Internet of Things, una rete per la criminalità?

10 Ottobre 2016

4 min: tempo di lettura

Di Gioia Pistola, co-fondatore e CMO di Atooma, start-up con sedi in Italia e in California, impegnata a diffondere conoscenza e consapevolezza nell’ambito dell'Internet delle cose.

Internet of Things, una rete per la criminalità? (Desktop)

Originariamente era il Machine-to-Machine, poi nel 1999 – con il contributo del pioniere inglese della tecnologia Kevin Ashton 1Internet of Things ha cominciato ad assumere le prime forme, seppur limitatamente all’RFID.

Poi i costi minori delle infrastrutture wireless, il mobile data, le battery technology in anni più recenti, nonché un mercato pronto e ricettivo, hanno permesso di iniziare a parlare di Internet of Everything. Anzi, di Internet of Everyone. Non sono più quindi solo le macchine industriali a parlare tra di loro; non sono nemmeno solo “smart objects” e macchine connesse alla rete in grado di recepire input reciproci e agire di conseguenza, ma sono dati, oggetti e persone – attraverso i loro wearable device e smartphone – a essere messi in rete e in grado di interagire per scambiare informazioni, automatizzare azioni negli ambiti più disparati, dai servizi ai consumatori finali, dalla logistica smart ai servizi ai cittadini (c.d. smart cities).

Se l’IoT delinea quindi un mercato globale per un valore stimato di 19 miliardi nei prossimi 10 anni2, Internet of Everyone fa un passo in più aggiungendo complessità e opportunità, prefigurando un universo ancora poco misurabile, coinvolgendo il predictive data - quindi non solo le analisi in tempo reale così appetibili per gli esperti di marketing – e l’ubiquitous surveillance3, che dalla GoPro, allo smartphone, dal frigorifero all’auto connessa, identifica pattern di vita molto più significativi dei soli profili geo-demografici.

Ma così come l’IoE crea immense opportunità per aziende, industrie e per il loro rapporto con gli utenti finali, allo stesso tempo crea opportunità speculari per la cyber criminalità e per gli hacker.

 

I tre fattori di rischio dell’IoE

 

Le violazioni dei dati originate da device connessi alla rete sono aumentate del 152% nel 2015 rispetto agli anni precedenti4. E nei prossimi anni il numero di dispositivi connessi vedrà una probabile crescita da 13 a 30 miliardi, secondo IDC Research. Questo significa molti più device da violare. I fattori di rischio tuttavia non si limitano al numero di dispositivi connessi, che pur rappresentano una minaccia concreta.

  1. Sempre più informazioni condivise

    Il vero cambiamento non è il numero di dispositivi, ma il fatto che le persone ne utilizzano un numero sempre più ampio per comunicare diversi tipi di informazioni, dai wearable device, alle auto connesse, agli elettrodomestici. E questo significa opportunità di furto di identità e profilazione con finalità criminali.

  2. Pochi strumenti di protezione di base

    Uno strumento di protezione di base, come la crittografia end-to-end dei dati, è ancora poco diffuso. I “connected device” da usare tramite un’applicazione per lo smartphone si espongono quindi all’intercettazione degli utenti, ad esempio per catturare immagini con la fotocamera oppure ottenere la password di una rete WiFi.

  3. Ruolo del cloud

    L’IoE si basa sul cloud computing che supporta non solo smart devices ma anche un numero enorme di applicazioni utilizzate per gestirli. La gran parte di questi oggetti sono dotati di sensori che raccolgono dati (anche sensibili) che vengono poi riversati nel cloud per essere analizzati, depositati e manipolati per varie funzioni. Ognuno di questi oggetti rappresenta una occasione di hacking che mette potenzialmente a rischio tutta l’infrastruttura. Questo richiede che il cloud adotti elevati standard di sicurezza, ma non è ancora un requisito sempre soddisfatto.

Ed è cosi che la vulnerabilità si affaccia dietro ogni ‘angolo connesso’. Basti pensare al recente sito in Russia che ha mappato più di 70.000 location di telecamere di sicurezza ‘non protette’ in 256 paesi, o ai baby smart monitor violati da hacker per spiare o disturbare bambini nella privacy delle loro camere.

I produttori di dispositivi, uno dei tanti player coinvolti in questa partita contro la cybercriminalità, sono spesso accusati di prediligere il time-to-market e la user experience rispetto alla sicurezza: in assenza di una chiara normativa al riguardo, affrontano a loro modo il trade-off tra le opportunità di protezione e ciò che richiederebbe di essere sacrificato in termini di usabilità e costi.

Quali armi hanno le organizzazioni contro la cybercriminalità?

  • Anticipare le minacce: l’arma principale è la conoscenza, quindi una strategia di intelligence per il “cyber-threat” che si rivela un punto chiave per anticipare e non solo per reagire. Questo è possibile solo grazie alla conoscenza interna all’organizzazione, che solitamente fa capo alla figura del CIO - Chief Information Officer.
  • Reagire agli attacchi: le armi difensive più note sono i cosiddetti firewall, che bloccano il traffico non autorizzato su computer di varia natura. Tuttavia rischiano di non essere supportati a causa di spazi di archiviazione e memoria limitati per sensori e device dell’IoT. Per questo motivo, dal punto di vista tecnico e dei produttori di software di sicurezza, è necessario adottare un approccio più specializzato, costruendo software agili e leggeri in grado di difendere il dispositivo nella sua specificità e in relazione alle sue funzioni limitate. “Questo approccio più semplice, veloce e ‘di minori dimensioni’ non comprometterebbe la sicurezza di un sistema IoT5.
  • Ascoltare gli utenti finali: sono l’arma meno acclamata ma più a basso costo, dovrebbero essere il principale punto di riferimento per ogni organizzazione e il più importate per ridurre falle nella sicurezza e vulnerabilità inattese. E non si intendono solamente i clienti finali, ma anche impiegati, consulenti esterni, ricercatori, collaboratori e chiunque abbia accesso ai servizi o ai luoghi di interesse dell’azienda.

Atooma mette in comunicazione device, persone e dati appartenenti a ecosistemi diversi, permettendo loro di dialogare e di adattare proattivamente comportamenti schematici.

1. That 'Internet of Things' Thing In the real world, things matter more than ideas. By Kevin Ashton http://www.rfidjournal.com/articles/view?4986
2. Internet of Everything - Cisco http://ioeassessment.cisco.com/
3.The Internet of Everyone: Consumer Relationships in the Age of IoT December 28, 2015 | State of the Market Report Lux research Inc.
4. The Global State of Information Security® Survey 2016 PwC http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/key-findings.html
5. Today's IoT is full of security flaws. We must do better. By Alan Grau http://spectrum.ieee.org/telecom/security/how-to-build-a-safer-internet-of-things

Cyber Security eBook