I recenti, spettacolari attacchi informatici che hanno coinvolto centinaia di migliaia di device IoT compromessi dimostrano che, per le sue gravi implicazioni di sicurezza, l’attuale modello di business dell’IoT è insostenibile. Ecco che cosa fare
Nel commentare la diffusa insicurezza dei device IoT e le conseguenze molto serie che già oggi ne derivano, non possiamo evitare di premettere che «l’avevamo detto». Nel Rapporto Clusit 2015 e poi ancora nell’edizione 2016, abbiamo evidenziato, tra i principali trend a breve termine, che “smart device” di ogni tipo sarebbero stati uno dei principali bersagli del cybercrime e di altri soggetti ostili, per logica deduzione.
Da anni infatti, gli esperti di cyber security e di cyber risk management segnalano l’estrema pericolosità dell’attuale modello di business dell’IoT, che prevede l’implementazione di milioni (prossimamente miliardi) di piccoli device a basso costo, costantemente connessi a Internet e dedicati alle funzioni più disparate (ma per nulla “smart”, contrariamente a quanto viene pubblicizzato). Nella maggior parte dei casi, questi oggetti, quando inseriti in realtà aziendali, non vengono gestiti dall’IT Security come parte integrante dell’infrastruttura, perchè non sono ancora percepiti come elementi-chiave del perimetro da difendere.
Industry 4.0 e Security 1.0
è giunto il momento di affrontare la questione in modo sistematico e di attribuire, anche in questo contesto, la giusta priorità alla gestione dei rischi “cyber”. A maggior ragione, alla luce della recente, forte spinta verso l’Industry 4.0: come ripeto spesso, non possiamo pensare di fare Industry 4.0 con la Security 1.0, perchè dati gli scenari di minaccia attuali, l’insicurezza endemica, “by design” dei device IoT rappresenta un rischio letteralmente incalcolabile, troppo grande per essere ignorato, che può innescare “effetti boomerang” importanti e ridurre i vantaggi dell’innovazione, generando perdite significative. Detto diversamente, il ROI dell’applicazione su larga scala dell’IoT oggi è seriamente messo in discussione perchè gli attaccanti possono conseguire facilmente grandi vantaggi, a fronte di rischi minimi, nel compromettere e sfruttare questi oggetti per i propri interessi (economici e geopolitici).
La lista delle cose da fare
Il primo problema è che nel ciclo di sviluppo, implementazione e manutenzione di questi oggetti le problematiche di cyber security sono sostanzialmente ignorate, o comunque affrontare in maniera “cosmetica”, insufficiente. Questo per motivi culturali ma anche perchè, va detto chiaramente, la cyber security ha un costo non piccolo, che molti non sembrano disposti a voler sostenere (nè tra i produttori nè tra gli utenti finali). Il secondo problema è che, una volta compromessi (in quanto online H24 e tipicamente molto vulnerabili), questi oggetti possono diventare armi, a disposizione di ogni genere di malintenzionati (che oggi non sono “hacker”, ma vanno chiamati con il loro vero nome: criminali, sabotatori, unità militari e paramilitari, etc.). A titolo di esempio, lo scorso ottobre, gli attaccanti che hanno mandato in black out una parte significativa di Internet, colpendo Dyn, un primario gestore privato di servizi DNS, hanno utilizzato una botnet composta prevalentemente da telecamere di sicurezza e videoregistratori digitali compromessi, dimostrando di possedere una “potenza di fuoco” nel cyberspazio pari a quella di uno stato nazionale tecnologicamente avanzato. Fenomeni di questo genere vanno assolutamente mitigati al più presto, per le loro evidenti criticità. Che fare dunque? Innanzitutto, progettare la sicurezza fin dal principio, come parte integrante di ogni progetto, considerandola un abilitatore fondamentale di business e non una tassa. In secondo luogo, fare pressione sui produttori, premiando chi sviluppa device IoT ragionevolmente e dimostrabilmente sicuri (anche se di costo superiore). In terzo luogo, svolgere un’analisi esaustiva dei rischi cyber, puntando sulla prevenzione e applicando quanto prima le contromisure tecnologiche, organizzative e formative più opportune per gestire tali rischi nel tempo.
Andrea Zapparoli Manzoni, membro del consiglio direttivo Clusit e head of Cyber Security Services KPMG Advisory