CYBERSECURITY E IOT DUE MONDI INCOMPATIBILI?

CYBERSECURITY E IOT: DUE MONDI INCOMPATIBILI? 

La sicurezza delle informazioni deve permeare qualsiasi elemento, bene o dato aziendale nella sua essenza. L’idea, ancora oggi troppo diffusa, che qualsiasi problema di sicurezza possa essere risolto con un apposito prodotto hardware o software è terribilmente sbagliata. L’approccio iniziale verso la sicurezza deve sempre consistere nell’adeguare i processi. Solo in un secondo tempo nell’affiancare i necessari prodotti per supportare i processi opportunamente disegnati per la sicurezza. Con l’incremento del numero di dispositivi “connessi”, ci si chiede se Cybersecurity ed IoT siano due mondi incompatibili tra di loro. Parlare di concetti legati alla sicurezza nel mondo IOT, infatti, richiama sensazioni e presupposti che conducono direttamente a sfatare alcuni capisaldi dell’informatica di vecchia concezione.

Il progressivo cambiamento introdotto dalla digitalizzazione diffusa, dall’inserimento di dispositivi IOT, dai Big Data e dai sistemi di controllo della produzione integrati nei sistemi di gestione, hanno portato a convergere due mondi che stavano separati non solo fisicamente ma anche culturalmente: IT e OT. In azienda e in fabbrica le due cose sono sempre state rigidamente separate. Due mondi cresciuti con velocità diverse, che non trovavano alcuna necessità di comunicare e quando lo facevano era spesso attraverso “intermediari” che ne impedivano la reciproca contaminazione. In questo modo si è andata affermando la falsa credenza che i sistemi di “Fabbrica” con i loro protocolli chiusi e molto spesso proprietari fossero immuni da problematiche viceversa molto presenti nei reparti IT cioè la sicurezza dei dati e delle informazioni.

CHE COSA SIGNIFICA SICUREZZA DEI DATI?

Per fare chiarezza riassumiamo i concetti che stanno alla base della definizione: ”sicurezza dei dati”, perché molto spesso vi è una certa confusione.

  • – Disponibilità dei dati – i sistemi digitali devono essere sempre disponibili, più grande sarà la diffusione, più necessari saranno per la vita di ciascuno e più sarà rilevante la loro disponibilità.
  • – Integrità dei dati – dati integri garantiranno la precisione e l’esattezza delle informazioni. Dati corrotti segneranno irrimediabilmente le decisioni o le elaborazioni successive introducendo variabili di errore impensabili.
  • – Dati Affidabili – le fonti dei dati dovranno essere affidabili, ben governate, ben gestite e costantemente verificate (no fake).
  • – Dati Riservati – i dati potranno essere acceduti solo da chi ne ha autorizzazione e necessità sia esso uomo o altra macchina o sistema, dovranno essere essenziali e non essere in eccedenza, gli accessi ai dati dovranno essere verificati, gestiti, controllati.

L’insieme di questi elementi, che troppo spesso vengono visti nella loro singola entità dimenticando viceversa che vanno visti come insieme imprescindibile, costituiscono il fondamento di un sistema sicuro e affidabile dove le informazioni sono verificate, gli accessi governati, gli account protetti e le informazioni rese in continuità senza interruzioni o default.

CYBERSECURITY E PERSONE

Quando si parla di sicurezza delle informazioni un aspetto importante riguarda le persone. Cosa c’entrano le persone in un ambito dove sono sistemi autonomi e automatici a dare informazioni? Uno dei presupposti dell’IOT è quello di essere indipendente dalle persone. Sensori, BUS di campo, strumenti di misura, macchine elettromedicali, sistemi automatici di controllo di prossimità, di frequenza, di velocità, accelerometri, saturimetri, …non prevedono interazione con gli umani per fornire dati. Nulla di più presuntuoso ed errato: il fattore umano è determinante nella stragrande maggioranza degli incidenti di sicurezza informatica su qualsiasi tipo di sistemi.

Password di accesso banali e mai modificate, configurazioni ridondanti, accessi da remoto con strumenti non certificati, reti fisiche non gestite, nodi di interconnessione sulle macchine senza possibilità di segmentazione o verifica di chi sia connesso, accessi consentiti ai fornitori delle macchine in promiscuità con la rete aziendale, firmware non aggiornati, sistemi di monitoraggio mal configurati…potrei continuare per molto spazio senza ripetermi.

