Internet of Things: gli aspetti di sicurezza alla luce del GDPR

10 Dicembre 2017
Redazione DIMT

(via altalex.com) di Michele Iaselli Con il termine Internet of Things (IoT) si fa riferimento ad infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio, mediante l’utilizzo di tecnologie a radio frequenza (ad es. RFID, bluetooth etc.), sia tramite una rete di comunicazione elettronica.

I dispositivi interessati non sono soltanto i tradizionali computer o smartphone, ma anche quelli integrati in oggetti di uso quotidiano (“things”), come dispositivi indossabili (cd. wearable), di automazione domestica (cd. domotica) e di georeferenziazione e navigazione assistita.

In altre parole per Internet of things si intende un ulteriore sviluppo di Internet conseguente alla connessione in rete degli oggetti materiali. Oggetti che potrebbero essere dotati di un identificativo univoco (ad esempio, un numero di serie), riconoscibile anche in radiofrequenza. Ma l’identificazione degli oggetti potrebbe avvenire anche senza ricorrere ad etichette radio, ma combinando sensori e riconoscimento automatico (si pensi, ad esempio, al riconoscimento di un codice a barre effettuato con un cellulare collegato ad Internet).

Ma tutti i dati rilevati attraverso l’IoT che fine fanno? Se ne raccolgono tantissimi ogni giorno, da quante persone entrano in un centro commerciale, al numero di fermi macchina di una catena di montaggio, da qual è il numero di luci spente o accese in un grande edificio a quanti allarmi sono attivi in una rete di sorveglianza. Ma avere tantissimi dati non necessariamente significa riuscire ad analizzarne le tendenze. Occorre poterli interpretare e anche facilmente, senza dispendio di risorse.

Fondamentale per l’IoT è inserire tutti questi dati in un contesto di business per capire come creare valore attorno ad essi: solo così genero vantaggio alla mia azienda e di conseguenza al cliente finale. L’applicazione è il facilitatore di questo processo di inserimento di dati IoT in un processo di business.

Al momento dell’acquisto, quindi, l’informativa dovrà contenere tutti questi elementi che vadano a sottolineare le motivazioni che inducono l’azienda a vendere un prodotto IoT e quindi associato ad uno specifico servizio. Si dovranno quindi specificare gli strumenti che vengono utilizzati per analizzare i dati, i benefici che contraddistinguono la connettività e specificare i vantaggi connessi alla raccolta dei dati (esigenze di marketing, aumento di fidelizzazione, ecc.). L’utente ovviamente dovrà conoscere anche i maggiori rischi a cui viene esposto ed essere informato dell’eventuale cessione a terzi dei dati per altre finalità. L’utente deve essere messo in condizione di rifiutare, quindi, l’acquisto del prodotto avente similari caratteristiche. L’IoT dovrà sempre essere visto come un’eventualità, ma non certo come un’imposizione.

La vendita di prodotti IoT nel momento in cui sia effettuata on line presenterà l’indubbio vantaggio di vedere semplificata la procedura di associazione dell’informativa e relativo consenso all’acquisto del prodotto secondo le solite regole dell’e-commerce (che si ricorda sono valide per convenzione, ma non presentano le garanzie proprie della corretta identificazione del cliente e relativa autenticazione). Probabilmente dovremo attendere i prossimi sistemi di gestione dell’identità digitale (v. SPID) per valutare il relativo impatto.

In tale contesto però bisogna sottolineare la maggiore delicatezza sul fronte privacy della vendita di un device IoT rispetto alla vendita di un prodotto tradizionale. Di conseguenza nel caso dell’e-commerce vanno trovate soluzioni che assicurino maggiori garanzie per la tutela degli acquirenti.

