La Sicurezza Urbana e la figura del Senior Security Manager
7 Settembre 2021
Le 6 domande chiave per la comprensione della ISO 45003
21 Settembre 2021

Internet of Things (IoT) & sicurezza: non solo Organizzazioni ma anche Smart Home

Introduzione

Il processo di digitalizzazione ed innovazione in corso scaturito dalla pandemia ci pone di fronte ad uno scenario caratterizzato da una sempre maggiore dipendenza da Internet e dall’Internet of Things (IoT). È quanto mai necessario ed urgente identificare i potenziali rischi, le minacce e le vulnerabilità che l’IoT comporta dal momento che la maggiore adozione di questa tecnologia sta creando una domanda di misure di sicurezza informatica sempre maggiore. Inoltre – secondo quanto pubblicato dalla società globale di ricerca Statista – i dispositivi connessi all’IoT, entro il 2025, saranno oltre 75 miliardi, con un aumento di quasi tre volte il numero riscontrato nel 2019. Tale numero considerevole di dispositivi connessi condividono dati critici e, pertanto è quanto ma urgente mitigare i rischi ad essi correlati, soprattutto considerando il fatto che essi possono oramai verificarsi anche nella quotidianità di tutti noi, all’interno delle nostre abitazioni sempre più digitalizzate, i.e. le cosiddette Smart Home o case intelligenti.

I mercato della sicurezza dell’Internet of Things (IoT)

Qualsiasi cosa, oggigiorno, dagli asset di un’organizzazione all’auto e agli utensili domestici, può essere interconnessi grazie all’Iot e convertirsi in dispositivi “intelligenti”; ne consegue che la sicurezza informatica è diventata argomento scottante a tal punto da essere argomento di dibattito da parte dei Governi a livello mondiale e da generare la promulgazione di leggi atte a garantire la creazione di dispositivi sicuri “by design”.

Gli attacchi a prodotti “intelligenti”, che si connettono a Internet – o addirittura si collegano ad essa autonomamente – continuano senza sosta e offrono agli hacker una moltitudine di nuove superfici di attacco e si prevede che anche per tutto il 2021 si verificheranno tentativi di hackeraggio che sfruttano le vulnerabilità dei dispositivi IoT. Inoltre, le soluzioni 5G oramai ampiamente disponibili faciliteranno i criminali che saranno maggiormente in grado di abusare degli endpoint per i propri scopi. I protocolli come HTTP (Hypertext Transfer Protocol ) e API sono solo alcuni dei canali su cui si basano i dispositivi IoT e che gli hacker possono intercettare.

L’IoT e le Smart Home: piani di continuità domestica

L’IoT alimenta le Smart Home tramite i dispositivi programmabili e gli elettrodomestici intelligenti che sono connessi a Internet e possono essere facile bersaglio da parte degli hacker per ottenere i dati del consumatore oltre a rendere la casa estremamente vulnerabile.

Se un piano di continuità aziendale per la gestione dell’IoT aiuta un’azienda a continuare le operazioni quando sorgono problemi. Ne consegue che progettare un “piano di continuità domestica” può risultare altrettanto strategico per i sistemi IoT di un’abitazione. Ovvero, nella vita quotidiana, all’interno delle nostre Smart Home, dobbiamo applicare la cultura della resilienza, quale calibrata sintesi di gestioni dei rischi collegati alla tecnologia dell’IoT e, al tempo stesso, garantire la continuità operativa dei nostri elettrodomestici, strumentazioni e applicazioni che ci aiutano a gestire le nostre abitazioni.

L’unico modo per proteggersi da una potenziale minaccia consiste nel diventare più consapevoli dei dispositivi domestici intelligenti installati, ovvero, acquisire la conoscenza del nostro contesto abitativo in termini di oggetti e applicazioni smart.

