L’Internet of Things è in continua evoluzione: saranno 4,9 miliardi gli oggetti che si avvarranno dello IoT entro fine 2015, il 30% in più rispetto al 2014. A fronte di questo scenario saranno fondamentali soluzioni di security specifiche per quest’area.
L’Internet delle Cose (o, in inglese, Internet of Things – IoT) continua a crescere. Secondo Gartner saranno 4,9 miliardi gli oggetti che si avvarranno dello IoT entro fine 2015, il 30% in più rispetto al 2014. Questa cifra toccherà i 25 miliardi entro il 2020. Tutto questo porterà produttori e utenti a ripensare il problema della sicurezza dei dispositivi IoT. Di recente, la US Federal Trade Commission ha evidenziato i rischi associati ai sistemi e dispositivi interconnessi; la Defense Advanced Research Projects Agency (DARPA), agenzia governativa del Dipartimento della Difesa degli Stati Uniti, ha reso noto che attacchi sono stati realizzati a sistemi IoT di imprese di area automotive mentre una società del settore IT ha rilevato che molti end-nodes IoT sono insicuri, con il 70% dei dispositivi valutati che trasmettono dati tramite servizi network non criptati. Oggi l’Internet of Things è al centro di ulteriori innovazioni nelle tecnologie wireless e mobile. Un ruolo fondamentale, per lo IoT, è costituito dai dati. Tutto questo implica molti cambiamenti nella sicurezza in area IT. Un primo mutamento riguarda la confidenzialità dei dati; importante, quindi, è assicurarsi chi deve avere accesso a essi e chi no. Un secondo mutamento coinvolge l’integrità. Determinante è permettere che i dati generati passino lungo il network senza essere individuati o modificati. Un terzo mutamento si riferisce all’autenticità: importante è essere sicuri che i dati provengano da una fonte conosciuta e autentica. Molti lavoratori dovranno, quindi, cambiare la propria visuale riguardo ai concetti di raccolta, analisi, immagazzinamento e distribuzione dei dati.
Una trasformazione dell’ecosistema tecnologico
Lo sviluppo dello IoT porterà a una trasformazione dell’ecosistema tecnologico. Lo IoT permetterà sempre più alle persone e agli oggetti nel mondo fisico così come ai dati e agli ambienti virtuali, di interagire tra loro creando ambienti “smart”, come sistemi di trasporto intelligente, smart cities, sistemi intelligenti per l’area sanitaria, per il mondo energetico. Alcune applicazioni IoT sono fortemente collegate a infrastrutture sensibili e servizi strategici quali la distribuzione di acqua, di elettricità e le attività di sorveglianza. Altre applicazioni possono gestire informazioni sensibili, sulla salute o sulle preferenze delle persone in termini di acquisto, di localizzazione e movimento. L’accettazione di sistemi IoT che gestiscono i dati sensibili dipenderà dalla garanzia della protezione dei dati e della privacy delle persone, dalla sicurezza che saranno in grado di assicurare i sistemi e i processi. L’interazione di persone, oggetti intelligenti, ecosistema tecnologico e processi evidenzia la complessità dell’Internet of Things; di conseguenza, anche la sicurezza IoT diventa complessa, considerando anche che ci saranno oggetti sempre più in grado di riconoscere eventi e cambiamento nel loro ambiente e di percepire e reagire in modo autonomo senza intervento umano.