In caso di vendita del device IoT sui canali tradizionali non v’è dubbio che l’informativa dovrà essere resa al momento dell’acquisto con relativa prestazione del consenso, considerata la fondamentale importanza della raccolta dei dati in questo settore specifico. Sinceramente sarebbero da limitare al massimo i casi di comportamento concludente, poiché appare evidente che all’attualità il device IoT è ancora un prodotto particolare che presenta delle sue specifiche peculiarità, che vanno ben rappresentate prima di procedere alla vendita.

E’ naturale, quindi, che in questo quadro evolutivo non sempre ideale l’Autorità di fronte allo sviluppo dell’IoT ha deciso di assumere un atteggiamento rigoroso avviando una pubblica consultazione in data 26 marzo 2015 al fine di acquisire osservazioni e proposte riguardo agli aspetti di protezione dei dati personali connessi alle nuove tecnologie classificabili come Internet of Things,

In particolare, secondo il Garante, un’attenzione particolare deve essere riservata ai rischi relativi alla qualità dei dati che potrebbero derivare dal loro grado di affidabilità, specie considerati gli usi in campo medico-sanitario, nonché ai rischi che vengano realizzati, quali un invasivo monitoraggio dei comportamenti degli utenti, anche a loro insaputa, ovvero un condizionamento degli individui tale da limitarne anche significativamente la libertà e la capacità di autodeterminazione.

Al pari occorre considerare gli ulteriori rischi relativi alla sicurezza indotti, in particolare, da operazioni di comunicazione a terzi, dall’utilizzo improprio e dalla perdita delle informazioni oggetto di trattamento, soprattutto in ragione del novero dei soggetti coinvolti, dei volumi e dei tipi di dati trattati, nonché dell’estensivo utilizzo di interfacce radio, strutturalmente di particolare vulnerabilità.

Secondo un rapporto Forrester del 19 gennaio 2017 nell’ottica di una previsione futura nell’ambito della sicurezza dell’IoT sono fondamentali:

– la sicurezza degli oggetti che richiede un approccio end to end per cui se si hanno due applicazioni che comunicano tramite una rete, tutte le funzioni e le operazioni specifiche richieste da tali applicazioni, come il controllo di errori, devono essere realizzate ed eseguite in modo completo nei nodi terminali (o end point) e non nei nodi intermedi (o intermediate node) della rete;

– la crittografia;

– gli scenari di sicurezza dell’IoT che meritano un ruolo di primo piano;

– l’analisi dei rischi che deve avere un ruolo significativo nell’individuazione di soluzioni di sicurezza;

– l’individuazione degli standards di sicurezza nell’IoT anche se i tempi non sono ancora maturi.

Allo stato attuale, secondo il rapporto, possono essere individuate diverse tecnologie disponibili ed ormai commercializzate nel settore dell’IoT che includono:

– la sicurezza degli oggetti API (Application Programming Interface).

– l’IoT blockchain intesa come un database distribuito che sfrutta la tecnologia peer-to-peer che chiunque può prelevare dal web, diventando così un nodo della rete. In altre parole è il libro contabile in cui sono registrate tutte le transazioni fatte in Bitcoin dal 2009 ad oggi.

– Dispositivi IoT rigidi che assicurino una piena integrità attraverso funzionalità come firmware sicuro, affidabili ambienti di esecuzione per ridurre al minimo i rischi di manomissione dei dati ed accesso non autorizzato.

– Dispositivi IoT versatili dal punto di vista privacy in grado di fornire soluzioni dirette o tramite interfaccia web che consentano agli utenti di gestire adeguatamente la propria policy privacy. In effetti la complessità dell’ecosistema dell’IoT, caratterizzato non solo dall’enorme quantità di dati che possono essere raccolti dai diversi dispositivi che comunicano automaticamente tra di loro, ma anche dalla possibilità che gli stessi siano condivisi tra più soggetti – quali ad esempio i produttori di dispositivi, gli sviluppatori di software, i fornitori di capacità di calcolo ,i cloud providers, gli analisti e altri terzi -comporta un’elevata probabilità che l’utilizzatore non abbia una sufficiente consapevolezza di quali dei suoi dati personali vengono trattati, in capo a chi sono le responsabilità del trattamento e per quali finalità avviene lo stesso.