Gli scenari di rischio sono molteplici e vanno tutti affrontati e verificati con una serie di aggravanti che vanno evidenziate. Il sensore IOT per sua natura tende ad essere semplice, con poca necessità di essere manutenuto. A seconda di dove viene installato e collegato “il contesto” diviene un elemento essenziale di altissimo rischio ai fini della sicurezza dei dati ma ahimè anche delle persone.

Pensiamo a tutti i sensori di segnalazione impiegati sulle reti di trasporto pubblico, alta velocità compresa, ai sistemi di controllo delle centrali, dei bacini idroelettrici, ai sistemi di guida autonoma, alle apparecchiature elettromedicali. Spesso il principio di ciò che viene collegato è il medesimo, in fondo si tratta di strumenti di misura, quindi dati elementari, pochi Kbit informazioni basilari che poi andranno in input a sistemi complessi che li dovranno analizzare e utilizzare per assumere delle decisioni, attivare attuatori o semplicemente alimentare una dashboard o fornire informazioni sul corretto funzionamento di dispositivi mobili.  Facile intuire che se questi dati venissero corrotti o manipolati tutto ciò che ne risulterebbe a valle sarebbe corrotto e manipolato.

Un chiaro esempio di questa osservazione è rappresentato da incidenti che sono entrati prepotentemente nel novero dei nostri pensieri. Il 6 febbraio 2020 il treno Frecciarossa 1000 AV9565 da Milano a Napoli deragliava nei pressi di Livraga (Lodi) per uno scambio con il cablaggio interno montato al contrario per cui il dato: “Chiuso” risultava viceversa “Aperto”. Per effetto di questo errore il treno a 300km orari deragliava causando la morte di due persone (i macchinisti) e il ferimento di 31 persone, per fortuna molto poche rispetto la capacità di trasporto del convoglio. In questo caso il sistema di controllo dell’Alta velocità, avendo ricevuto un dato di “Scambio Chiuso”, aveva dato ok al treno di procedere alla massima velocità. Ma lo scambio era aperto. Questo è uno dei tanti casi di dato in input errato con conseguente dato in output errato.

I RISCHI DELL’IOT

Prendiamo in esame altri aspetti specifici per valutare i rischi introdotti nel contesto IOT:

  • – Superficie di attacco: la crescita esponenziale del numero di dispositivi connessi direttamente alla rete Internet corrisponde a una paritetica crescita della cosiddetta “superficie di attacco”, ovvero della base di nodi di rete che possono essere oggetto di attacchi cyber. La maggioranza degli attacchi, infatti, non è diretta verso uno specifico nodo, ma tenta di colpire quanti più nodi vulnerabili si riescano a raggiungere tra tutti quelli connessi alla rete.
  • – Obsolescenza hardware/software: i dispositivi embedded o cablati nei più svariati ambienti dall’asfalto stradale alle dighe in montagna, dal cemento degli edifici alle linee ferroviarie, sono dotati di risorse limitate e sono aggiornati meno frequentemente rispetto ai dispositivi normali. Ciò è dovuto a fattori molteplici: trattandosi di dispositivi molto numerosi e a bassissimo costo, il loro aggiornamento costituisce un’operazione spesso troppo onerosa e complessa per poter essere eseguita frequentemente. Inoltre, qualora tali dispositivi siano soggetti a certificazione, l’aggiornamento del software certificato ne richiede una nuova e ciò costituisce un motivo per cui spesso se ne ritarda l’aggiornamento.

 

COSA FARE UNA VOLTA CAPITA L’ENTITÀ DEL RISCHIO ASSOCIATO ALL’IOT? 

Il NIST (National Institute of Standards and Technology – USA) indica le 4 principali domande che ci si deve porre per poter individuare correttamente l’ambito di utilizzo delle tecnologie IoT, l’esposizione ai rischi e i relativi interventi di mitigazione:

  • – Quali capacità/funzionalità hanno i dispositivi IOT?
  • – A quali rischi di sicurezza e/o privacy sono esposti o espongono l’organizzazione?
  • -Quali sfide devo intraprendere per ridurre/attenuare questi rischi?
  • – Come potrebbe l’organizzazione indirizzare queste sfide?

