Oggetti IoT e standard di sicurezza

Gli “oggetti intelligenti” (chiamati anche oggetti IoT) sono sistemi e apparati, sia industriali che commerciali, che hanno “acquisito” la capacità di connettersi ad Internet. Questa facoltà è stata ottenuta mediante l’integrazione di software e componenti di networking all’interno di apparati non solo industriali, ma anche di uso comune: telecamere, sistemi di sorveglianza, sistemi per la gestione della climatizzazione e dell’energia, ecc.ù

Purtroppo, i numerosi vantaggi nell’uso di questi sistemi sono stati controbilanciati da una serie di problematiche di sicurezza, la cui estensione e gravità è diventata evidente solo in tempi recenti. Le cause sono principalmente dovute alla mancata applicazione del principio di “Security by Design”. La maggior parte di questi oggetti è stata progettata prescindendo da ogni requisito di sicurezza logica, sia nello sviluppo del loro software che nell’implementazione della configurazione.

Fortunatamente alcuni paesi, ma soprattutto gli organismi internazionali stanno cercando di rimediare a questa pericolosa situazione. La UE ha avviato il Cybersecurity Act, che prevede fra l’altro la creazione di certificazioni di sicurezza per sistemi e dispositivi critici (es: reti energetiche, auto a guida autonoma ecc.).

Per quanto riguarda gli IoT è invece stato pubblicato da ETSI (www.etsi.org), l’organismo europeo che si occupa di regolamentazioni in ambito ICT, uno standard (ETSI TS 103 645) che riguarda gli oggetti IoT del mondo “consumer”.

Alcune delle semplici, ma importantissime regole previste da questo standard:

• Non dovranno più avere una password universale al momento dell’uscita dalla fabbrica;
• Dovrà essere previsto un update periodico del software;
• I produttori dovranno riportare in modo veloce e pubblico eventuali vulnerabilità di sicurezza;
• Dovranno essere “hardenizzati” e validare i dati in ingresso;
• Comunicare con protocolli sicuri;
• Gestire i dati personali in modo sicuro e aderente alle normative.

Queste regole sarebbero state in grado di prevenire la grande maggioranza degli attacchi contro sistemi IoT, anche industriali.

Le aziende invece devono fronteggiare attacchi molto più sofisticati da parte di cybercriminali tecnicamente molto preparati. Per difendersi da queste minacce è necessario ricorrere ad una nuova generazione di tecnologie difensive, capace di monitorare in modo completamente passivo il funzionamento degli IoT industriali e di investigare i particolari protocolli di comunicazione, tipici del mondo industriale. Queste tecnologie richiedono ovviamente, ed è forse il tassello più importante, competenze molto specialistiche ed un monitoraggio 24×7, dato che ormai i sistemi industriali lavorano senza interruzione.

Questa combinazione di tecnologie all’avanguardia e monitoraggio non-stop è ad esempio disponibile in alcuni dei più moderni SOC (Security Operation Center).