La questione della sicurezza dei dispositivi IoT e della privacy dei dati (nostri) da essi veicolati è centrale sia per le imprese produttrici (per le quali a volte etica e security sono un optional) che per i consumatori, forse distratti (questi ultimi) dai notevoli benefici derivanti dall’utilizzo degli assistenti vocali o delle auto connesse, per citare due esempi tra i più diffusi sul mercato consumer.
Si dibatte molto su quale dovrebbe essere la soluzione migliore per stabilire standard adeguati di sicurezza e di rispetto della privacy, anche in vista dell’adozione del 5G. Negli Usa, una legge che entrerà in vigore dal 2020 prevede l’adozione di standard minimi per gli apparati presenti negli uffici pubblici. In Europa basterebbe mettere in pratica due concetti chiave del Gdpr: la “security by design” e l’approccio “risk based“.
Ma quali sono gli ingredienti del successo dell’Internet delle cose e i principali rischi per i consumatori?
IoT, le prospettive del mercato e i rischi
Semplicità d’uso, basso costo d’acquisto e disponibilità di informazioni in tempo reale sono gli ingredienti alla base del successo del mercato IoT che nei prossimi 4 anni potrebbe raggiungere oltre 200 miliardi di dollari di fatturato e contare non meno di 50 miliardi di dispositivi connessi.
Di contro, il prezzo da pagare in termini di perdita di sicurezza e privacy è molto alto ed il motivo è essenzialmente dovuto alla facilità con cui videocamere, elettrodomestici e sensori di varia natura possono essere manomessi a volte solo per il semplice gusto di creare disagio nella vita privata di qualche sconosciuto, ma molto spesso da vere organizzazioni criminali a caccia dei nostri dati e delle nostre abitudini.
Sappiamo tutti che qualsiasi dispositivo connesso ad internet è potenzialmente violabile, quello che però probabilmente sottovalutiamo è il fatto che proprio a causa della rapida crescita del mercato, le aziende produttrici di soluzioni IoT sono concentrate prevalentemente sull’aspetto commerciale della trasformazione digitale e pochissimo sui rischi ad esso collegati, mentre gli utenti che pure stanno prendendo consapevolezza delle problematiche, continuano a considerare vantaggioso il beneficio ricevuto dalla moltitudine di dispositivi connessi rispetto ad un eventuale rischio di compromissione dei loro sistemi.
Le questioni da affrontare
Le questioni da affrontare sono di varia natura, prima di tutto la connettività ed il sistema di trasporto dei dati.
E’ indubbio che all’aumentare dei dispositivi connessi, aumenti anche il numero dei punti di attacco per gli hacker e router ed access point sono i primi anelli deboli della catena della security, cosi come la trasmissione prevalentemente wireless dei dati ci espone a vulnerabilità importanti.
Se per gli standard trasmissivi è possibile fare qualcosa semplicemente prevedendo soluzioni di crittografia, non è altrettanto semplice ragionare sull’hardware ed il motivo è prevalentemente culturale.
Anche in questo caso infatti le imprese non prevedono di default l’utilizzo di criteri di protezione adeguati e gli utenti non sempre hanno la sensibilità giusta per comprendere i rischi reali di un’infrastruttura debole.
In realtà per limitare alcuni danni, sarebbero sufficienti accorgimenti come l’uso di password complesse, doppi sistemi di autenticazione, ma anche il semplicissimo aggiornamento del firmware degli apparati.
I sistemi di home automation e la privacy
Il problema però non è solo di sicurezza, ma anche di privacy, perché ad esempio l’adozione di soluzioni di home automation in grado di regolare luci o climatizzare gli ambienti e l’introduzione dei cosiddetti assistenti vocali, ha amplificato la discussione tra gli entusiasti che vedono notevolmente semplificate le loro routines quotidiane e gli scettici che ritengono, non senza ragioni, che la mancanza di adeguate procedure di tutela non faccia altro che avvantaggiare le case produttrici in grado di profilare ogni minimo dettaglio delle nostre più intime abitudini.
Gli assistenti vocali, come sappiamo, sono oggetti intelligenti in grado di riconoscere il linguaggio naturale che sfruttano meccanismi di machine learning per perfezionare il loro apprendimento e migliorare sia la comprensione delle nostre abitudini che la capacità di ascolto.