– Segmentazione della rete IoT al fine di creare specifiche aree di isolamento di dispositivi IoT da altri dispositivi IT per avere la possibilità di mettere in quarantena dispositivi potenzialmente infetti o compromessi.

– IoT PKI e quindi soluzioni in grado di fornire certificati digitali X.509 e funzionalità chiave di carattere crittografico, tra cui la generazione di chiavi private e pubbliche, nonché la relativa distribuzione, gestione e revoca.

– Analisi di sicurezza IoT che possano raccogliere, aggregare, monitorare e normalizzare i dati dei dispositivi IoT e fornire report fruibili nonché suggerimenti su specifiche attività o politiche di sicurezza.

– Rilevamento delle minacce IoT che possa identificare attacchi wireless basati sull’IoT al fine di limitare e tenere sotto controllo gli attacchi esterni.

Ma il rapporto individua anche alcune tecnologie in fase di crescita che rispondono maggiormente a dettami normativi e di sicurezza. Esse sono:

– l’autenticazione IoT con soluzioni che offrono la possibilità di gestire più utenti su un singolo dispositivo autenticandosi mediante semplici password statiche/PIN o attraverso meccanismi più robusti a due fattori, certificati digitali/PKI e biometria.

– La crittografia IoT con soluzioni che possano cifrare i dati a riposo e in transito utilizzando algoritmi di crittografia standard che assicurino l’integrità dei dati impedendo l’attività di sniffing degli hacker. Ormai la crittografia dei dati sensibili è diventato un requisito standard.

– IoT IAM (Identity and Access Management). Le soluzioni IAM consentono al dispositivo di essere identificato nonché di controllarne gli accessi. La standardizzazione in questo settore sta andando avanti ma ci sono molti aspetti da considerare, difatti i dispositivi IoT diventano sempre più intelligenti, sono in grado di raccogliere e inviare ulteriori informazioni, offrono una vasta gamma di meccanismi di controllo remoto.

– Archivio di identità IoT che consenta la memorizzazione di tutte le informazioni sul dispositivo dell’utente basate sullo standard LDAP, ma che potrebbe includere anche modelli di database, tra cui non-SQL o un grafico DB.

– Sicurezza della Rete IoT con soluzioni che possano proteggere l’intera rete che collega il dispositivo IoT.

Come per tutte le nuove tecnologie anche per i device IoT vanno applicati quei principi di trasparenza e privacy by design e by default propri del regolamento europeo n. 2016/679.

Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e di facile comprensione e che sia utilizzato un linguaggio semplice e chiaro. Ciò è particolarmente utile in situazioni quali la pubblicità on line, in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se vengono raccolti dati personali, da chi e a quale scopo.

Anche per l’IoT i dati personali devono essere trattati in modo lecito, equo, trasparente ed il titolare o responsabile del trattamento deve applicare politiche trasparenti e facilmente accessibili con riguardo al trattamento dei dati personali e ai fini dell’esercizio dei diritti dell’interessato.

Lo stesso titolare del trattamento deve fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro e adeguato all’interessato, in particolare se le informazioni sono destinate ai minori.

Va quindi specificato con la massima chiarezza quali siano le implicazioni della raccolta dei dati connessa al prodotto IoT e mettere il cliente in condizioni di valutare effettivamente la convenienza o meno dell’acquisto di un simile prodotto. In particolare, nel caso specifico, sempre nel rispetto del principio di trasparenza dovrebbe essere favorito l’utilizzo dei c.d. formati multistrato, specialmente per l’acquisto on line. Difatti, le politiche in materia di protezione dei dati sono documenti complessi che contengono una grande quantità di informazioni orientate a situazioni specifiche. L’obiettivo delle comunicazioni multistrato consiste nel contribuire a migliorare la qualità delle informazioni sulla protezione dei dati ricevute focalizzando ciascun strato sulle informazioni di cui l’interessato necessita per comprendere la propria posizione e prendere decisioni. Di conseguenza, l’interessato può con un’occhiata alle semplici icone scoprire se e in quale modo i propri dati vengono utilizzati.

