Sicurezza IoT: e chi se ne frega 4.0!
Non sarà sfuggito agli amici del Blog, informatici, managers, imprenditori, Titolari del Trattamento ma anche folle di Interessati, che dal 2017, tutto ciò che accade è diventato “Qualcosa 4.0″
Nulla di cui scandalizzarsi per chi da decenni segue l’evoluzioni tecnologiche nei processi aziendali. Quello che è singolare che pochi fanno rilevare di come si sia passati dall’era 2.0 a quella 4.0. Dove e quando abbiamo maturato l’epoca del “tutto 3.0“?
L’internet degli oggetti (IoT), o meglio ancora “di ogni oggetto” (IoE) si impossesserà della vita umana che popola il globo. E ‘, e sarà, ovunque: controllo dell’illuminazione, distributori automatici, parcheggi, semafori, telemedicina, sicurezza domestica, bancario, contatori intelligenti, ecc, ecc Chiedersi quali rischi comporta questo tzunami tecnologico è illusorio perché la maggior parte dei rischi ancora non sono neppure congetturabili.
Altrettanto ridicolo è chiedersi se o meno siamo pronti per un malfunzionamenti, violazioni della Privacy o arresti di sistemi e infrastrutture. La risposta è già conosciuta: assolutamente no!
Siamo disposti ad affrontare un paradigma fantascientifico con cacciaviti e martelli?
In Italia navighiamo nella palude di una “Cyber Ignorance” il cui approccio è quello del “e chi se ne frega?”
A parte le discussioni in circoli e convegni di esperti (o presunti tali), la consapevolezza pubblica semplicemente non esiste.
La ragione di questo è la cattiva abitudine di non studiare pro-attivamente l’evoluzione tecnologica IT mondiale, subendo il vassallaggio dei grandi players HW/SW incombenti a scapito del terzo mondo tecnologico. A questo si aggiunge che pochi “artigiani dell’ IoT”, per quanto coraggiosi e illuminati, non possono trascinare le coscienze di un popolo e di Istituzioni che prestano attenzione alle “disastri informatici” solo quando visibilmente distruttivi. Quindi, quando sono oramai irrimediabili.
Gli specialisti ICT sanno del famoso caso Stuxnet, quando le agenzie USA/Israele hanno compromesso le apparecchiature nucleari iraniane dello SCADA, incorse poi in avaria. La realtà è che quell’incidente non è l’unico. Ci sono stati molti incidenti che per motivi di controllo della politica geo-tetica, non sono stati resi noti.
Mentre scriviamo, sono già stati comprovati difetti di sicurezza IOT nei prodotti di consumo, come giocattoli per bambini, monitor per bambini, automobili e pacemaker!
Tutti pensiamo al fatto che è giustificabile questa filiera di target perché si tratta di “end consumers”. Magari!
Alla fine di Ottobre 2016, Dyn®, un grande fornitore di infrastrutture Internet, ha subito un attacco DDoS ottenuto sfruttando malware su dispositivi IoT come webcam e stampanti collegate alla rete Dyn.
In sintesi estrema: NESSUNO E’ INDENNE!
Quando vediamo progetti con l’incorporazione di piattaforme proprietarie per IoT, leggiamo opuscoli di marketing e di vendita dicevano tipo
“Il nostro internet degli oggetti è sicuro”
Parliamo di un fornitore del servizio universale del prodotto praticamente incontrollato e incontrollabile. Eppure, quando si fa un progetto reale si dovrebbero mettere in discussione le dichiarazioni di marketing e comprovare la QA con dovuta diligenza.
Cosa succederebbe se potessi rivolgere queste domande al product manager e al suo team:
- Può mostrami in che modo i vostri prodotti sono sicuri?
Come vengono identificati i dispositivi?
Come vengono autenticati?
Dove sono memorizzati un ID e/o il relativo certificato?
ID e certificato sono in una locazione di memoria protetta e sicura del chip?
Quale autorità rilascia questi certificati?
Nel caso fossero proprietari, come sono coniati?
Come posso recuperare dati critici di una sessione?
Quale algoritmo di crittografia viene utilizzato?
Il generatore di numeri casuali è probabilistico, deterministico o stocastico?
Il dispositivo prevede un processo di revoca?
