IMQ, principale organismo italiano nel settore della valutazione di conformità ed esperto di sicurezza, sottolinea i potenziali rischi collegati all’Internet of Things, se non gestito in maniera corretta, in termini sia di cybersecurity, sia di gestione dei dati.
di MIT Technology Review Italia
Internet of Things è un neologismo che si è affacciato nel vocabolario italiano nel 1999, ma solo recentemente è entrato in maniera capiullare nella vita quotidiana. Tra smartphone, smart car e soprattutto smart home, attualmente un individuo è connesso alla rete tramite dispositivi di ogni sorta praticamente in ogni momento della sua vita.
Guardando alla sua crescita, secondo i dati dell’ultimo Osservatorio IoT della School of Management del Politecnico di Milano, l’IoT costituisce una delle maggiori spinte per lo sviluppo digitale in Italia. Il mercato era infatti a quota 2,8 miliardi di euro nel 2016, con un aumento del 40 per cento rispetto all’anno precedente: una crescita esplosiva in un solo anno, favorita in particolare dall’aumento del numero di oggetti collegati a Internet.
Nel nostro Paese i dispositivi connessi tramite rete cellulare sono attualmente 14,1 milioni (+37 per cento rispetto al 2016), ma in questo dato non sono compresi quelli che utilizzano altre tecnologie come la Power Line Communication o la radiofrequenza.
Elettrodomestici spia
Uno dei punti chiave per lo sviluppo dell’IoT è costituito dall’enorme quantità di dati raccolti grazie ai dispositivi connessi. Si tratta di dati sulle nostre abitudini di vita, che, sempre secondo l’Osservatorio del Polimi, non vengono ancora sfruttati, ma presto potrebbero offrire alle aziende una quantità di profili completo da archiviare o rivendere a terzi.
Inoltre, i dispositivi IoT, in quanto connessi e comunicanti, possono venire inglobati in una rete composta di dispositivi infettati da malware e controllati dai botmaster. I rischi sono quelli di un qualsiasi altro attacco DDoS (Distributed Denial of Service), in grado di mettere a repentaglio la sicurezza delle nostre informazioni. I cosiddetti botmaster possono però costituire una minaccia anche peggiore, arrivando a infiltrarsi letteralmente nei nostri dispositivi e mettendo a rischio la nostra privacy.
Emblematico resta il caso di una famiglia in Texas, che nel 2013 si è trovata a fronteggiare un hacker infiltratosi nel baby monitor del lettino della loro bambina di due anni. Marc Gilbert, il padre, in seguito all’episodio ha impostato delle password sia per il router, sia per il baby monitor. Per altro, le misure di sicurezza più consuete non sono riuscite a bloccare l’attacco, dovuto a una vulnerabilità nel firmware della telecamera wireless, scoperta in seguito dall’azienda produttrice. Questa falla permetteva a chiunque di controllare da remoto il dispositivo: in tutto il mondo, ai tempi, c’erano più di 48mila telecamere come quella, connesse a Internet.
Dunque i rischi ci sono e chiunque può esserne colpito, soprattutto se si considera che l’Internet of Things sta letteralmente entrando nelle nostre case: il fenomeno smart home ha infatti subito un’impennata del 23 per cento lo scorso anno. La ricerca del Polimi sottolinea come la maggioranza delle soluzioni comprenda videocamere di sorveglianza, videocitofoni intelligenti e sensori di movimento, ma non mancano all’appello le soluzioni per la gestione dei sistemi di riscaldamento e raffreddamento e di elettrodomestici. Anche forni, lavatrici, frigoriferi, lavastoviglie sono fonti di informazione e possibili obiettivi di controlli indesiderati da remoto.
Shodan: una minaccia alla portata di tutti
A spaventare è la diffusione di tool sempre più accessibili che permettono, con conoscenze di informatica basilari, di fare operazioni di hacking. Un esempio è Shodan, una sorta di motore di ricerca per hacker che scandaglia la rete alla ricerca dei dispositivi connessi tra loro, un po’ come fa Google con i siti web. Tra i suoi risultati compaiono webcam, stampanti di rete, computer, ma anche semafori e impianti di condizionamento.
I suoi creatori (che lo hanno definito “il motore di ricerca più spaventoso al mondo”) sono riusciti a trovare le chiavi di accesso per prendere il controllo del frigobar di un hotel, di una stazione di benzina, addirittura di una diga in Francia. Il software è riuscito a individuare anche i pannelli di controllo dei sistemi elettrici più complessi, e di equipaggiamenti scientifici.
Shodan dimostra che chiunque potrebbe rintracciare uno di questi congegni, accedervi e tagliare l’elettricità a un’intera città, inondare una valle o mandare in fusione una centrale elettrica con un solo click. Dai suoi inventori è sempre stato utilizzato per il cosiddetto white hat hacking, ovvero hacking amico, che serve a evidenziare le potenziali falle nei sistemi di sicurezza in modo da migliorarle. Ma sfortunatamente, gli utenti di Shodan possono anche essere malintenzionati.
Entro il 2019 è stato calcolato (fonte Juniper Research) che la cybersecurity diventerà un problema di 2,1 trilioni di dollari. Un problema che avrà cause esterne, ma anche interne (nel 2016 le falle nei sistemi di sicurezza sono derivate per il 58 per cento dall’interno delle organizzazioni).
Entro il 2020 ci saranno 20,8 miliardi di “cose connesse” con un enorme quantitativo di dati che andranno gestiti secondo i requisiti del nuovo regolamento sulla Privacy, operativo dal prossimo maggio, la cui applicazione potrebbe comportare notevoli investimenti economici.
«IoT, cybersecurity e sicurezza dei dati sono tre tra le parole chiave della quarta rivoluzione industriale», afferma Fulvio Giorgi, Direttore della Business Unit Product Conformity Assessment di IMQ. «A questo scopo, numerosi sono gli strumenti che un organismo di valutazione della conformità quale IMQ può mettere a disposizione. Per esempio, per quanto riguarda l’IoT, la verifica della sicurezza, a livello sia di Rete, sia di dispositivo, da effettuare con analisi delle vulnerabilità, la verifica dell’interoperabilità in particolare dei sistemi di comunicazione, la verifica dell’immunità EMC».
