Le sfide della sicurezza IoT e le precauzioni per migliorarla

Non c’è alcun dubbio sul potenziale che le applicazioni IoT possono offrire per migliorare l’efficienza commerciale e la qualità del servizio. Con l’impiego di un grande numero di sensori e attuatori connessi, ogni società può raccogliere enormi quantità di dati per realizzare un miglioramento continuo, che include processi di controllo remoto per ottimizzare l’impiego del personale ed aumentare la resa, fare il tracciamento degli asset per aumentare l’efficienza operativa e anticipare i requisiti di manutenzione negli apparati remoti per minimizzare il down-time e utilizzare le risorse in modo più efficiente, solo per fare qualche esempio.

Come strumento di supporto alle attività commerciali e alla gestione ambientale, l’IoT è solo all’inizio di questa evoluzione; in futuro ci si può aspettare che emergano molte applicazioni che oggi neppure immaginiamo. La fantasia di chi deve sviluppare nuove applicazioni sarà probabilmente eguagliata solo da quella degli hacker, che cercheranno di piegare l’IoT ai loro scopi. Le aziende dovranno avere la massima fiducia nelle proprie applicazioni basate sull’IoT se desiderano rispondere tempestivamente agli eventi sul campo e prendere le corrette decisioni di business a lungo termine. Esse dovranno fidarsi completamente dei dati raccolti dalle unità connesse. È quindi estremamente importante eliminare il rischio di accessi non autorizzati a questi dati, per prevenire la loro violazione o forme di sabotaggio. Un malintenzionato che riuscisse ad accedere a un dispositivo connesso o ad intercettare i dati potrebbe provocare gravi danni vendendoli o pubblicandoli illegalmente, alterandoli per dare false informazioni o per mandarli in una direzione indesiderata, o caricando codici contraffatti per sostituire o bloccare un dispositivo, o accedere a più importanti asset aziendali, come videocamere di sicurezza, sistemi di controllo di accessi, drive contenenti informazioni confidenziali, o altri analoghi sistemi. Se qualcuno di questi interventi avesse successo, le vittime potrebbero riceverne un grave danno finanziario o altri inconvenienti, come ad esempio una sensibile riduzione di reputazione o la perdita di opportunità di mercato.

Per loro natura, i dispositivi IoT operano spesso in modo autonomo per lunghi periodi in locazioni remote, senza regolari ispezioni sulle firme o su eventuali manomissioni. Inoltre, la loro connessione a Internet offre agli hacker l’opportunità di lanciare attacchi in rete senza doversi avvicinare al dispositivo. Il software che gira in Internet per i dispositivi connessi e vulnerabili è già disponibile in rete. Inoltre, Gartner -nel medesimo rapporto in cui avanza previsioni sulla futura pervasività dell’IoT- afferma che entro il 2020 ci saranno 5 miliardi di dollari sul mercato nero per sensori e dati video contraffatti, che potrebbero essere usati per compromettere l’integrità dei dati dei dispositivi IoT legittimi. Queste minacce sono, ovviamente, reali e molto pericolose. Da parte loro, le aziende conoscono bene le principali aree di vulnerabilità che ostacolano l’adozione di soluzioni di business basate sull’IoT.

Gli operatori intervistati da 451 Research hanno espresso preoccupazione sulle debolezze dell’infrastruttura IoT e, in particolare, sul lato rete, inclusi gli endpoint IoT e i loro collegamenti con gli altri dispositivi e con la rete centrale. Le maggiori preoccupazioni riguardano la sicurezza fisica degli endpoint, l’autenticazione dei dispositivi connessi, la sicurezza del software applicativo e le connessioni tra i dispositivi IoT e la rete centrale. La sicurezza della memorizzazione dei dati IoT e la vulnerabilità connessa al rifiuto degli attacchi al servizio vengono considerati meno importanti rispetto ai problemi dovuti alla maggiore vulnerabilità dei dispositivi edge e dell’infrastruttura.

