5 modi per migliorare la sicurezza dei dati dell’Internet of Things

(via www.wired.it) di Giuditta Mosca L’Internet of Things fa parte del nostro quotidiano. I dispositivi connessi entrano nelle nostre automobili, nelle nostre case, negli alberghi, negli uffici. Persino negli aeroporti e negli ospedali. Immaginare uno scenario in cui dei malintenzionati possono tenere in scacco strutture sensibili non rientra nella fantascienza. Tuttavia occorre diffondere prima di ogni altra cosa la cultura necessaria a raffinare i palati di costruttori, architetti hardware e software, venditori e utenti finali.

Accorgimenti, norme, regole, ma anche definizioni. Ribattezzare su vasta scala l’Internet of Things (IoT) in Internet of Everything (IoE) può essere utile. Diffondere in termini reali il fatto che, in definitiva, quando usiamo dispositivi interconnessi in realtà gli “oggetti connessi” siamo noi stessi, può corrispondere con una maggiore sensibilità ai temi della sicurezza e della privacy, del resto i dati raccolti tramite i nostri dispositivi e in seguito elaborati e conservati su server remoti, riguardano la nostra sfera privata.

 

L’assenza di regole è un tema che da anni viene discusso a ogni latitudine. Per citare alcuni esempi lo ha rilanciato in Italia il Garante per la privacy a fine aprile del 2015 e, a settembre dello stesso anno, l’Fbi ha cominciato a diramare bollettini di sensibilizzazione. A dare ulteriore spessore al problema è intervenuta anche l’azienda di analisi e consulenza Gartner, sempre nel 2015, con una frase che fa riflettere: “l’IoT ridisegna il concetto di sicurezza ampliandone i campi di applicazione e aggiungendo responsabilità che derivano dalle nuove piattaforme, dai nuovi servizi e dalle strategie future.

 

Le imprese devono rimodellare i propri reparti IT e la sicurezza informatica” 

Il dibattito viene soprattutto affrontato tra privati, uno degli estensori più attivi è Bruce Schneier, esperto di crittografia, dal 2006 al servizio dell’operatore telefonico britannico BT Group. Lo scorso 23 maggio, durante l’IoT World Forum a Londra, ha detto poche cose ma incisive: “L’industria è piena di fallimenti di mercato che per ora sono stati ignorati. Siccome computer e dispositivi connessi continuano a permeare le nostre case, automobili e imprese, questi fallimenti non possono più essere tollerabili. La regolamentazione deve essere fatta prima che i governi la impongano” .

I “fallimenti di mercato” a cui fa riferimento sono, non soltanto ma soprattutto, le debolezze dei dispositivi IoT i quali, per lungo tempo, hanno sacrificato la sicurezza e la privacy in onore del design e del prezzo. Prevedere dei sistemi di protezione rischia infatti di togliere fascino alle forme dei dispositivi e al loro prezzo, che salirebbe anche dotandoli di strumenti software per la difesa dalle intrusioni.

Il risultato è la relativa facilità con cui la rete viene scandagliata alla ricerca di dispositivi da utilizzare per sferrare attacchi mirati ma, ancora prima, la semplicità con cui le informazioni che produciamo e rilasciamo, possono essere intercettate e utilizzate da una varia categoria di persone e classi professionali. Non solo malintenzionati propriamente detti, ma anche marketer, aziende ed esperti di profilazione.

Per capire meglio quali impegni possono assumere i costruttori di dispositivi e gli sviluppatori di applicazioni, abbiamo chiesto il parere di Craig Adams, vice president web experience product management, e di Jay Coley, global enterprise sercurity architects di Akamai, incontrati durante l’Akamai Edge 2017 che si è tenuto a Las Vegas. L’apporto di Coley è particolarmente interessante perché, oltre ad una carriera ventennale nella sicurezza IT, ha trascorso 11 anni nelle fila dell’esercito americano e ha un approccio globale ai temi della prevenzione e della riservatezza. “Cloud e IoT sono importanti, diventa altrettanto importante mettere in sicurezza piattaforme e dispositivi, perché le botnet non sono il solo problema che può minarne lo sviluppo e la diffusione”. Allora, sfruttando la sua esperienza, ecco 5 regole d’oro per mettere a dieta le aziende bulimiche di dati.

