La cyber security è anche una questione “domestica”

A cura di:Federica Maria Rita Livelli Ore

Introduzione

Internet of things (IoT) & smart device sono sempre più numerosi nella nostra quotidianità. Le nostre abitazioni sono sempre più gestite da home assistant, elettrodomestici intelligenti, smart tv, smartphone e dispositivi vari, tutti collegati al wi-fi domestico e strumentazioni di domotica che si basano sull’Intelligenza artificiale e machine learning. Vere e proprie Smart home che pullulano di dispositivi connessi che, se non adeguatamente protetti, possono essere oggetto di attacchi hacker e violazione della privacy.

Secondo quanto si evince della ricerca dell’Osservatorio Internet of Things della School of Management del Politecnico di Milano, presentata a febbraio scorso durante il convegno online “Stay at home, stay in a Smart Home: la casa intelligente alla prova del Covid” il mercato degli home smart device nel 2020 ammontava a euro 505 milioni. Un mercato – secondo i dati pubblicati da IDC (società mondiale di ricerche di mercato in ambito IT) – cresciuto del 10,3% nel 2021 e che continua a presentare problematiche in termini sia di sicurezza informatica dei dispositivi e dei sistemi smart home sia di privacy e integrità dei dati prodotti e consumati, la maggior parte dei quali, di natura personale e sensibile. La pandemia, provocando l’accelerazione del processo di digitalizzazione ed innovazione, ha acuito enormemente il problema.

Luci ed ombre della smart home

Dobbiamo essere sempre più consapevoli che la smart home e i dispositivi IoT, se da un lato possono essere utili, dall’altro lato, possono presentare vulnerabilità critiche imprevedibili.

La vulnerabilità della cybersecurity delle smart home si evince anche uno studio di Euroconsumers – condotto in Spagna, Portogallo, Belgio ed in Italia tramite Altroconsumo – dal titolo emblematico “Hackable Home”, che esamina quanto i dispositivi intelligenti a cui sono connesse siano tutt’altro che a prova di hacker.

Sono state testate la sicurezza e l’affidabilità di 16 dispositivi “intelligenti” ad uso domestico – tra cui sistemi di allarme, router WiFi, baby monitor, smart tv, etc. – delle principali marche presenti sul mercato dei quattro Paesi europei coinvolti. È risultato che ben 10 dei 16 dispositivi testati non hanno una comunicazione criptata adeguata atta a proteggere la privacy e la sicurezza dei dati degli utenti e tale vulnerabilità è stata classificata come “altamente grave” o “critica”.

Inoltre, lo studio ha evidenziato le seguenti problematiche più diffuse e anche più rischiose:

  • Autenticazione Wi-fi che può essere manipolata da hacker esperti disconnettendo il dispositivo e disattivando, quindi, la rete internet.
  • Possibili violazioni di dati sensibili degli utenti, a causa di problemi strutturali dell’hardware.
  • Impostazioni di fabbrica non sicure principalmente a causa della violabilità delle password preimpostate.

Gli attacchi che rendono vulnerabili i dispositivi IoT che utilizziamo quotidianamente delle nostre case si presentano su una vasta gamma. Basti pensare ai dispositivi intelligenti esterni alle nostre abitazioni (i.e. apriporta, i campanelli wireless, irrigatori intelligenti, telecamere, ecc.) che possono essere facilmente violati da qualche hacker che si trova in prossimità con un computer o un altro trasmettitore Wi-fi. Di fatto, i dispositivi intelligenti all’aperto possono essere utilizzati come punti di ingresso, consentendo agli hacker di accedere all’intera rete domestica intelligente.

