Nonostante tutti i loro vantaggi, i dispositivi IoT non sono stati progettati pensando alla sicurezza. Questo può portare a enormi problemi.
L'Internet of Things (IoT) ha portato molti vantaggi. Ha anche cambiato il modo in cui le aziende e il rischio IT vengono gestiti. Negli ultimi anni sono emersi rapporti su telecamere dirottate, dispositivi medici compromessi e sistemi di controllo industriali compromessi. Il problema peggiorerà solo quando il 5G diventerà mainstream e i dispositivi IoT integrati diventeranno più comuni.
L'IoT aggiunge un altro livello di sicurezza alle protezioni esistenti. Questo è ciò che lo rende così difficile. Poiché l'IoT potenzialmente tocca tutto all'interno di un'azienda - e verso l'esterno ai partner e alle catene di approvvigionamento - coinvolge firmware, sistemi operativi, stack TCP/IP, progettazione di rete, strumenti di sicurezza dei dati e molto altro.
Merritt Maxim è vicepresidente e direttore della ricerca presso Forrester. "Le vulnerabilità in questo vasto ecosistema sono più facili da trascurare", afferma.
Questo è un problema serio. Può essere estremamente difficile identificare tutti i dispositivi IoT in una rete. Questa non è la fine.
Molti dispositivi IoT non sono stati progettati pensando alla sicurezza. "Le persone che implementano e configurano sistemi IoT non sempre hanno un'ottima padronanza della sicurezza. L'aggiunta di più dispositivi di diversi produttori aumenta la complessità", Joe Nocera, leader del Cyber and Privacy Innovation Institute di PwC.
Fuori dai controlli
Ogni discussione sulla sicurezza IoT inizia con un semplice fatto: l'Internet of Things è fondamentalmente diverso dall'IT convenzionale in termini di sicurezza. Molti dispositivi IoT non dispongono di un'interfaccia utente, quindi gli attacchi vengono spesso eseguiti direttamente sul dispositivo o tramite il dispositivo per ottenere l'accesso a una rete aziendale. Maxim sottolinea inoltre che gli attacchi possono avere una dinamica diversa dal ransomware o da altri attacchi.
Dice: "La motivazione è spesso per una scala più ampia di interruzione".
In effetti, un attacco può causare dispositivi non riparabili o interruzioni dell'attività che potrebbero essere motivate finanziariamente o politicamente. Ad esempio, a febbraio, un hacker ha violato un impianto di trattamento delle acque in Florida attraverso un sistema di controllo industriale e ha tentato di manomettere la qualità dell'acqua. Nel 2018, i ladri informatici hanno hackerato un casinò nel Regno Unito attraverso un termometro connesso a Internet in un acquario situato nella hall. I dati dei clienti del casinò sono stati rubati dai ladri.
I produttori spesso creano i propri firmware, protocolli e standard di progettazione. Non sempre fanno un ottimo lavoro di manutenzione e patch dei sistemi. Molti dispositivi IoT dipendono da versioni precedenti di Windows e Linux. L'IoT sta portando più grattacapi sul tavolo: i sistemi di controllo industriale e i macchinari che non erano destinati ad essere collegati al mondo ora fanno parte.
Proteggiti
Sorprendentemente, il 74% delle aziende intervistate dal Ponemon Institute lo scorso giugno ha affermato che i propri programmi di gestione del rischio IoT non riuscivano a tenere il passo con i rischi posti dall'uso onnipresente dei dispositivi IoT.
Nocera di PwC afferma che conoscere i dispositivi IoT in esecuzione sulla rete e quali dati hanno, è il primo passo per costruire una protezione forte.
Dice: "Molte aziende non lo sanno".
Ciò è reso più difficile dal fatto che alcuni produttori utilizzano nomi o codici oscuri che non identificano chiaramente i loro dispositivi. Nocera suggerisce di assegnare la responsabilità a un gruppo e di condurre un inventario per identificare potenziali punti di guasto e rischi. A volte, un'organizzazione potrebbe aver bisogno di una gestione delle risorse specializzata o di una soluzione di rilevamento.
È fondamentale stabilire visibilità e controllo sull'intero panorama IoT.
Nocera afferma: "Un'organizzazione dovrebbe essere in grado di accendere e spegnere vari dispositivi e configurarli di conseguenza".
Con gli strumenti giusti è possibile garantire che solo i servizi necessari siano in esecuzione su un dispositivo e che tutti gli altri dispositivi siano spenti. Un altro problema è che gli indirizzi di gestione della configurazione garantiscono che i dispositivi non utilizzino password predefinite o impostazioni di fabbrica.
Ulf Mattsson (capo stratega della sicurezza presso Protegrity), afferma che le password dovrebbero essere cambiate regolarmente. Raccomanda di utilizzare token, anonimizzazione dei dati e autenticazione a più fattori (MFA) nonché autenticazione biometrica. Crittografia dei dati in movimento e inattivi, firewall di nuova generazione e sistemi di prevenzione delle intrusioni (IPS) sono tutti necessari. Dice che è fondamentale mantenere questi sistemi aggiornati e corretti.
Nocera rileva inoltre che la segmentazione della rete è un altro strumento utile. È importante isolare i sistemi chiave come i controlli industriali, le applicazioni aziendali e altre informazioni critiche in modo che gli hacker non possano hackerare le reti tramite dispositivi IoT.
Dice, ad esempio, che "se sei una compagnia di spedizioni e una società di logistica, forse i dispositivi IoT utilizzati per gestire la tua flotta non hanno bisogno di parlare con il dispositivo IoT e altri sistemi utilizzati in un magazzino". In questo modo, se presenti i dispositivi sono compromessi, perdi solo un magazzino e non tutti i tuoi magazzini.
È sicuro giocare a IT
Esistono molte altre strategie che possono essere utilizzate per costruire un'infrastruttura IoT più resiliente. Queste strategie includono il blocco delle credenziali cloud che possono quindi essere utilizzate per riconfigurare i dispositivi. Disabilitare le funzionalità che non vengono utilizzate. Controllo regolare dell'infrastruttura IoT e ritiro dei dispositivi non necessari. Mantenere aggiornata la protezione antimalware e sostituire i dispositivi meno sicuri. Dovresti anche essere consapevole dell'impatto del 5G su un framework IoT.
Maxim afferma che è anche saggio cercare dispositivi IoT più recenti che utilizzino tecnologie sicure di silicio e root of trust (RoT). Ciò riduce la probabilità che il BIOS o il livello del sistema operativo possano essere alterati. Un'altra area che vale la pena osservare è l'uso crescente di connettori, interfacce di programmazione delle applicazioni (API), che estendono e talvolta mascherano origini dati e dispositivi.
Vuoi assumere i nostri sviluppatori diseducati? Ottieni un preventivo gratuito
Un approccio olistico che utilizzi una gamma di strumenti e strategie per proteggere dispositivi e dati è la migliore difesa. Maxim afferma che qualsiasi dispositivo o sistema IoT dovrebbe essere sottoposto alla stessa rigorosa revisione delle applicazioni aziendali e dovrebbe essere soggetto a rigorosi standard di sicurezza dopo l'implementazione.
Aggiunge che l'IoT pone rischi nuovi e talvolta più gravi, che potrebbero interrompere le attività commerciali o causare la morte.