Una Smart Home se da un lato può garantire vari benefici in termini di risparmio energetico e funzionalità di sicurezza aggiuntive per la famiglia, dall’altro lato, può convertirsi in una fonte di rischi che devono essere gestiti e mitigati. Pertanto, la pianificazione della “continuità operativa domestica” diventa strategica indipendentemente dal fatto che una casa disponga o meno di un sistema di Smart Home completo o semplicemente di una raccolta di dispositivi intelligenti, valutando la sicurezza dei prodotti e dei sistemi. Di seguito un elenco delle cose che ognuno di noi consumatori dovrebbe sapere per rendere sicura una Smart Home in un’ottica di gestione dei rischi e continuità operativa “domestica”:

  • Valutare le caratteristiche di sicurezza del dispositivo smart
  • Modificare i nomi dei router predefiniti prima di installare o utilizzare dispositivi smart – Rinominare i router con un codice alfanumerico univoco, ove applicabile, che non sia associato ad alcuna informazione personale, ricordando che qualsiasi nome assegnato dal produttore fornisce agli hacker informazioni che possono aiutarli a infiltrarsi nella rete.
  • Creare password complesse e abilitare l’autenticazione a due fattori – Per ogni dispositivo creare password complesse utilizzando ad es. numeri casuali, lettere o caratteri speciali. È necessario usare password diverse per ogni dispositivo o account, così quando un account viene compromesso, gli altri sono al sicuro.  Inoltre, può risultare utile considerare l’utilizzo di un gestore di password – difficile da attaccare e in grado di monitorare la frequenza con cui si cambiano le password – per generare e memorizzare password casuali difficili da decifrare.

A fronte del proliferare degli attacchi cyber, considerare l’autenticazione a due fattori in modo tale da ricevere una notifica di attività sospette dal momento che un hacker non può accedere all’account senza il codice univoco del sistema a due fattori.

  • Aumentare la sicurezza della rete con il proxy SSL (Secure Sockets Layer) – L’utilizzo del proxy contribuisce a: elevare il livello di sicurezza di rete, filtrare le attività dannose e aiutare a monitorare l’utilizzo interno di Internet. La crittografia SSL protegge anche un dispositivo e il server esterno a cui è collegato. Pertanto, se viene intercettata una connessione al traffico, l’hacker non può leggere le informazioni ottenute.
  • Evitare l’utilizzo del Wi-Fi pubblico per l’accesso remoto – Le reti Wi-Fi pubbliche, sebbene generalmente sicure, non sempre si rivelano tali, soprattutto quando si utilizzano per accedere a dispositivi IoT da remoto. Gli hacker possono monitorare il traffico non crittografato e possono vedere un dispositivo vulnerabile. Pertanto, è preferibile utilizzare il proprio cellulare o una VPN per accedere a dispositivi domestici intelligenti da remoto.
  • Aggiornare regolarmente i dispositivi – I dispositivi obsoleti sono vulnerabili agli hacker. Anche se un router domestico intelligente e una rete domestica hanno una protezione maggiore, i dispositivi obsoleti possono essere falle di sicurezza. I criminali online possono accedere e sfruttare facilmente i dati, pertanto si consiglia di:
    • aggiornare i dispositivi al software più recente
    • applicare le ultime patch di sicurezza
    • installare software di sicurezza antivirus o anti-malware sui dispositivi connessi alla rete domestica

in modo tale da garantire che non rimangano falle di sicurezza per attacchi dannosi.

  • Assicurarsi che i Sistemi HVAC (i.e. sistemi di Heating, Ventilation and Air Conditioning, ovvero “riscaldamento, ventilazione e condizionamento dell’aria”) possano sempre funzionare indipendentemente dal fatto che l’intero sistema di casa intelligente sia operativo.

Conclusioni

I dispositivi della Smart Home connessi a Internet tramite l’IoT se da un lato possono fornire un migliore livello di comodità alla nostra vita, dall’altro lato possono rendere vulnerabili le nostre case e i dispositivi connessi. È necessaria una trasposizione della cultura del rischio, della continuità operativa e della resilienza nella nostra vita domestica e progettare un piano di “difesa” per proteggere i dispositivi domestici intelligenti.