Per evitare che uno sconosciuto spii la nostra rete, è importante controllare come questi prodotti memorizzano i nostri dati, ovvero: se il sistema del dispositivo memorizza le nostre informazioni personali ed è connesso alla rete domestica principale, esiste la possibilità che una violazione di un dispositivo sulla rete possa rivelare i nostri dati a un hacker. Anche le Smart TV possono essere un facile bersaglio di cyber attack: gli hacker potrebbero potenzialmente accedere a un televisore non sicuro e prendere il controllo cambiando canale, regolando i livelli di volume e persino mostrare contenuti inappropriati ai bambini. Inoltre, gli elettrodomestici intelligenti sempre più diffusi nelle nostre cucine e facilmente comandabili dal cellulare o utilizzando l’attivazione vocale, possono anch’essi essere compromessi da abili hacker.

AAA: cybersecurity domestica cercasi

È evidente che più dispositivi connessi abbiamo in casa, maggiori sono le opportunità che i criminali hanno di infiltrarsi nella nostra rete, raggiungere altri dispositivi ricchi di dati, con il rischio di veder compromesse le nostre informazioni private e finanziarie. Pertanto, così come avviene nelle organizzazioni, dobbiamo adottare un approccio cyber resilience -oriented anche per i nostri dispositivi domestici, mettendo in pratica una serie di azioni necessarie per tutelare la nostra sicurezza e privacy. E, precisamente:

  • Protezione della rete Wi-fi – solitamente la maggior parte dei router Wi-fi non sono protetti o utilizzano una password predefinita come “admin”, rendendo più facile per gli hacker accedere ai dispositivi collegati al router: Pertanto, si consiglia di proteggere la rete Wi-fi con una password complessa e di evitare di collegarsi ad essa da reti Wi-fi pubbliche. Ricordarsi di rinominare e riavviare il router regolarmente.
  • Mappatura di tutti i dispositivi domestici smart – Tutti i dispositivi connessi alla rete, dovrebbero essere ben “contabilizzati” in termini di: impostazioni, credenziali, versioni del firmware e patch recenti in modo tale da essere in grado di valutare quali misure di sicurezza adottare e individuare quali dispositivi sostituire o aggiornare.
  • Impostare password complesse ed univoche rif. account di ogni dispositivo – Creare una password lunga almeno 12 caratteri, contenente una combinazione di lettere maiuscole, lettere minuscole, simboli e numeri e che sia univoca per ogni account, in modo che quando un account viene compromesso, gli altri siano al sicuro. E ricordarsi di cambiarla periodicamente. Si consiglia di optare per gestori di password difficili da attaccare e che tracciano la frequenza con cui si modifica la password.
  • Scouting & intelligence preventiva prima di acquistare un dispositivo intelligente – Verificare sempre l’affidabilità e la reputazione del produttore del dispositivo, oltre a prendere nota delle informazioni/dati raccolti dal dispositivo IoT e come essi sono gestiti/utilizzati dal fornitor, verificando altresì che tipo di controllo si ha in termini di privacy e sull’utilizzo delle informazioni (i.e. funzione di rinuncia alla raccolta delle nostre informazioni/dati o di accesso ed eliminazione delle informazioni/dati raccolti.
  • Effettuare (ove possibile) abilitazione dell’autenticazione a più fattori – Contemplare l’autenticazione a due fattori che implica l’inserimento di un codice univoco del sistema a due fattori per verificare la propria identità, in modo tale da impedire agli hacker di utilizzare tattiche di riempimento delle credenziali (i.e., in combinazioni di e-mail e password per compromettere i profili online) per accedere alla rete o all’account.
  • Effettuare periodicamente l’aggiornamento software dei propri dispositivi – Si consiglia altresì di aggiornare le app per dispositivi mobili che si accoppiano con il dispositivo IoT oltre ad abilitare le impostazioni per attivare gli aggiornamenti software automatici, in modo da avere sempre le patch di sicurezza più recenti.
  • Monitorare e proteggere la propria rete – Dato che il router è l’hub centrale che collega tutti i dispositivi di casa, è necessario verificarne il livello di sicurezza. Dopo aver modificato la password e il nome predefiniti del router, assicurarsi che il nome della rete non fornisca il proprio indirizzo, in modo che gli hacker non possano individuarlo. Successivamente, controllare che il router impieghi un metodo di crittografia che garantisca comunicazioni sicure, oltre a considerare di installare un firewall o un software “total protection”.

