Internet of Things e sicurezza, come risolvere eventuali problemi

La condizione dell’affermarsi dell’Internet delle cose è una sicurezza provata sia a livello di rete sia di dispositivo. Questa esigenza si scontra con il fatto che i dispositivi, anche per questioni di basso costo e alti volumi, sono progettati per bassi consumi, piccole dimensioni e connettività limitata, oltre che capacità elaborativa e memoria funzionali a compiti ridotti. Ma per quanto limitati siano i compiti, questi oggetti devono prendere decisioni (autenticazione, affidabilità applicazioni…) senza il supporto umano. La sicurezza, per essere efficace, deve accompagnare l’intero ciclo di vita del dispositivo dall’ideazione fino al suo inserimento nell’ambiente operativo. Ma tutto ciò comporta investimenti significativi su oggetti a basso costo e basso margine, una sfida innanzi tutto per i produttori ma anche per gli utenti finali

Pubblicato il 05 Mag 2016

Nuove Prospettive

Tutti sono d’accordo sul fatto che la sicurezza e la garanzia della privacy sono le condizioni indispensabili per l’affermarsi dell’IoT, nei più svariati ambiti. Si tratta di una grande opportunità per le imprese di tutti i settori, per le persone e per l’ecosistema dei vendor di tecnologia, dall’hardware fino ai service provider. La sicurezza necessaria rappresenta un salto rispetto all’evoluzione che pure ha avuto, a causa della pervasività di Internet, per garantire la privacy personale, le transazioni finanziarie e le minacce alle infrastrutture critiche.

La nuova criticità deriva dal fatto che non si ha a che fare con la protezione dei dati o della privacy, ma ci possono essere conseguenze ben più gravi in caso di interferenze in una fabbrica automatizzata dove i Plc (Programmable Logic Controller) comandano i sistemi robotizzati tipicamente integrati nell’infrastruttura It aziendale, in sistemi che controllano reattori nucleari, nelle auto intelligenti e a guida autonoma, per i dispositivi medici.

Figura 1 - Ecosistema provider del mondo IoT - fonte: GartnerFigura 1 – Ecosistema provider del mondo IoT – fonte: Gartner

Le caratteristiche dei dispositivi IoT impediscono di applicare direttamente l’esperienza degli ultimi 25 anni nel campo della sicurezza, senza un ridisegno sostanziale. L’uso di black list è ad esempio impossibile perché richiede troppo spazio. I dispositivi embedded sono infatti progettati per bassi assorbimenti di energia, con connettività, capacità di memoria e di elaborazione limitate ai compiti per cui sono progettati. La sicurezza deve essere tanto maggiore in quanto i dispositivi sono “senza testa”, non c’è infatti un controllo umano, ma devono decidere autonomamente se accettare un comando o eseguire un compito.

Quali organizzazioni sono pronte l'Internet delle cose?

Secondo un’indagine condotta da Forrester, il 47% delle organizzazioni che si apprestano ad adottare soluzioni IoT hanno sperimentato violazioni alla sicurezza delle loro applicazioni industriali, il 44% in sistemi in ambito sanitario e la stessa percentuale in attività di customer service. Queste esperienze creano esitazione da parte dei decision maker che considerano i rischi per la sicurezza e la privacy in aumento con l’adozione di soluzioni IoT, tenendo conto che si aggiunge un problema di scala di diversi ordini di grandezza superiore per la numerosità dei dispositivi e che ogni entry point è un potenziale punto di ingresso per gli attacchi.

Inoltre, molto spesso i device si trovano in locazioni remote, difficilmente accessibili e controllabili fisicamente.

Figura 2 - Importanza della sicurezza nell’adozione di IoT e delle sfide poste - fonte: ForresterFigura 2 – Importanza della sicurezza nell’adozione di IoT e delle sfide poste – fonte: Forrester

La percezione che emerge dall’analisi è che la sicurezza in ambito IoT richieda un livello di innovazione che potrebbe impiegare anni per arrivare. Un terzo degli intervistati considera le preoccupazioni sulla privacy un fattore importante almeno per i prossimi 5 anni. Ma nella graduatoria la sicurezza viene collocata al primo posto (76%) sia in termini di importanza sia di livello di sfida (58%).

D’altra parte, i decision maker nelle imprese ritengono di non avere gli strumenti per affrontare una sfida che pone problematiche sostanzialmente diverse rispetto alla sicurezza It tradizionale.

