La sicurezza nell'IoT: una sfida

L'Internet delle cose (IoT) non è un paradigma nuovo: è stato definito per la prima volta da Kevin Ashton nel 1999, quando ha illustrato le varie possibilità dell'RFID (identificazione a radiofrequenza) nella gestione della supply chain. Tuttavia, il rapido sviluppo delle tecnologie dell'informazione e della comunicazione (TIC), nonché la digitalizzazione e la globalizzazione hanno portato, mutatis mutandis, l'IoT a un livello di interconnessione senza precedenti. Ieri l'IoT era ancora un Se un tempo era un concetto tecnico e isolato, oggi è un concetto complesso e sociale, Una tendenza trasversale e onnipresente su cui la società fa sempre più affidamento. Con una crescita esponenziale, i dispositivi sono connessi a Internet o incorporati nel tessuto sociale; si va dall'IoT di consumo ai sistemi industriali e alle infrastrutture critiche come webcam, storage e modem collegati alla rete, tecnologie operative e altro ancora. come i sistemi SCADA e i satelliti.

L'IoT ha già trasformato molti settori e aree

Ogni settore dell'economia trae vantaggio dall'IoT. Per la gestione del rischio, l'IoT può fare la differenza per i seguenti motivi: In primo luogo, l'IoT genera un'enorme quantità di dati che possono essere utilizzati prima, durante e dopo un incidente per inviare informazioni dettagliate e affidabili sullo stato dei processi delle infrastrutture al servizio giusto, che può evitare il malfunzionamento dell'intero sistema. Durante un incidente, gli ecosistemi IoT possono fornire preziose informazioni di prima mano ai servizi di emergenza a livello tattico e operativo. Queste informazioni sullo stato attuale creano un quadro migliore della situazione e possono supportare la gestione della crisi durante e dopo l'incidente. Utilizzando l'analisi dei Big Data, gli ecosistemi IoT possono anche essere combinati con i processi di mappatura delle crisi per acquisire informazioni e scenari mirati per migliorare la preparazione.

In secondo luogo, droni, sensori, attuatori, satelliti e dispositivi di sminamento controllati a distanza hanno due cose in comune: possono essere considerati dispositivi IoT ed essere dispiegati in aree inaccessibili o insicure per fornire informazioni sullo stato delle cose sul terreno.

In terzo luogo, gli ecosistemi IoT possono migliorare l'automazione dei sistemi industriali e di altri processi ripetitivi nelle infrastrutture critiche, riducendo i rischi associati all'errore umano e migliorando la sicurezza con una riduzione dei costi.

Gli ecosistemi IoT stanno portando a una crescente interdipendenza tra tutti i settori della società, in particolare tra i settori industriali e le infrastrutture critiche e molto critiche. Secondo le previsioni, il numero totale di dispositivi connessi crescerà fino a 75,44 miliardi entro il 2025. L'IoT è una tendenza da prendere in seria considerazione, in quanto rappresenta sia un'opportunità sistemica che un rischio.

Da un lato, l'IoT crea un elevato valore commerciale grazie ai numerosi vantaggi che può apportare alla società. L'IoT aumenta anche la connettività, la raccolta e l'analisi dei dati (Big Data) e l'automazione e il controllo (sistemi senza pilota). Questo rappresenta un grande potenziale per migliorare la gestione del rischio, che può aumentare la sicurezza, generare ricavi e risparmiare sui costi.

Conflitto di obiettivi tra costi e sicurezza 

Ma anche se gli effetti positivi dell'Internet degli oggetti sono di vasta portata, i suoi svantaggi non devono essere sottovalutati. A causa della mancanza di regolamentazione, l'industria spesso investe in misure con un ritorno diretto sull'investimento, mentre le misure di sicurezza e la gestione del ciclo di vita sono spesso trascurate. Di conseguenza, il numero di dispositivi IoT mal protetti e non protetti distribuiti nella società è salito a un numero allarmante. Ciò è stato dimostrato dall'attacco DDoS alla botnet Mirai IoT nell'ottobre 2016: L'incidente, se fosse andato a buon fine, avrebbe potuto causare interruzioni di rete in tutta Europa.