Inoltre, anche se non molto diffusa come precauzione, sarebbe consigliabile configurare una “rete ospite” per i propri dispositivi IoT. Ovvero, una seconda rete sul router che consente di mantenere i computer e gli smartphone separati dai dispositivi IoT. In questo modo, se un dispositivo è compromesso, un hacker non può accedere a tutte le preziose informazioni salvate sui computer.

Ovviamente, qualora l’utente non fosse in grado di effettuare queste operazioni preventive da solo si affiderà, per il supporto, ad un tecnico di fiducia.

Riflessioni

Indubbiamente le smart home sono una grande opportunità e comodità, ma devono garantire ai consumatori la tutela della propria sicurezza e privacy, soprattutto considerando che la casa è il luogo che, per definizione, deve garantire intimità e protezione. Ne consegue che dobbiamo incorporare anche nella nostra vita quotidiana la cultura della cyber resilience. Solo così potranno venire contenuti i rischi e colti i benefici prospettati da questa evoluzione tecnologica.

Inoltre, per far sì che il futuro dei dispositivi connessi nelle case migliori la nostra vita, dobbiamo abbracciare la tecnologia in modo responsabile ed etico e dobbiamo considerare la sicurezza fin dalla progettazione. Ovvero, i consumatori devono essere tutelati maggiormente e, a tal proposito, le aziende produttrici devono impegnarsi di più in modo tale da assicurare che i dispositivi delle nostre smart home siano “sicuri by design” prima di essere immessi sul mercato, a livello sia hardware sia software. Tale caratteristica deve altresì essere garantita nel tempo con aggiornamenti costanti, tempestivi ed efficaci per far fronte alla rapida evoluzione della tecnologia e dei rischi che comporta.

Ulteriori approfondimenti:

 

Articolo a cura di Federica Maria Rita Livelli

 

Profilo Autore
Federica Maria Rita Livelli

Certificata in Risk Management (FERMA/ANZIIF certificazioni Iso 3100:2018) & Business Continuity (AMBCI Certification – BCI, UK; CBCP Certification – DRI, Usa), svolge consulenze in Risk Management & Business Continuity oltre ad effettuare un’attività di diffusione e sviluppo della cultura della resilienza presso varie istituzioni e università italiane e straniere. Ricopre anche il ruolo di Training Director presso BeDisruptive Consulting.

Membro de:
· ANRA (Associazione Nazionali Risk Manager & Responsabili Assicurazioni Aziendali) – Membro Comitato Direttivo
· BCI, UK (Associazione Internazionale Business Continuity & Resilience) – Membro del Conduct Committee
· BCI CYBER RESILIENCE SIG – Board Member
· CLUSIT (Associazione Italiana per la Sicurezza Informatica) - Membro Comitato Scientifico e Gruppo CLUSIT AIXIA
· ENIA (- Ente Nazionale per l’Intelligenza Artificiale) - Membro Comitato Scientifico
· FERMA (Federation of European Risk Management Associations) – Membro of Digital Committee
· UNI (Ente Nazionale Italiano di Normazione) - Rappresentante per ANRA al Comitato Tecnico UNI/CT 016/GL 89 "Gestione dell'innovazione" (ISO/TC 279) (Commissione Tecnica -UNI/CT 016 "Gestione per la qualità e metodi statistici")

Speaker in numerosi seminari e convegni nazionali ed internazionali in riferimento a tematiche di Business Continuity & Risk Management, Resilience , Change Management, Innovazione, Cyber Security, Facility Management & Procurement e Artificial Intelligence

È altresì autrice di numerosi articoli inerenti alle tematiche di Risk Management & Business Continuity, Cybersecurity e Resilience pubblicati da diverse riviste italiane e straniere. Co-autrice de: Report 2020-2021-2022 -2023-2024 CLUSIT-Cyber Security e de “Lo stato in Crisi” ed. Franco Angeli.