La maggior parte delle aziende considera difficile comprendere i nuovi protocolli di comunicazione, i diversi tipi di hardware e oscuri sistemi operativi, ritenendo la sicurezza IoT una sfida insuperabile in assenza di adeguate competenze interne. Così molte organizzazioni riconoscono di aver bisogno di aiuto nell’implementazione e ricercano l’assistenza di terze parti con expertise nel fornire infrastrutture It e soluzioni di sicurezza affidabili e scalabili. Ma pur senza le necessarie competenze per realizzare in autonomia le soluzioni IoT, c’è la consapevolezza che la sicurezza non può essere costruita a posteriori, ma deve essere parte integrante del dispositivo, così come degli strati superiori.

La sicurezza a 360 gradi, a partire dai dispositivi

È necessario un approccio multilivello che parte dal momento in cui il dispositivo viene acceso, definisce un riferimento di elaborazione affidabile e lega questa affidabilità a qualcosa di immodificabile. La sicurezza deve essere perseguita in tutto il ciclo di vita, dal progetto iniziale all’ambiente operativo.

Tutte le seguenti fasi devono essere dunque coinvolte:

  • avvio sicuro
  • controllo degli accessi
  • autenticazione del dispositivo
  • firewall
  • aggiornamenti e patch

I controlli di sicurezza dovrebbero essere introdotti nel sistema operativo, una caratteristica che dovrebbe essere a carico di chi progetta e sviluppa i sistemi per mitigare le minacce e garantire una piattaforma sicura.

Secondo un’analisi McKinsey, i tempi e l’ampiezza della crescita di IoT dipendono dalla velocità con cui i player sapranno superare alcuni ostacoli, fra i quali la sicurezza è uno dei più importanti.

Gli analisti stimano che l’attuale base installata sia compresa fra 7 e 10 miliardi di dispositivi connessi, che potrebbero crescere fra il 15% e il 20% l’anno per raggiungere un numero di 26-30 miliardi per il 2020. Questi dati potrebbero contribuire a stimolare anche la domanda di microcontrollori, sensori, connettività, memorie…

Mentre il mercato IoT matura e aumenta come scala, l’ecosistema dei vendor dovrebbe decidere di cercare nuovi approcci, per risolvere le sfide. Al momento siamo in piena tempesta e non è ancora presente un modello di business definito, ma sembra destinato a modificarsi il posizionamento nella catena del valore dei diversi protagonisti. Saranno i produttori di semiconduttori, i software provider, gli attori del cloud o dei big data a estrarre il maggior valore?

Nell’attesa di verificare quali saranno le applicazioni e i mercati verticali sui quali investire, il settore dei semiconduttori sembra esitare nell’effettuare investimenti in ricerca preferendo adattare prodotti esistenti.

In ogni caso la capacità di fornire risposte convincenti capaci di garantire la sicurezza su tutto lo stack sarà determinante, sia creando ampie aggregazioni attraverso M&A o attraverso alleanze, dove potrebbero avere un ruolo da protagonisti nuove entry company.

Ma il problema fondamentale a livello di dispositivi è, come sottolineano alcuni esperti intervistati sul tema, che si tratta di oggetti a basso costo, basso margine, bassa qualità con una quantità di vulnerabilità.

Qualcuno ha calcolato che servirebbe 1 dollaro per rendere sicuro ciascuno dei miliardi di oggetti connessi sparsi nel mondo, che aumentano ogni giorno e includono auto intelligenti, dispositivi di fabbrica, strumenti per la cucina, Tv e orologi intelligenti, macchine fotografiche, giocattoli elettronici, mediacal device, wearable… Chi sarà disposto a sostenere questo impegno anche se tutti concordano che la sicurezza e la fiducia del rispetto della privacy dei dati è la condizione per la crescita del mercato del IoT ai ritmi che il potenziale promette?

Mentre Gartner prevede la crescita dall’1% nel 2015 al 20% nel 2020 la quota di budget It per la sicurezza dedicato all’IoT, una risposta da considerare è la proposta di Gianmarco Baldini, Scientific Officer presso la Commissione Europea: un “Ethical Design in the Internet of Things”, pensato per definire un framework che garantisca la privacy attraverso la consapevolezza e il coinvolgimento degli utenti e identifica gli stakeholder e i processi da mettere in campo.

Per maggiori informazioni: IoT, il mercato in Italia e gli strumenti del fare

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4