Contesti operativi di sicurezza e relative soluzioni

Un contesto operativo di sicurezza connesso all’IoT rappresenta un’enorme sfida. I dispositivi sono non solo vulnerabili agli attacchi fisici e collegati in rete, ma anche dotati di risorse limitate, se pensiamo ai cicli di elaborazione, ai consumi e alla memoria, a supporto della sicurezza elettronica. Una sicurezza adeguata non deve essere appariscente, per non ostacolare gli utenti autorizzati né ridurre l’efficienza o il valore commerciale dell’applicazione. Per contribuire alla messa in opera di un adeguato livello di sicurezza, compatibilmente con i maggiori vincoli del caso in esame, è necessario valutare per ogni singola situazione le potenziali minacce cui sono soggetti i vari tipi di dispositivi e le possibili implicazioni di una violazione, per poi sviluppare una coerente politica di sicurezza e le linee guida delle migliori soluzioni.

L’IoT Security Foundation ha studiato a fondo i dispositivi e le violazioni alla sicurezza dei dati, i loro effetti sulla privacy, le attività commerciali, le infrastrutture e la sicurezza, per poi definire un insieme di classi di conformità nell’ambito della sicurezza. Questa analisi può servire per garantire che i dispositivi IoT siano progettati con un livello di sicurezza adeguato all’uso previsto e utilizzati in modo corretto dai programmatori della rete. La Tabella 1 descrive queste classi di conformità in relazione all’integrità dei dispositivi e all’affidabilità dei dati.

Inoltre, ogni approccio alla sicurezza IoT deve partire dalla consapevolezza che gli hacker cercheranno sempre di attaccare i collegamenti più deboli della rete e utilizzeranno come entry point o come punti di passaggio per accedere a risorse di valore più elevato e/o entrare nelle reti centrali i nodi più piccoli ed economici. Si rende necessario un approccio strutturato nella progettazione dei dispositivi e nell’organizzazione delle reti, per garantire che tutte le tecniche di sicurezza disponibili siano valutate e implementate in funzione delle necessità e delle possibilità del sistema host. Le misure di sicurezza applicabili ai dispositivi IoT comprendono:

-Il riconoscimento delle manomissioni
-Una sicura memorizzazione dei dati
-Una sicura trasmissione dei dati
-L’autenticazione
-Un boot sicuro
-Un sicuro aggiornamento del firmware
-La sicurezza nella produzione dei dispositivi
-Una sicura dismissione dei nodi finali IoT e una corretta gestione dei relativi asset (dati)
-Politiche e procedure di sicurezza

Queste considerazioni coprono l’intero ciclo di vita del dispositivo IoT (figura a lato), dalle prime fasi della progettazione del sistema embedded -come la scelta fra un microcontrollore con co-processore crittografico integrato o un SE (Secure Element) hardware discreto- fino alla produzione, alla messa in funzione e alla relativa manutenzione sul campo, per terminare con la sua rimozione dalla rete e il suo smaltimento al termine della vita. Anche quando si utilizza un rigoroso contesto operativo conforme alla situazione specifica, come quello sviluppato dalla IoT Security Foundation, con una chiara conoscenza delle tecniche di sicurezza basate sull’hardware e il software applicabili, rimane il fatto che i dati IoT sono soggetti a un’enorme varietà di problemi inerenti la sicurezza tra gli endpoint di rete e il core, tanto nel caso di una rete aziendale privata quanto nel Cloud.

È disponibile un’ampia gamma di soluzioni di sicurezza offerte da diversi produttori, ma gli sviluppatori necessitano di un supporto per valutare, scegliere e combinare fra loro gli elementi selezionati in un insieme coerente, atto a proteggere nel miglior modo possibile ogni eventuale punto di vulnerabilità. La figura in apertura suggerisce una strategia di sicurezza nel progetto di un endpoint IoT per proteggerlo dagli attacchi fisici e online. Arrow Connect soddisfa queste esigenze offrendo tutte le risorse necessarie e combinando fra loro le soluzioni di gestione dei dispositivi IoT, ivi inclusi gli endpoint e i gateway. Esso unisce un SDK (Software Development Kit) per gateway ed endpoint al progetto del dispositivo per la gestione nel Cloud. Comprende inoltre soluzioni per una sicura fornitura di dispositivi da usare in rete con la relativa autenticazione, le chiavi gestionali di sicurezza, l’identificazione del dispositivo, la sua gestione, le priorità degli endpoint, le modalità di raggruppamento e le gerarchie, l’ingestione dei dati, la loro memorizzazione, il loro accesso e l’aggiornamento del software OTA (Over-The-Air).

Pubblica i tuoi commenti