Altri Articoli
Condividi sui Social Network:

Articoli simili

L’accreditamento dei laboratori che effettuano Vulnerability Assessment

L’accreditamento dei laboratori che effettuano Vulnerability Assessment

A cura di:Paolo Sferlazza Ore Pubblicato il

A cavallo tra la fine del 2016 e l’inizio del 2017, le circolari Accredia indirizzate agli Organismi di Certificazione (OdC) che intendevano accreditarsi per poter effettuare attività di valutazione sui soggetti che offrivano SPID, Conservazione a Norma e Servizi Fiduciari (eIDAS) (circolari N° 35/2016 – 15/12/2016, N° 5/2017 27/02/2017 e N° 8/2017 27/03/2017) richiedevano, agli…

Identità, Applicazioni e Dati: un valore da proteggere attraverso un sistema integrato

Identità, Applicazioni e Dati: un valore da proteggere attraverso un sistema integrato

A cura di:Redazione Ore Pubblicato il

I problemi relativi alla sicurezza informatica stanno diventando una lotta quotidiana per le imprese. Le recenti tendenze e le statistiche sul tema rivelano un enorme aumento dei dati compromessi e violati da fonti sempre più comuni sul posto di lavoro, come i dispositivi mobili e IoT. Inoltre, recenti ricerche suggeriscono che la maggior parte delle…

Prompt Hacking: Vulnerabilità dei Language Model

Prompt Hacking: Vulnerabilità dei Language Model

A cura di:Giacomo Arienti e Simone Rizzo Ore Pubblicato il

Introduzione Gli attacchi ai LM (Language Model) come la prompt injection e la prompt leaking possono essere paragonati alle SQL injection nel contesto della sicurezza informatica. Mentre le SQL injection sfruttano le vulnerabilità dei sistemi di gestione dei database per inserire codice dannoso all’interno delle query SQL, gli attacchi ai LM prendono di mira i…

Guida pratica per la difesa cibernetica aziendale attraverso il fattore umano

Guida pratica per la difesa cibernetica aziendale attraverso il fattore umano

A cura di:Giacomo Gabrieli Ore Pubblicato il

Nell’era digitale in costante evoluzione le tecnologie avanzano, le opportunità crescono, e parallelamente aumenta anche la complessità delle sfide informatiche. Le organizzazioni si trovano pertanto di fronte a un costante dilemma: come proteggere i propri dati e la propria reputazione in un mondo sempre più interconnesso? La risposta risiede nell’elemento umano, il cosiddetto Human Factor,…

Le polizze assicurative cyber: un tassello del complesso mosaico di Risk Management

Le polizze assicurative cyber: un tassello del complesso mosaico di Risk Management

A cura di:Redazione Ore Pubblicato il

Le conseguenze di un attacco informatico spaziano dal furto di segreti industriali e informazioni riservate, ai danni reputazionali e la conseguente perdita di business, fino a deterioramenti finanziari o sanzioni amministrative. In risposta a questi sinistri il mondo assicurativo ha creato dei prodotti ad hoc. Le polizze cyber risk sono presenti sul mercato da almeno…

La diffusione dalle fake news e la sicurezza informatica

La diffusione dalle fake news e la sicurezza informatica

A cura di:Nanni Bassetti Ore Pubblicato il

Ogni qualvolta si diffonde un nuovo ransomware scoppiano il caos e gli allarmi, si scrivono fiumi d’inchiostro digitale per dire e ridire le stesse cose, per descrivere il comportamento del malware, per dare istruzioni su come rimuoverlo o come non farsi infettare, sui possibili responsabili (NSA, Russi, Cinesi, Cia e bad guys generici), ne parlano…