C’è un pregiudizio comune. Pericoloso per la sicurezza informatica a casa e in azienda. Ossia: molti pensano all’Internet delle cose (Iot, internet of things) come a una singola rete globale. In realtà, l’IoT comprende una moltitudine di reti indipendenti ma complementari in vari settori di servizio, come nei sistemi efficienti di produzione e distribuzione dell’energia (le cosiddette “reti intelligenti”), nel machine-to-machine (M2M) e in altri sistemi di controllo industriale e produttivo, nei sistemi di gestione dei trasporti e del traffico di veicoli, così come nella sanità e nella pubblica sicurezza.
La società di consulenza e ricerca tecnologica Beecham Research ha identificato nove diversi settori di servizio per l’IoT e 29 diverse applicazioni per un’effettiva e potenziale crescita o espansione dell’IoT[1]. Le applicazioni previste per le tecnologie IoT si riflettono nelle previsioni dei futuri ricavi e sviluppi del mercato dell’IoT. IDC Research calcola che il valore di mercato globale per i prodotti e dispositivi IoT raggiungerà i 737 miliardi di dollari nel 2017 e ammonterà a 1.290 miliardi entro il 2020, un tasso di crescita annuale composto (CAGR) del 15,6%[2]. Una proiezione eseguita in modo indipendente dalla società di consulenza Gartner, Inc. indica che il numero di dispositivi connessi all’IoT aumenterà da circa 5 miliardi nel 2015 a oltre 20 miliardi entro il 2020[3]. Queste e altre proiezioni indicano inequivocabilmente la crescente adozione delle tecnologie IoT in un’ampia gamma di applicazioni e la loro ampia accettazione da parte di acquirenti e consumatori. Molto probabilmente, l’utilizzo del potenziale di crescita dell’IoT, sarà un elemento essenziale della strategia delle aziende tecnologiche negli anni a venire.
L’IoT e le applicazioni della Smart Home
Analogamente all’IoT, il termine “smart home” è stato utilizzato ampiamente, ma in modo incoerente. Tuttavia, nel tentativo di standardizzare il significato del termine nel mercato immobiliare residenziale, Coldwell Banker Real Estate, in collaborazione con il sito di notizie tecnologiche CNET, ha definito una smart home come: “Una casa dotata di prodotti connessi alla rete (noti anche come “prodotti intelligenti”) collegati tramite Wi-Fi, Bluetooth o protocolli simili per il controllo, l’automazione e l’ottimizzazione di funzioni come temperatura, illuminazione, sicurezza o intrattenimento, da remoto tramite un telefono, tablet, computer o da un sistema separato all’interno della casa stessa”.[4]
Anche se il numero delle segnalazioni di cyberattacchi su dispositivi e sistemi smart home è relativamente basso, i ricercatori di università e imprese del settore e gli esperti di sicurezza informatica scoprono regolarmente vulnerabilità agli attacchi informatici che potrebbero compromettere la privacy e la sicurezza dei consumatori. Alcuni esempi recenti:
- In uno studio di sistemi connessi smart home, i ricercatori dell’Università del Michigan sono stati in grado di hackerare un sistema di automazione smart home molto diffuso e scardinarne serrature elettroniche, modificare le impostazioni predefinite del sistema e attivare a distanza un falso allarme antincendio[5].
- In un hackathon della durata di due giorni, sponsorizzato dal Media Lab del MIT, più di 150 hacker sono stati incaricati di trarre vantaggio dalle debolezze in oltre 20 sistemi e dispositivi smart home. Il primo giorno, gli hacker sono riusciti a ottenere il controllo del 25% dei dispositivi smart home presi in considerazione in meno di tre ore[6].
- Consulenti di settore di mercato hanno identificato nove diverse falle di sicurezza in un sistema di illuminazione sia interna sia esterna da poco introdotto. Il sistema consentirebbe agli hacker di utilizzare l’applicazione mobile per accedere alle informazioni di configurazione della rete e controllare le luci senza autenticazione[7].
