importante ai fini della compliance.
La prima regola è quella di raccogliere solo i dati veramente necessari, con un approccio orientato non alla tecnologia ma allo scopo del progetto. La disponibilità di potenti sistemi di analisi dei big data porta spesso alla pratica del “raccogliere ora perché forse servirà poi”. Il concetto non è in sé sbagliato: spesso informazioni utili al business si estraggono correlando e analizzando dati disponibili ma inutilizzati. Per la sicurezza però è pericoloso: come si fa a stabilire policy valide se non si sa bene come il dato verrà usato?
Idealmente, i dati vanno archiviati ed elaborati secondo cluster logici e possibilmente fisici distribuiti attraverso il sistema e le procedure di accesso vanno allineate agli scopi, nel senso di dare accesso a un determinato data-set solo a quei dipendenti e/o partner che ne abbiano effettivo bisogno. Questa regola limita i rischi dovuti ad errori e leggerezze degli utenti interni (statisticamente la prima causa di data-leaking) e va ancor più rigidamente applicata qualora, per un qualsiasi motivo, si vogliano o debbano tenere tutti i dati in un solo grande data warehouse.
In sede organizzativa, il Cio dovrà indirizzare gli aspetti tecnici e legali della protezione dei dati lavorando con i responsabili della sicurezza It e delle politiche di privacy, due ruoli emergenti nella visione data-centrica che deve caratterizzare l’Iot e che possono essere affidati a figure distinte (Ciso e Cpo-Chief Privacy Officer, rispettivamente) o a una stessa persona. Insieme stabiliranno le policy di sicurezza relative a ciascun prodotto e a ciascun servizio a questo collegato, che le applicazioni dovranno poter attuare. Facciamo un esempio: siccome un prodotto capace di tracciare parametri fisici, come un banco fitness, può anche essere usato da altre persone oltre l’acquirente (che per il sistema IoT è l’utente finale), bisogna che l’app permetta di configurare user account personalizzabili su livelli di privacy diversi. Per esempio: più alti per un capofamiglia con polizze sulla vita; più bassi per un ragazzo iscritto a un gruppo sportivo.
Concludiamo osservando come la velocità con la quale l’IoT si diffonde e si traduce in molteplici modelli di business renda difficile agli enti regolatori (ruolo che in Italia è in buona parte assunto dall’Unione delle Camere di Commercio) stabilire regole che non siano rapidamente superate dalla realtà. Forrester ha raccolto nella tabella pubblicata nella pagina precedente che fissa una ‘check-list’ tratta dalle migliori pratiche osservate sul campo e pensata in modo particolare per le imprese operanti nell’Unione Europea. Può aiutare il Cio a realizzare un’efficace protezione dati che consideri sistemi, processi e persone.
Figura 1 – The Data Protection Checklistfonte: Forrester Research, maggio 2015