La regolamentazione, la standardizzazione e la certificazione dell'IoT sono ancora immature. In effetti, non esistono standard universalmente accettati. Pochi Paesi integrano l'IoT nelle loro strategie nazionali di cybersecurity o di cyber-defence e non esistono regolamenti obbligatori o giuridicamente vincolanti né a livello nazionale né a livello internazionale. Il Regno Unito è l'unica nazione ad aver pubblicato una raccolta di "codici di condotta" relativi all'IoT. A livello internazionale, Enisa, ITU e NATO hanno pubblicato alcune raccomandazioni sull'IoT. La normativa più vincolante in materia di IoT è l'Accordo di standardizzazione della NATO, che tuttavia non si concentra esclusivamente sull'IoT. Di conseguenza, appare evidente la necessità di una regolamentazione, soprattutto per quanto riguarda i sistemi industriali e le infrastrutture critiche, per garantire la sicurezza, la protezione e la responsabilità degli ecosistemi IoT.

Progettazione, processi produttivi e gestione del ciclo di vita

La scarsa regolamentazione e il compromesso tra costi e sicurezza dell'IoT hanno portato, tra l'altro, a processi di progettazione e produzione non sicuri e non protetti e a una gestione carente del ciclo di vita. Ciò solleva le seguenti domande: In primo luogo, i vecchi ecosistemi IoT sono compatibili con i moderni sistemi IT e, in caso affermativo, quanto tempo ci vorrà prima che diventino obsoleti?

Infatti, a causa dell'insufficiente gestione del ciclo di vita, è difficile prevedere con esattezza per quanto tempo un dispositivo IoT possa essere utilizzato senza subire malfunzionamenti. In secondo luogo, se un dispositivo IoT deve essere sostituito, chi è responsabile della sostituzione e chi sostiene i costi finanziari aggiuntivi? Il dispositivo IoT sostituito sarà sicuro come quello più vecchio? E la sua durata di vita?

Questi problemi sono particolarmente importanti per i sistemi industriali e le infrastrutture critiche, che utilizzano numerosi dispositivi IoT e non possono permettersi guasti e devono essere sempre operativi.

Attacchi hacker 

L'attacco a Mirai è solo il più noto, ma la tendenza mostra che gli attacchi IoT sono aumentati notevolmente dal 2016. Il governo giapponese ha quindi deciso, nel gennaio 2019, di testare tutti i dispositivi IoT presenti sul territorio giapponese, in particolare per garantire le Olimpiadi estive del 2020 a Tokyo, recentemente rinviate al 2021. In effetti, i dispositivi IoT possono essere utilizzati in modi diversi e per scopi diversi: Spionaggio, disturbo, criminalità, hacktivismo, ecc. Poiché i dispositivi IoT sono già presenti in tutte le infrastrutture critiche, gli ecosistemi IoT, se non adeguatamente protetti, sono potenzialmente un punto di ingresso per attività criminali e pericolose e quindi una vulnerabilità sistemica.

Malfunzionamenti e obsolescenza 

La suddetta gestione insufficiente del ciclo di vita dell'IoT può portare a un malfunzionamento dei dispositivi, dei sensori o degli attuatori collegati e all'invio di informazioni errate o inesistenti. Ciò è particolarmente inaccettabile nel contesto della protezione civile e delle infrastrutture critiche e può avere conseguenze epocali. Per esempio: quali sarebbero le conseguenze se il ricevitore installato tra le rotaie del Sistema europeo di controllo dei treni 2 (ETCS 2), utilizzato anche in Svizzera, non funzionasse correttamente e trasmettesse al treno informazioni sbagliate?