Come chiaramente illustrato da questi esempi, le vulnerabilità relative alla cybersecurity dei sistemi e dei dispositivi domestici intelligenti connessi sono causate frequentemente da problemi legati alla progettazione e all’implementazione del prodotto. Le cause più comuni di vulnerabilità legate alla cybersecurity riguardano generalmente una di queste cinque aree: una progettazione di prodotto mediocre, protocolli di comunicazione non protetti, procedure di autenticazione inadeguate, limitata applicazione di aggiornamenti dei software, implementazione o utilizzo non corretti di dispositivi e applicazioni. Al contrario, come stabilito dal Dipartimento della Sicurezza Nazionale degli Stati Uniti (U.S. Department of Homeland Security, DHS), i sei principi di sicurezza IoT sono: incorporare la sicurezza in fase di progettazione, anticipare gli aggiornamenti di sicurezza e gestione delle vulnerabilità, fare leva su pratiche di sicurezza comprovate, dare priorità alle misure di sicurezza in base al potenziale impatto, promuovere la trasparenza attraverso l’IoT e connettersi con attenzione e cautela.
Il Programma di Garanzia per la Sicurezza Informatica (Cybersecurity Assurance Program, CAP) di UL adotta un approccio olistico per mitigare i rischi legati alla sicurezza informatica, valorizzando sia la protezione specifica dei prodotti, sia la protezione dei sistemi dalle minacce informatiche attraverso l’utilizzo della serie di standard UL 2900. Questo approccio può aiutare a ridurre al minimo la vulnerabilità dei sistemi e dei dispositivi smart home nei confronti degli attacchi informatici e a offrire ai produttori di dispositivi maggiori garanzie sulla sicurezza dei propri prodotti. Attualmente, la serie UL 2900 comprende standard nelle seguenti categorie:
- Requisiti generali di prodotto
Gli standard di questa categoria includono UL 2900-1, standard UL per la sicurezza informatica del software per prodotti collegabili in rete, parte 1: Requisiti generali, parte 1: Requisiti generali. UL 2900-1 stabilisce i requisiti per valutare l’architettura e la progettazione del software in base alla presenza di controlli del rischio di sicurezza utilizzando metodi di prova prescritti per valutarne vulnerabilità, debolezza e malware.
- Requisiti specifici di prodotto
Al momento, questa categoria è composta da tre standard: UL 2900-2-1, Software di sicurezza informatica per prodotti collegabili in rete, parte 2-1: Requisiti particolari per componenti di rete di sistemi legati alla sanità e al benessere, UL 2900-2-2, Schema di ricerca per la sicurezza informatica deiprodotti collegabili in rete, parte 2-2: Requisiti particolari per sistemi di controllo industriale, UL 2900-2-3, Schema di ricerca per la sicurezza informatica di prodotti collegabili in rete, parte 2-3: Requisiti particolari per sistemi di segnalazione di sicurezza . Questi standard della Parte 2 riguardano le vulnerabilità del software che supporta dispositivi e sistemi utilizzati in uno specifico ambiente industriale. Ulteriori standard in questa categoria sono attualmente in fase di sviluppo.
- Requisiti generali di processo
Attualmente in fase di sviluppo è la serie UL 2900-3, Schema di ricerca per la sicurezza del software dei prodotti collegabili in rete, parte 3: Requisiti generali. Questa serie di standard Parte 3 affronterà il processo generale di test di sistemi e processi organizzativi per condurre la valutazione di rischio dell’organizzazione. Tale valutazione è necessaria per identificare le minacce informatiche legate al software e la capacità dell’organizzazione di abbracciare una sicurezza adeguata durante lo sviluppo del prodotto. Utilizzati insieme, gli standard della serie UL 2900 integrano i principi strategici del DHS e forniscono un approccio efficace per valutare le strategie di sicurezza informatica di un’organizzazione, nonché le vulnerabilità specifiche di singoli sistemi e dispositivi smart home. Proprio per questo, fornisce ai produttori di apparecchiature e agli sviluppatori di software i criteri necessari per misurare e valutare sia le caratteristiche di sicurezza dei loro prodotti sia la probabilità che le vulnerabilità legate alla cybersecurity possano essere sfruttate.
La sicurezza informatica dei dispositivi e dei sistemi connessi smart home sta diventando una necessità di mercato per gli sviluppatori di dispositivi e per i produttori, considerato che i consumatori richiedono sempre di più che i prodotti smart home siano protetti da attacchi malevoli. I principi strategici pubblicati di recente dal DHS per la sicurezza dei dispositivi connessi forniscono un quadro utile che può essere usato nello sviluppo di un piano di sicurezza informatica specifico per dispositivo. Con il CAP di UL, sia gli sviluppatori sia i produttori possono affrontare con efficacia le crescenti preoccupazioni riguardanti la sicurezza dei sistemi e dei dispositivi smart home connessi, contribuendo così alla protezione e alla sicurezza dei consumatori di tutto il mondo.