A luglio 2019 il NIST ha pubblicato la guida “Core Cybersecurity Feature Baseline for Securable IoT Devices: A Starting Point for IoT Device Manufacturers”, NISTIR 8259 (DRAFT). In essa indica sei raccomandazioni sulle funzionalità di sicurezza che i produttori di dispositivi IoT devono tener presenti e che gli utilizzatori possono valutare al momento dell’acquisto. Tra queste le più rilevanti sono:

  • – Device Identification: ogni dispositivo deve poter essere identificato univocamente attraverso un seriale o un indirizzo univoco quando è connesso alla rete;
  • – Device Configuration: un utente abilitato deve poter modificare le configurazioni software del dispositivo IoT, oltre eventualmente a quelle del firmware;
  • – Sicurezza delle informazioni: deve essere evidente come il dispositivo IoT protegge i dati, che memorizza e invia sulla rete, da accessi non autorizzati o da tentativi di modifica non autorizzata.

Sempre il NIST, nel rapporto NISTIR 8228 “Considerations for Managing Internet of Things (IoT)  Cybersecurity and Privacy Risks”, identifica tre obiettivi di mitigazione del rischio di alto livello per la  gestione della sicurezza informatica e dei rischi per la privacy dei dispositivi IoT: proteggere la sicurezza del dispositivo, proteggere la sicurezza dei dati e proteggere la privacy delle persone.

Infine, il rapporto fornisce “raccomandazioni per affrontare le sfide della mitigazione della sicurezza informatica e della privacy per i dispositivi IoT”. Le raccomandazioni sono correlate e strutturate: comprendere i rischi, attuare politiche e processi per far fronte a tali rischi e aggiornare tali politiche e processi come necessario

L’IMPORTANZA DELL’ASSESSMENT

Mi sembra quindi molto chiaro come, approcciando sistemi complessi che utilizzino sensori, dispositivi, accessori, macchine, sia necessario effettuare “a priori” una approfondita e molto seria analisi dei rischi e quindi un’altrettanto approfondita e seria valutazione d’impatto sulla sicurezza generale e complessiva del sistema di Fabbrica, della Banca, dell’Ospedale, della Multiutility.

Questo concetto di analisi che molti chiamano “Assessment” si rende necessario anche tutte le volte che vengono introdotte variabili, varianti, nuove funzionalità all’interno del sistema. Molto spesso questo tipo di approccio viene completamente “snobbato” perché ritenuto troppo complesso o troppo costoso sia in termini monetari che in termini di risorse umane. Si compie in questo modo un drammatico errore di valutazione che purtroppo, oltre a generare danni seri all’organizzazione, ultimamente e sempre più spesso interseca in misura drammatica anche con la salute, l’incolumità fisica, morale e personale degli individui.

CONCLUSIONE

Più si diffonderà l’utilizzo di sistemi autonomi per regolare gli aspetti essenziali della nostra vita e più sarà alto il rischio che questi sistemi siano attaccati per assumerne il controllo a scopi fraudolenti ma anche a scopi politici e strategici.

Per questo motivo è importante elevare il livello di consapevolezza nei cittadini, negli utenti e utilizzatori dei sistemi. Diventa quindi essenziale fornire soprattutto alle giovani generazioni gli strumenti culturali ed etici per esigere che i sistemi, gli oggetti, i sensori siano conformi alle normative e adeguatamente protetti. Solo in questo modo si compirà il paradigma per il quale la tecnologia contribuirà in misura significativa a migliorare la qualità della vita delle persone.

Se questo articolo ti ha colpito, visita il sito Fabbrica Predittiva.com e ordina una copia della nostra pubblicazione con Harvard Business Review “Storie di Fabbrica Predittiva”. Nel libro troverai altri articoli e approfondimenti su una varietà di temi legati alla Fabbrica Predittiva. Altrimenti, contattaci per iniziare insieme per il tuo percorso verso la Fabbrica Predittiva!

———-

A cura di:

Giancarlo Turati, VP nazionale Piccola Industria di Confindustria dal 2016 e AD di Fasternet, società che opera nell’ambito dei servizi IT.

Altri Articoli:

Condividiamo periodicamente articoli, casi di studio e novità con la nostra community:
iscriviti anche tu per ricevere gli aggiornamenti!