I principali rischi dell’Internet of Things (IoT)
Quando si parla di “Internet of Things” (IoT) bisogna includere tutta una serie di applicazioni: dall’ambito sanitario, con sistemi di wearable health e monitor in grado di misurare parametri legati alla salute, alle Internet-connected car, smart grid, appliance intelligenti per la casa, il fitness, il tempo libero. Guardando a questi interessanti prototipi e nuovi dispositivi non ci si preoccupa però molto delle conseguenze collegate alla privacy, alla security e alla safety delle persone.
Potrebbe rivelarsi prudente estendere l’approccio finora seguito per la cybersecurity al nuovo mondo dell’IoT. Innanzitutto perchè l’esperienza ha ampiamente dimostrato che sia la Rete, sia i device ad essa collegati sono intrinsecamente insicuri. In secondo luogo, perchè anche le persone si sono dimostrate inadatte e poco sensibili alla security.
I dispositivi con connettività Internet “always on” si sono già dimostrati vulnerabili a nuove forme di attacco cyber, spesso molto più pericolose del passato. Ad esempio, si è visto che con l’IoT è possibile mettere a repentaglio la vita delle persone. Nel 2013 due esperti di sicurezza hanno dimostrato la possibilità di prendere il controllo, da remoto, del sistema di frenatura di un’automobile. Ancora prima, nel 2008, uno studio medico ha dimostrato che pacemaker e defibrillatori cardiaci inseriti nel corpo umano (ICD), che utilizzano connessioni wireless per funzionare, potevano essere il veicolo di attacchi, con perdita di informazioni sanitarie e conseguenze cliniche potenzialmente gravi per il paziente.
L’IoT sta vivendo uno sviluppo talmente nuovo e dirompente che l’applicazione di misure e/o procedure di security risulta difficile da diversi punti di vista.
E’ una situazione simile a quella sperimentata dalle aziende con il Cloud, il cui utilizzo si è diffuso a tutti i livelli nelle organizzazioni senza un controllo una governance centrale da parte dell’IT. La differenza con l’IoT è che l’utilizzo dei nuovi dispositivi Internet-connected rischia di crescere sempre di più, a causa della continua riduzione dei costi, e, dunque, di coinvolgere la vita e gli interessi privati di molti utenti, oltre che di portare allo sviluppo di nuove soluzioni specialistiche nella sanità, nel retail, nell’industria o nella logistica, tutti settori che tradizionalmente hanno dimostrato scarsa attenzione alla vulnerabilità di dispositivi come apparati biomedici, POS e ICS Industrial Control Systems.
Nei prossimi anni la dinamica principale di adozione dell’IoT sarà legata alle nuove opportunità offerte da queste innovazioni, e solo in parte sarà frenata dai possibili rischi associati. Una buona pratica per il Risk Management nel settore dell’IoT sarà, quindi, quella di valutare e diffondere nell’organizzazione alcune considerazioni sui rischi potenziali. I rischi dell’IoT sono suddivisi in 3 classi:
- Rischi legati al business: salute/sicurezza, non conformità alle norme, privacy dei dati, costi legali o altri costi.
- Rischi operativi: utilizzo gestito/non gestito dall’IT, utilizzo non appropriato, cattive performance.
- Rischi tecnici: vulnerabilità del dispositivo, diffcoltà negli update software, aspetti di gestione dei dispositivi.