Sicurezza in evoluzione
L’interazione delle persone con un ecosistema tecnologico richiede la protezione della loro privacy. Allo stesso modo, l’interazione con processi di controllo necessita di massima sicurezza; i processi devono assicurare affidabilità e realizzare gli obiettivi per cui sono progettati. Un focus intenso, a livello di sicurezza, dovrà essere posto sugli oggetti in movimento. In questo caso la sicurezza IoT dovrà muoversi con autonomia nel percepire le minacce e reagire agli attacchi. Gli IT leader dovranno proteggersi meglio contro i rischi di sicurezza introdotti dalla crescente interazione tra tecnologia e mondo fisico. Le aziende di tecnologia e telecomunicazioni stanno collegando cose molto diverse tra loro, come smartphone, auto, sensori industriali e dispositivi familiari a Internet, abilitando l’intercomunicazione e il trasferimento dati autonomo machine to machine (M2M). I primi elementi di cambiamento si sono manifestati con l’adozione diffusa di tag RfId (radio frequency identification), ma molte trasformazioni devono ancora accadere. Oggi la gestione dei tag è più sicura di un tempo, ma, dal momento che lo IoT è evoluto, sarà necessario che anche la sicurezza correlata allo IoT possa evolvere. I rischi alla privacy sorgeranno a livello di oggetti entro lo IoT e di frammenti di dati aggregati relativi ai loro servizi. Il confronto di elementi dati multipli può rapidamente diventare informazione personale dal momento che gli eventi sono revisionati nel contesto location, tempo, ricorrenza. Questo è uno degli aspetti che coinvolgono i Big Data. I professionisti della sicurezza dovranno considerare i potenziali rischi della privacy associati all’intero insieme di dati. Da prendere in considerazione è anche il percorso dei dati preso dal provider. Presto molti contatori smart meter potrebbero non inviare i loro dati direttamente a un Internet service gateway, ma spedirli a un hub locale di confronto dove quello che è immagazzinato è caricato in massa. Questo processo ha però un rischio: quello di porre i dati sensibili in luoghi insicuri.
Sicurezza di livello oggetto
Spesso le best practice di sicurezza hanno evidenziato che la perdita di sicurezza fisica è equivalente a una violazione logica. Inizialmente, si è ritenuto che le funzionalità di sicurezza non potessero essere poste entro l’oggetto ma che dovessero risiedere entro i Web service. Gli obiettivi si focalizzeranno invece sull’integrità del messaggio e la comunicazione di sicurezza. Con l’evoluzione della tecnologia, tuttavia, le tecnologie di sicurezza si muoveranno maggiormente verso l’obiettivo per diventare, in seguito, embedded nell’oggetto. La focalizzazione su una infrastruttura condivisa potrà valorizzare il cloud computing considerando elementi quali i cambiamenti attorno a identificazione e autenticazione, accesso ai dati, limiti legislativi, leggi di accesso allo stato dei dati e responsabilità della copertura. I Chief Information Security Officer (CISO) avranno bisogno di partner in grado di fornire servizi cloud che possono assicurare adeguati controlli per ogni aspetto del servizio, in grado di rispettare le leggi e i regolamenti locali. La sicurezza cloud, tuttavia, è migliorata, grazie all’innovazione che ha portato ad ambienti di attività fidati (trusted execution environments), vere e proprie aree di processo accessibili solo a livello amministrativo. Queste aree sicure potranno proteggere i dati da problemi e minacce, da clonazioni non autorizzate o manomissioni. Quest’ultimo è un rischio chiave: per esempio, potrebbero esserci clienti che interferiscono con i loro smart meter, per ridurre il loro conto energetico.
Cambiare le priorità di security
Con l’Internet delle Cose la tecnologia diviene sempre più intrecciata con il mondo fisico; anche per questo i problemi di sicurezza aumentano. Nel caso di sistemi di accensione automatici per l’auto, per esempio, i motori potevano partire in assenza di un reale authenticator. Dal momento che un computer ora gestisce molto a livello del motore di un’auto, potrebbero verificarsi possibili scenari di disastro. Dal controllo industriale, ai dispositivi industriali e alle infrastrutture gli scenari possono diventare sempre più complessi e le conseguenza più gravi. Per questo motivo è importante considerare le necessità del cliente, le operazioni industriali e le infrastrutture perchè la sicurezza delle informazioni diventi prioritaria. I primi due stadi dello IoT, che coinvolgono gateway e consolidatori esisteranno facilmente su infrastrutture e protocolli concorrenti. Il vero IoT, tuttavia, coinvolgerà Ipv6, la versione dell’Internet Protocol che segue a Ipv4, che introduce nuovi servizi e semplifica la configurazione e la gestione delle reti IP e si distingue particolarmente per l’ampio spazio di indirizzamento: su questo protocollo i Web Engineer stanno lavorando. L’adozione di Ipv6 richiederà tempo ma potrebbe essere al momento il solo pezzo del puzzle IoT che sta approcciando la standardizzazione. Opportunità per l’innovazione e la standardizzazione esistono a differenti livelli.