Nessun produttore risponderebbe. Anche peggio, di alcune delle domande sconoscerebbe anche il senso.
Se ripetessi l’esperimento con un Security Architect o un Pre-sales otterrei lo stesso risultato.
Sembra che nell’era dell Industry 4.0, dove tutto è “Open”, tutti, inesorabilmente ripetono lo stesso identico mantra:
il nostro prodotto è sicuro!
Tutti sanno ce le dichiarazioni di marketing sono pura finzione. Nella migliore delle ipotesi qualche caratteristica di sicurezza del prodotto è effettivamente realizzata: ad esempio hanno utilizzato un collegamento TLS.
Il problema è che l’ IoT deve essere considerato un sistema e non un prodotto sé stante. In molti casi, l’IoT si potrebbe addirittura qualificare come un sistema di sistemi!
In questo scenario, la sicurezza del sistema è forte quanto il suo anello più debole. Come instancabilmente ripetiamo nei nostri seminari: “in una catena di acciaio la resistenza è quella dell’anello di alluminio”
La metafora che sfrutto è molto meno aleatoria di quanto sembri, quando pensiamo alla catena : progettazione > implementazione > solution provider > integratore di sistemi > operatore assemblaggio > venditore > utente finale.
Ogni stakeholder dell’ IoT, tendono ad una distribuzione disoggetti interessati molto più complessa rispetto ad altri sistemi TIC.
Altra domanda da un milione di Euro:
Chi diventa responsabile della sicurezza?
NESSUNO FINCHE’ NELLA CATENA DI FORNITORI I CLIENTI FINALI NON LA ESIGONO!
Cosa? Perché ai clienti non importa? Non si preoccupano di tutti i rischi aziendali e degli aspetti legati alla privacy? Non inciderebbe sul loro reddito o sulla loro reputazione?
L’abbiamo scritto nel titolo: e chi se ne frega!
Alcune società di consulenza hanno iniziato a promuovere un controllo dello stato di salute dell’internet degli oggetti. Purtroppo, non vi sono ancora molti fornitori di questo servizio, data la diversità e le dimensioni del mercato dell’internet degli oggetti. Inoltre, è improbabile che i consumatori si rivolgano a società di consulenza specializzate.
Le società antivirus hanno iniziato a sviluppare piattaforme di sicurezza per l’internet degli oggetti. Probabilmente ci vorranno 5-10 anni prima che diventino così ampiamente usati come antivirus tradizionali. Il mercato degli antivirus ha richiesto circa 10-15 anni per maturare. Speriamo che il mondo non crolli nel frattempo
Concludo per non annoiare
Anche se la sicurezza e le attività di CyberSec realmente sostenute dalle istituzioni non sono direttamente legate in responsabilità rispetto a quanto scritto sopra, ci sono delle implicazioni pressoché identiche di responsabilità nei confronti delle persone che sono consumatori per il mercato, cittadini per lo stato, pazienti per le strutture sanitarie.
Consapevole di citare un esempio estremo, e tuttavia concretamente recepito dalle popolazioni mondiali, pensiamo alla NSA che ha creato il virus WannaCry, causando devastazione alle aziende normali e cittadini.
Ulteriori domande nascono ineludibili: ma nella guerra Cyber, dove si trova il fronte? Chi sono i nemici?
Ad oggi IoT 4.0 è possibile solo se artigianale
Ciò che sembra paradossale dovrà essere abbracciato come un paradigma. L’unico futuro possibile per un IoT “umano” sarà quello artigianale. Peraltro, la rivoluzione europea sulla protezione dei dati, nota con l’acronimo GDPR, rende mandatorio per i costruttori (di ogni ordine e dimensione), progettare la sicurezza sin dalla concezione del prodotto sviluppando intelligenza euristica di sw che formalizza la così detta “protezione per impostazione predefinita” (Art. 25 Reg.679/16 – GDPR/16/EU)
Chi scrive ha fatto una scelta di campo e crede che nel mondo IoT, una rivoluzione sia possibile se parte dal basso. Ho quindi scelto una piccola azienda di Genova dove gli IoT si pensano, si disegnano, si progettano e si fanno!
Esatto, si fanno. Cosi come un ebanista fa un tavolino, un artista fa la scultura, un panettiere fa il pane. A costoro importa, importa molto!