Le interazioni tra noi e dispositivi come Alexa o Google Assitant vengono registrate e riutilizzate per migliorare i sistemi di apprendimento ma non tutto è automatizzato, cosi è successo che nel mese di aprile un’indagine pubblicata da Bloomberg ha evidenziato come migliaia di dipendenti Amazon abbiano il compito di ascoltare campioni di registrazioni audio per migliorare le competenze di Alexa e quindi il servizio offerto agli utenti, suscitando un bel po’ di polemiche sia per quanto riguarda il rispetto della privacy (pare che tra i compiti assegnati ci fosse anche quello di annotare conversazioni “critiche”) che per evidenti questioni di etica professionale.
Auto connesse e sanità, quali problematiche
Tutti questi elementi assumono un’importanza decisamente più elevata quando dai dispositivi di smart home ci spostiamo verso sistemi di gestione della mobilità o peggio ancora nel sistema sanitario.
Nel primo caso, basti pensare che oltre un terzo del parco auto ad oggi circolante in Italia è composto da veicoli connessi ad internet e proprio di recente, un test effettuato dal CNR di Pisa ha potuto dimostrare la semplicità con cui è stato possibile prendere il controllo remoto di un’automobile sfruttando una vulnerabilità del sistema operativo Android installato sull’autoradio del veicolo. Che dire poi dei sistemi di controllo intelligente del traffico? Anche in questo caso è stato possibile dimostrare come alcune vulnerabilità nei software di gestione dei semafori potessero diventare veicolo di attacco da parte di criminali in grado di congestionare il traffico in alcune aree a discapito di altre e deviare l’attenzione delle forze di polizia su situazioni di reale pericolo, create artificiosamente per commettere con un minor livello di rischio alcuni crimini come rapine o furti.
Per certi versi è addirittura peggiore la situazione nel settore sanitario in cui la tecnologia IoT a supporto degli ospedali sta cercando di migliorare la ricerca medica ed in molti casi abbattere i costi di gestione, è il caso dei dispositivi indossabili in grado di monitorare e trasmettere dati sulle pulsazioni cardiache o dei cerotti smart per pazienti diabetici che controllano il livello di glicemia nel sangue, cosa succederebbe se questi dispositivi potessero essere alterati a distanza provocando ad esempio la morte di pazienti?
Quali standard per garantire sicurezza e privacy
Non credo che la soluzione migliore per evitare questi rischi sia limitare l’uso della tecnologia in settori critici, e quindi relegare per certi versi l’uso dei sistemi di IoT al solo ambito domestico, però è necessario individuare un percorso che possa contenere i pericoli esterni, un percorso fatto di consapevolezza e di soluzioni radicali che consentano di stabilire standard adeguati di sicurezza e di rispetto della privacy.
Il primo dovrebbe essere l’adozione di un sistema universale in grado di definire le caratteristiche minime di sicurezza dei vari dispositivi e le modalità di trasmissione delle informazioni, si tratta di un percorso non semplice perché influenzato da questioni di mercato e dalla difficoltà di integrare tecnologie indipendenti tra loro senza creare ulteriori vulnerabilità. Si tratta però di una condizione preliminare all’adozione di successive soluzioni che potrebbero rendere realmente efficace l’uso dell’Internet of Things.
Tra queste l’esigenza di sistemi di trasporto realmente efficaci e da un certo punto di vista l’entrata in vigore del 5G da un lato rappresenterebbe un’ulteriore spinta alla diffusione dei sistemi connessi e dall’altro, senza adeguate protezioni, potrebbe significare l’esasperazione di scenari critici.
Un ulteriore elemento potrebbe essere rappresentato dall’adozione di norme come il Cybersecurity Improvement Act emanato di recente negli USA e che entrerà in vigore nel 2020.
La norma parte dall’esigenza di definire standard minimi di sicurezza per tutti gli apparati presenti negli uffici pubblici, standard che devono garantire semplicità di aggiornamento e devono sfruttare protocolli comuni per la gestione della sicurezza delle informazioni. A questi si aggiungono le caratteristiche minime delle credenziali di primo accesso configurate di default sui sistemi.
Resta un ultimo elemento da considerare, forse il più importante ed ancora una volta ci viene in soccorso il Regolamento europeo sulla protezione dei dati personali. Non a caso il GDPR parla esplicitamente di “security by design” introducendo il concetto dell’approccio “risk based”, sarebbe sufficiente adottare nella pratica questi due concetti per ridurre ulteriormente l’area grigia nella quale operano i sistemi di IoT, ma per ora è una questione ancora troppo complessa per essere affrontata nella realtà del mercato e per questo dovremo aspettare ancora un po’ di tempo o qualche data breach clamoroso prima di vederla adottata dai vari produttori.