Minimizzare l’acquisizione di dati
Gli sviluppatori devono essere ligi nel raccogliere i dati, limitandosi a quelli strettamente necessari e con una frequenza giustificata. Prelevare dati non influenti e con eccessiva ciclicità aumenta sia il rischio di violazioni sia la possibilità dei malintenzionati di individuare informazioni sensibili. Per fare un esempio, se lo scopo di un dispositivo IoT e delle relative applicazioni è quello di consigliare una dieta, non ha senso raccogliere informazioni che nulla aggiungono alla sua efficacia.

Ridurre il periodo di conservazione dei dati
Una volta che i dati sono stati analizzati andrebbero distrutti. Archiviare le informazioni permetterebbe, in caso di violazioni, la ricostruzione di una situazione storica inutile e dannosa. Allo stesso modo le informazioni raccolte dovrebbero essere sempre crittografate, così come dovrebbero esserlo durante la fase di analisi e, successivamente, quando vengono archiviate. Ancora meglio sarebbero evitare l’archiviazione, distruggendo i dati subito dopo la loro analisi. Andrebbe evitata ogni forma di centralizzazione delle informazioni che, di fatto, avvengono su uno o più server, luoghi non fisici (o “non luoghi”) che sono comunque esposti a infiltrazioni e violazioni.

Ridurre la granularità dei dati
Dispositivi e applicazioni dovrebbero richiedere dati molto aggregati perché se troppo granulari possono potenzialmente esporre a rischio la privacydelle persone a cui i dati fanno riferimento. Una specie di “polpettone” di informazioni difficilmente decifrabili dai malintenzionati o dai curiosi di ogni sorta. Per esempio, l’assunzione di calorie di una persona può essere registrata su base mensile e non per forza di cose giornaliera. Questo vale anche per altri valori, non per forza di cose vitali e non per forza riferiti all’essere umano. La stessa cosa vale per il consumo energetico di una casa, i cui valori possono essere rappresentati per categoria (per esempio nel gruppo di consumi tra 150 e 200 kWh) e non in base al consumo specifico e dettagliato.

Informazione, audit e Open source
Gli utenti devono sapere quando i dati vengono raccolti, quando vengono analizzati e quando vengono distrutti. Il log delle attività devono essere accessibili agli utenti stessi, affinché possano verificare in prima persona se i dispositivi IoT e le applicazioni fanno davvero ciò che sostengono di fare.

Nasce l’esigenza di creare degli organi di supervisione indipendenti i quali, con delle verifiche mirate, possano richiamare all’ordine i costruttori e gli sviluppatori laddove necessario. In questo quadro si inserisce anche la necessità di utilizzare software open source, il cui funzionamento è di norma gestito da una più o meno vasta comunità di individui, votati tra le altre cose alla continua ricerca di criticità e di soluzioni per apportare miglioramenti.

Certificazioni, standard e politiche
Gli organi di supervisione indipendenti (quindi in nessun mondo collegati a produttori e venditori di dispositivi IoT e servizi a corredo) dovrebbero certificare i prodotti hardware e software, facendo riferimento a standard già esistenti e che riducono i rischi, tra i quali il framework AllJoyn che definisce un protocollo per la comunicazione indipendente dalla tecnologia e dalla piattaforma usata. A ciò si aggiungono le normative europee e, per citare un altro standard, l’Iso 29100 che garantisce una protezione di alto livello delle informazioni personali sensibili (Personally identifiable information, Pii).

Oltre a ciò, gli utenti devono dimostrare un’elevata sensibilità quando acquistano, preferendo sborsare qualche euro in più per acquistare prodotti più conformi e predisposti alla sicurezza, avendo in ogni caso l’accortezza di non risparmiare la fantasia quando impostano le password di accesso a dispositivi, applicazioni e portali.

(Fonte Wired.it)