L'affidabilità dell'IoT

L'affidabilità dei dispositivi IoT è strettamente legata alla loro progettazione, alla gestione del ciclo di vita e ai processi di produzione: un ecosistema IoT è considerato affidabile quando esso e i suoi dispositivi sono progettati e fabbricati in modo da essere secure-by-design e la gestione del loro ciclo di vita è incentrata sulla sicurezza. Tuttavia, a causa della mancanza di regolamentazione e per le ragioni già menzionate, questo caso ideale è oggi inesistente. La gestione del rischio deve quindi affrontare il fatto che quasi tutti i dispositivi IoT in uso sono potenzialmente inaffidabili.

Mancanza di consapevolezza e conoscenza dell'IoT 

In primo luogo, il mercato competitivo e il rapido sviluppo delle TIC costringono le industrie dell'IoT a diversificare e innovare. Il problema è che spesso le aziende non hanno le conoscenze e l'esperienza necessarie per produrre dispositivi IoT sicuri. Ciò avviene soprattutto quando aziende affermate entrano per la prima volta nel mercato dell'IoT (ad esempio, automobili semiautomatiche, frigoriferi connessi, ecc.)

In secondo luogo, la mancanza di consapevolezza contestuale sui dispositivi IoT distribuiti può portare a malfunzionamenti sistemici o allo sfruttamento di vulnerabilità contestuali. L'implementazione di una rete di dispositivi IoT in una casa, in un ospedale, in una fabbrica o in una rete elettrica nazionale richiede diverse considerazioni sulla sicurezza.

La contestualizzazione è di grande importanza per comprendere le minacce e le vulnerabilità specifiche che colpiscono ogni ecosistema IoT. Ad esempio, il cantone di Basilea Città ha deciso di acquistare nuove auto di pattuglia della polizia e ha optato per le auto iperconnesse di Tesla.

Tuttavia, Tesla è stata in grado di accedere a quasi tutte le informazioni delle auto della polizia, compreso il geo-tracking, le condizioni del motore, le telecamere, ecc. Questa grave falla nell'integrità dei dati è dovuta principalmente alla mancanza di consapevolezza e di contestualizzazione della persona responsabile dell'acquisto.

Svizzera: impatto sulla gestione del rischio

Grazie alla sua posizione al centro dell'Europa occidentale, la Svizzera è uno snodo centrale per diverse aree critiche: trasporto del gas (gasdotto Marsiglia-Cressier-Rotterdam), rete elettrica, trasporto merci, ecc. A causa di queste dipendenze sistemiche, un guasto alle infrastrutture critiche in Svizzera potrebbe potenzialmente portare a un effetto domino in tutta l'Europa occidentale. Per questo motivo, l'utilizzo di dispositivi IoT nelle infrastrutture svizzere non deve essere trattato con leggerezza. La priorità dovrebbe essere quella di regolamentare l'IoT, soprattutto perché in Svizzera non esistono ancora norme o regolamenti in materia. Nel migliore dei casi, ci sono le raccomandazioni del Reporting and Analysis Centre for Information Assurance (Melani) e di Prophylax, un programma di prevenzione e sensibilizzazione del Federal Intelligence Service. Tuttavia, queste raccomandazioni sono rivolte principalmente ai consumatori e non ai produttori, ai venditori o ai fornitori di servizi. Per sottolineare l'urgenza di regolamentare il traffico informatico in Svizzera, questo settore dovrebbe essere meglio integrato nella strategia di sicurezza informatica della Svizzera. Inoltre, la standardizzazione e la regolamentazione sollevano la seguente domanda: la Svizzera dovrebbe seguire la regolamentazione IoT appena esistente e quindi aumentare la sua interoperabilità con i paesi circostanti? Oppure la Svizzera dovrebbe sviluppare i propri standard e regolamenti, aumentando così la propria sovranità?

Autore

Alice Crelier, ricercatrice, progetto di difesa informatica, gruppo di ricerca sui rischi e la resilienza, Centro per gli studi sulla sicurezza (CSS), Politecnico federale di Zurigo.