Laura De Nardis, professoressa dell’Università di Yale, nel suo recente libro “Internet in Everything: Freedom and Security in a World with No Off Switch” enumera le minacce globali, i rischi ed i pro e i contro dell’IoT che sta influenzando e influenzerà sempre più sia la privacy individuale sia la sicurezza degli Stati. Ovvero, man mano che sempre più dispositivi si connettono a Internet e si integrano in ogni aspetto della vita quotidiana, assistiamo ad una sorta di conflitto tra l’efficacia e la sicurezza del dispositivo, tra l’utilità del dispositivo e la privacy individuale, tra la minaccia alla sicurezza e la mitigazione delle minacce. Considerando il fatto che i dispositivi digitali sono oramai parte della vita quotidiana delle società contemporanea e Internet è diventato così integrato da diventare addirittura “invisibile”, molte persone potrebbero non rendersi conto che i propri dispositivi intelligenti sono connessi a Internet; inoltre, la crescente diffusione dell’IoT sta rapidamente riducendo il confine tra fisico e virtuale, tra connesso e spento, tra connesso e disconnesso. Pertanto, se l’Iot permette, da un lato, la raccolta di dati che hanno valore e che, se violati, possono essere venduti sul dark web con conseguenze negative per la privacy personale, dall’altro lato, può creare una rete di occhi e orecchie computerizzati ovunque noi andiamo. Ne consegue che, all’homo semper connexus, saranno richieste maggiori competenze tecnologiche rispetto al passato e dovrà quanto mai dare priorità alla sicurezza prestando maggiore attenzione a come entra ed esce da Internet e a come utilizza i propri dispositivi.

Lo scenario appena descritto solleva anche problematiche di etica relative al mondo digitale che deve fondarsi e poggiare su tre pilastri: un’etica dei dati, un’etica degli algoritmi e un’etica delle persone e dei professionisti Hi-Tech.

Come sostiene Helga Nowotny, sociologa dell’Università di Vienna, co-fondatrice dell’European Reserch Council (Erc), e autrice del libro “The cunning of uncertainty‘ ( tradotto “L’astuzia dell’incertezza”, titolo che fa riferimento all’abilità di muoversi in un mondo molto innovativo ma altrettanto incerto): “Occorre un’analisi etica dello sviluppo tecnologico, occorre definire ciò che sarà socialmente accettabile, legalmente definito e riconosciuto, altrimenti il rischio è quello di ritrovarci una tecnologia gestita male, fuori controllo e che può essere addirittura dannosa”. Si tratta, quindi, di massimizzare le opportunità e mitigare i rischi del digitale attraverso le analisi etiche dei rischi e dei benefici dell’Intelligenza artificiale e dell’IoT che devono essere necessariamente incluse in tutto il processo di progettazione, di collaudo, d’implementazione e di utilizzo di queste tecnologie. Pertanto, i vari attori istituzionali e governativi dovranno trovare, stabilire e applicare delle linee guida, delle regole comuni e delle convergenze sull’etica digitale a livello internazionale se vogliono salvaguardare i propri cittadini.

 

Articolo a cura di Federica Maria Rita Livelli

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

In possesso della certificazione Business Continuity - AMBCI BCI, UK e Risk Management FERMA Rimap ®, consulente di Business Continuity & Risk Management, svolge attività di diffusione e di sviluppo della cultura della resilienza presso varie istituzioni ed università.

Membro del: Board del BCI Italy Chapter ; Advisory Board di LIUC-ODES Project; Comitato Scientifico di CLUSIT. Socia ANRA, AIPSA, CLUSIT ed UNI.

Membro di diversi Comitati: CLUSIT-Artificial Intelligence, UNI/CT 016/GL 02 "Sistemi di gestione per la qualità" (ISO/TC 176/SC 2), UNI/CT 016/GL 09 "Governance delle organizzazioni" (ISO/TC 309) e UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica UNI/CT 016 "Gestione per la qualità e metodi statistici").

Membro della Community: Women for Cyber Security e Ambassador della Community Donne 4.0

Docente di moduli di introduzione di: ISO 22301 - Business Continuity & Resilience (Università POLIMI–BOCCONI e Università di Verona); ISO 31000 - Risk Management (Università Statale di Milano).

Autrice di numerosi articoli su diverse riviste online, (i.e.: AgendaDigitale, Cybersecurity360, AI4Business, Risk Management360, EnergyUp, Blockchain4Innovation, Internet4Things, Industry4Business, ANRA - RM Magazine, ISPI online, Insurance Review, UNI Magazine online, The BCI Blog).

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI SAFETY & SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di Safety & Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy