Internet of Things (IoT) & sicurezza: non solo Organizzazioni ma anche Smart Home

A cura di:Federica Maria Rita Livelli Ore

Introduzione

Il processo di digitalizzazione ed innovazione in corso scaturito dalla pandemia ci pone di fronte ad uno scenario caratterizzato da una sempre maggiore dipendenza da Internet e dall’Internet of Things (IoT). È quanto mai necessario ed urgente identificare i potenziali rischi, le minacce e le vulnerabilità che l’IoT comporta dal momento che la maggiore adozione di questa tecnologia sta creando una domanda di misure di sicurezza informatica sempre maggiore. Inoltre – secondo quanto pubblicato dalla società globale di ricerca Statista – i dispositivi connessi all’IoT, entro il 2025, saranno oltre 75 miliardi, con un aumento di quasi tre volte il numero riscontrato nel 2019. Tale numero considerevole di dispositivi connessi condividono dati critici e, pertanto è quanto ma urgente mitigare i rischi ad essi correlati, soprattutto considerando il fatto che essi possono oramai verificarsi anche nella quotidianità di tutti noi, all’interno delle nostre abitazioni sempre più digitalizzate, i.e. le cosiddette Smart Home o case intelligenti.

I mercato della sicurezza dell’Internet of Things (IoT)

Qualsiasi cosa, oggigiorno, dagli asset di un’organizzazione all’auto e agli utensili domestici, può essere interconnessi grazie all’Iot e convertirsi in dispositivi “intelligenti”; ne consegue che la sicurezza informatica è diventata argomento scottante a tal punto da essere argomento di dibattito da parte dei Governi a livello mondiale e da generare la promulgazione di leggi atte a garantire la creazione di dispositivi sicuri “by design”.

Gli attacchi a prodotti “intelligenti”, che si connettono a Internet – o addirittura si collegano ad essa autonomamente – continuano senza sosta e offrono agli hacker una moltitudine di nuove superfici di attacco e si prevede che anche per tutto il 2021 si verificheranno tentativi di hackeraggio che sfruttano le vulnerabilità dei dispositivi IoT. Inoltre, le soluzioni 5G oramai ampiamente disponibili faciliteranno i criminali che saranno maggiormente in grado di abusare degli endpoint per i propri scopi. I protocolli come HTTP (Hypertext Transfer Protocol ) e API sono solo alcuni dei canali su cui si basano i dispositivi IoT e che gli hacker possono intercettare.

L’IoT e le Smart Home: piani di continuità domestica

L’IoT alimenta le Smart Home tramite i dispositivi programmabili e gli elettrodomestici intelligenti che sono connessi a Internet e possono essere facile bersaglio da parte degli hacker per ottenere i dati del consumatore oltre a rendere la casa estremamente vulnerabile.

Se un piano di continuità aziendale per la gestione dell’IoT aiuta un’azienda a continuare le operazioni quando sorgono problemi. Ne consegue che progettare un “piano di continuità domestica” può risultare altrettanto strategico per i sistemi IoT di un’abitazione. Ovvero, nella vita quotidiana, all’interno delle nostre Smart Home, dobbiamo applicare la cultura della resilienza, quale calibrata sintesi di gestioni dei rischi collegati alla tecnologia dell’IoT e, al tempo stesso, garantire la continuità operativa dei nostri elettrodomestici, strumentazioni e applicazioni che ci aiutano a gestire le nostre abitazioni.

L’unico modo per proteggersi da una potenziale minaccia consiste nel diventare più consapevoli dei dispositivi domestici intelligenti installati, ovvero, acquisire la conoscenza del nostro contesto abitativo in termini di oggetti e applicazioni smart.

Una Smart Home se da un lato può garantire vari benefici in termini di risparmio energetico e funzionalità di sicurezza aggiuntive per la famiglia, dall’altro lato, può convertirsi in una fonte di rischi che devono essere gestiti e mitigati. Pertanto, la pianificazione della “continuità operativa domestica” diventa strategica indipendentemente dal fatto che una casa disponga o meno di un sistema di Smart Home completo o semplicemente di una raccolta di dispositivi intelligenti, valutando la sicurezza dei prodotti e dei sistemi. Di seguito un elenco delle cose che ognuno di noi consumatori dovrebbe sapere per rendere sicura una Smart Home in un’ottica di gestione dei rischi e continuità operativa “domestica”:

  • Valutare le caratteristiche di sicurezza del dispositivo smart
  • Modificare i nomi dei router predefiniti prima di installare o utilizzare dispositivi smart – Rinominare i router con un codice alfanumerico univoco, ove applicabile, che non sia associato ad alcuna informazione personale, ricordando che qualsiasi nome assegnato dal produttore fornisce agli hacker informazioni che possono aiutarli a infiltrarsi nella rete.
  • Creare password complesse e abilitare l’autenticazione a due fattori – Per ogni dispositivo creare password complesse utilizzando ad es. numeri casuali, lettere o caratteri speciali. È necessario usare password diverse per ogni dispositivo o account, così quando un account viene compromesso, gli altri sono al sicuro. Inoltre, può risultare utile considerare l’utilizzo di un gestore di password – difficile da attaccare e in grado di monitorare la frequenza con cui si cambiano le password – per generare e memorizzare password casuali difficili da decifrare.

A fronte del proliferare degli attacchi cyber, considerare l’autenticazione a due fattori in modo tale da ricevere una notifica di attività sospette dal momento che un hacker non può accedere all’account senza il codice univoco del sistema a due fattori.

  • Aumentare la sicurezza della rete con il proxy SSL (Secure Sockets Layer) – L’utilizzo del proxy contribuisce a: elevare il livello di sicurezza di rete, filtrare le attività dannose e aiutare a monitorare l’utilizzo interno di Internet. La crittografia SSL protegge anche un dispositivo e il server esterno a cui è collegato. Pertanto, se viene intercettata una connessione al traffico, l’hacker non può leggere le informazioni ottenute.
  • Evitare l’utilizzo del Wi-Fi pubblico per l’accesso remoto – Le reti Wi-Fi pubbliche, sebbene generalmente sicure, non sempre si rivelano tali, soprattutto quando si utilizzano per accedere a dispositivi IoT da remoto. Gli hacker possono monitorare il traffico non crittografato e possono vedere un dispositivo vulnerabile. Pertanto, è preferibile utilizzare il proprio cellulare o una VPN per accedere a dispositivi domestici intelligenti da remoto.
  • Aggiornare regolarmente i dispositivi – I dispositivi obsoleti sono vulnerabili agli hacker. Anche se un router domestico intelligente e una rete domestica hanno una protezione maggiore, i dispositivi obsoleti possono essere falle di sicurezza. I criminali online possono accedere e sfruttare facilmente i dati, pertanto si consiglia di:
    • aggiornare i dispositivi al software più recente
    • applicare le ultime patch di sicurezza
    • installare software di sicurezza antivirus o anti-malware sui dispositivi connessi alla rete domestica

in modo tale da garantire che non rimangano falle di sicurezza per attacchi dannosi.

  • Assicurarsi che i Sistemi HVAC (i.e. sistemi di Heating, Ventilation and Air Conditioning, ovvero “riscaldamento, ventilazione e condizionamento dell’aria”) possano sempre funzionare indipendentemente dal fatto che l’intero sistema di casa intelligente sia operativo.

Conclusioni

I dispositivi della Smart Home connessi a Internet tramite l’IoT se da un lato possono fornire un migliore livello di comodità alla nostra vita, dall’altro lato possono rendere vulnerabili le nostre case e i dispositivi connessi. È necessaria una trasposizione della cultura del rischio, della continuità operativa e della resilienza nella nostra vita domestica e progettare un piano di “difesa” per proteggere i dispositivi domestici intelligenti.

Laura De Nardis, professoressa dell’Università di Yale, nel suo recente libro “Internet in Everything: Freedom and Security in a World with No Off Switch” enumera le minacce globali, i rischi ed i pro e i contro dell’IoT che sta influenzando e influenzerà sempre più sia la privacy individuale sia la sicurezza degli Stati. Ovvero, man mano che sempre più dispositivi si connettono a Internet e si integrano in ogni aspetto della vita quotidiana, assistiamo ad una sorta di conflitto tra l’efficacia e la sicurezza del dispositivo, tra l’utilità del dispositivo e la privacy individuale, tra la minaccia alla sicurezza e la mitigazione delle minacce. Considerando il fatto che i dispositivi digitali sono oramai parte della vita quotidiana delle società contemporanea e Internet è diventato così integrato da diventare addirittura “invisibile”, molte persone potrebbero non rendersi conto che i propri dispositivi intelligenti sono connessi a Internet; inoltre, la crescente diffusione dell’IoT sta rapidamente riducendo il confine tra fisico e virtuale, tra connesso e spento, tra connesso e disconnesso. Pertanto, se l’Iot permette, da un lato, la raccolta di dati che hanno valore e che, se violati, possono essere venduti sul dark web con conseguenze negative per la privacy personale, dall’altro lato, può creare una rete di occhi e orecchie computerizzati ovunque noi andiamo. Ne consegue che, all’homo semper connexus, saranno richieste maggiori competenze tecnologiche rispetto al passato e dovrà quanto mai dare priorità alla sicurezza prestando maggiore attenzione a come entra ed esce da Internet e a come utilizza i propri dispositivi.

Lo scenario appena descritto solleva anche problematiche di etica relative al mondo digitale che deve fondarsi e poggiare su tre pilastri: un’etica dei dati, un’etica degli algoritmi e un’etica delle persone e dei professionisti Hi-Tech.

Come sostiene Helga Nowotny, sociologa dell’Università di Vienna, co-fondatrice dell’European Reserch Council (Erc), e autrice del libro “The cunning of uncertainty‘ ( tradotto “L’astuzia dell’incertezza”, titolo che fa riferimento all’abilità di muoversi in un mondo molto innovativo ma altrettanto incerto): “Occorre un’analisi etica dello sviluppo tecnologico, occorre definire ciò che sarà socialmente accettabile, legalmente definito e riconosciuto, altrimenti il rischio è quello di ritrovarci una tecnologia gestita male, fuori controllo e che può essere addirittura dannosa”. Si tratta, quindi, di massimizzare le opportunità e mitigare i rischi del digitale attraverso le analisi etiche dei rischi e dei benefici dell’Intelligenza artificiale e dell’IoT che devono essere necessariamente incluse in tutto il processo di progettazione, di collaudo, d’implementazione e di utilizzo di queste tecnologie. Pertanto, i vari attori istituzionali e governativi dovranno trovare, stabilire e applicare delle linee guida, delle regole comuni e delle convergenze sull’etica digitale a livello internazionale se vogliono salvaguardare i propri cittadini.

 

Articolo a cura di Federica Maria Rita Livelli

Profilo Autore
Federica Maria Rita Livelli

Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.

Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) - Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) - Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) - Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 "Gestione per la qualità e metodi statistici")

Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence

È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Crisi energetica e interdipendenza tra Russia e Unione Europea

Crisi energetica e interdipendenza tra Russia e Unione Europea

A cura di:Redazione Ore Pubblicato il

La crisi energetica rientra tra le numerose pesanti conseguenze del conflitto tra Russia e Ucraina il problema della dipendenza dell’Unione Europea dal gas russo è oggi di particolare rilievo. Il bisogno di garantire una maggiore sicurezza energetica sganciandosi dai combustibili fossili russi è la priorità della Commissione Europea, che nelle scorse settimane ha inoltre messo…

Inquinamento indoor: quanto è sicura l’aria che respiriamo in casa?

Inquinamento indoor: quanto è sicura l’aria che respiriamo in casa?

A cura di:Gabriella Pesacane Ore Pubblicato il

Siamo portati a ritenere – erroneamente – che la nostra abitazione sia il “luogo sicuro” per eccellenza. Così non è: e le statistiche ci confortano in questa affermazione, testimoniando un altissimo numero di incidenti domestici e di danni correlati. Spesso, quando camminiamo nel traffico cittadino, pensiamo alla nostra casa come a un rifugio nel quale…

Guerra Russia-Ucraina: resistenza ucraina, difesa comune europea e conseguenze sull’economia globale

Guerra Russia-Ucraina: resistenza ucraina, difesa comune europea e conseguenze sull’economia globale

A cura di:Redazione Ore Pubblicato il

Il fronte di guerra aperto dalla Russia in Ucraina, caratterizzatosi sin dal primo giorno come un conflitto intenso e fortemente asimmetrico, ha spalancato scenari geopolitici impensabili fino a poche settimane fa. Per l’Europa i risvolti in chiave di sicurezza e difesa, nonché le ricadute di ordine economico e finanziario, restano ancora in larga parte inesplorati:…

Il conflitto USA-CINA per il controllo della digitalizzazione: perché Huawei è un Foreign Adversary per gli Stati Uniti

Il conflitto USA-CINA per il controllo della digitalizzazione: perché Huawei è un Foreign Adversary per gli Stati Uniti

A cura di:Maria Cristina Leone Ore Pubblicato il

Perché la sfida sul progresso tecnologico coinvolge interessi non solo di tipo economico ma, soprattutto, strategico? Quali sono le criticità derivanti dall’approvvigionamento e sfruttamento delle risorse naturali per la nuova tecnologia? Per i Paesi occidentali, il tentativo di mantenere più a lungo possibile l’attuale leadership tecnologica implica porsi il problema relativo a intelligence e sicurezza…

La cultura della Sicurezza come Strumento di Prevenzione e Partecipazione

La cultura della Sicurezza come Strumento di Prevenzione e Partecipazione

A cura di:Massimo Servadio e Anna Ravina Ore Pubblicato il

La Cultura della Sicurezza viene ancora considerata un insieme di principi astratti ma difficilmente applicabili; si dovrebbe invece iniziare a pensare alla stessa come un unico insieme dei processi organizzativi, di pratiche professionali, di norme scritte, di convenzioni informali, di linguaggi, di modi di pensare, di percepire e di affrontare il rischio in azienda. Tutto…

Risk Management: un nuovo approccio per fronteggiare scenari sempre più erratici

Risk Management: un nuovo approccio per fronteggiare scenari sempre più erratici

A cura di:Federica Maria Rita Livelli Ore Pubblicato il

Uno scenario pieno di rischi La pandemia COVID-19 ha creato un momento di cambiamento senza precedenti per le organizzazioni pubbliche e private di tutto il mondo. Dirigenti e consigli di amministrazione sono stati costretti a reagire prontamente per affrontare le minacce, i rischi e gestire i punti di cedimento, cogliendo – ove possibile – le…