Anche i principi della privacy by design e by default vanno tenuti presente specialmente nella realizzazione dei device IoT.

La tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali richiede l’attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del regolamento.

Al fine di garantire e dimostrare la conformità con il regolamento, il responsabile del trattamento deve adottare politiche interne e attuare misure adeguate, che soddisfino in particolare i principi della privacy by design e della privacy by default di cui all’art. 25 del GDPR.

Il principio della privacy by design prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all’utilizzo e all’eliminazione finale.

Il principio della privacy by default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

Quindi per un prodotto IoT al momento di determinare le finalità e i mezzi del trattamento e all’atto del trattamento stesso, il responsabile del trattamento, tenuto conto dell’evoluzione tecnica e dei costi di attuazione, deve mettere in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al regolamento e assicuri la tutela dei diritti dell’interessato. In particolare, se all’interessato è lasciata facoltà di scelta relativamente al trattamento dei dati personali, il titolare o responsabile del trattamento garantisce che siano trattati, di default, solo i dati personali necessari per ciascuna finalità specifica del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. In particolare detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.

Anche gli incaricati del trattamento e i produttori devono attuare le misure e le procedure tecniche e operative adeguate per garantire che i loro servizi e prodotti consentano ai responsabili del trattamento, di default, di conformarsi al rispetto del principio.

Ma la preoccupazione dell’Autorità è rivolta anche alla raccolta e la gestione di dati relativi a comportamenti, abitudini, preferenze e stato di salute degli utenti spesso inconsapevoli, con l’effetto di consentirne l’identificazione, diretta o indiretta, mediante la creazione di profili anche dettagliati. Aspetto questo che dovrà essere risolto attraverso l’individuazione di corrette e chiare informative, con particolare riguardo ai dati raccolti, agli scopi per i quali ciò avviene e alla durata della conservazione dei dati stessi ai fini dell’eventuale prestazione di un valido consenso al trattamento dei dati. Tali informative dovranno soddisfare uno dei requisiti più richiesti dall’emanando regolamento in materia di protezione dei dati personali e cioè la trasparenza.

Le stesse misure di sicurezza da adottare dovranno essere in grado di proteggere i dati trattati dai rischi di interferenze ingiustificate e/o manomissioni e, prima ancora, di minimizzare i rischi, laddove possibile, talvolta ricorrendo alla stessa cifratura in presenza di dati particolarmente sensibili.

Inoltre l’Autorità Garante ritiene che per una compiuta valutazione del fenomeno, per la corretta allocazione delle responsabilità tra i soggetti a diverso titolo coinvolti nelle operazioni di trattamento dei dati, nonché per l’individuazione della normativa applicabile, appare necessario approfondire anche aspetti legati ai modelli di business utilizzati, come pure esaminare i temi connessi all’interoperabilità dei servizi e alla portabilità delle informazioni, con particolare riferimento agli aspetti di standardizzazione, anche al fine di valutare la possibilità per gli utenti di esercitare un reale controllo sui propri dati e sulle modalità di fruizione dei servizi IoT.

(Altalex, 7 dicembre 2017. Articolo di Michele Iaselli)

Con il termine Internet of Things (IoT) si fa riferimento ad infrastrutture nelle quali innumerevoli sensori sono progettati per registrare, processare, immagazzinare dati localmente o interagendo tra loro sia nel medio raggio, mediante l’utilizzo di tecnologie a radio frequenza (ad es. RFID, bluetooth etc.), sia tramite una rete di comunicazione elettronica.