La Guida “Security Guidance for Early Adopters on the Internet Of Things (IoT)”

A cura di:Enzo Maria Tieghi Ore

Il documento “Security Guidance for Early Adopters on the Internet of Things (IoT)” è il prodotto del gruppo di lavoro CSA Mobile – IoT Initiative (del quale fa parte anche Alberto Manfredi, Presidente di CSA Italy Chapter), pubblicato ad Aprile 2015: il documento è stato creato utilizzando input di un gruppo di esperti di sicurezza e di mobilità provenienti da diversi settori industriali.

Sono inseriti nella Guida riferimenti e informazioni provenienti da linee guida già esistenti, al fine di evitare duplicazioni e favorire l’allineamento con il lavoro di altri organismi del settore. Inoltre questo documento è stato realizzato in modo tale da consentire utilizzo cross-industry: questo è stato ottenuto esaminando architetture utilizzati in molteplici settori e la selezione di controlli di sicurezza che possano essere espressione in ogni settore.

L’IMPORTANZA DI TERMINOLOGIA E DEFINIZIONI

All’inizio, questo documento riporta terminologia e definizioni necessarie in una guida per lo sviluppo sicuro di sistemi basati su Internet of Things (IoT).

Si prende in prestito la terminologia dallo report ITU-T Y.2060 per definire i vari aspetti della IoT. In particolare ITU-T Y.2060 da una definizione di IoT: “infrastruttura globale per la società dell’informazione, che permette servizi avanzati tramite l’interconnessione di cose (fisiche e virtuali) basandosi su tecnologie dell’informazione e della comunicazione (ICT) interoperabili esistenti ed in evoluzione.

Inoltre ITU-T Y.2060 fornisce anche le seguenti definizioni:

• Device/ dispositivo: … “una apparecchiatura con le funzionalità obbligatorie di comunicazione e le funzionalità opzionali di rilevamento, attuazione, acquisizione, archiviazione e elaborazione di dati.”

• Thing/Cosa: … “un oggetto del mondo fisico (cose fisiche) o il mondo informazioni (cose virtuali), che può essere identificato e integrato in reti di comunicazione.”

LE SFIDE E MERCATI DELL’IOT

Innanzitutto questa guida è un documento per aiutare gli sviluppatori nell’arduo compito di mettere in piedi ed utilizzare al meglio l’IoT in modo sicuro, in quanto le soluzioni di sicurezza enterprise tradizionali non rispondono sufficientemente alle esigenze di sicurezza IoT.

L’IoT presenta nuove sfide, tra le quali:

  • Aumento di preoccupazioni sulla privacy, un tema che spesso rimane poco chiaro
  • Sicurezza limitata da vincoli della piattaforma stessa, che rende una sfida i controlli di sicurezza di base
  • La mobilità estesa, che rende complessi il monitoraggio e la gestione degli asset
  • Volumi, che fanno delle operazioni di aggiornamento e manutenzione di routine una sfida
  • Operazioni basate su Cloud che rendono il perimetro di sicurezza meno efficace.

SCOPI DIFFERENTI PER IOT DIFFERENTI

L’IoT è già una realtà nel mondo “consumer” con l’adozione da parte dei consumatori di molti prodotti/servizi già diffusi: oggetti IoT indossabili, elettrodomestici “Smart”, abitazioni “smart”, negozi “smart”, musei, pubblicità, entertainment, ecc.

Ma IoT è anche nel mondo B2B, Industria e nel settore Infrastrutture pubbliche: energia, trasporti, produzione industriale, grande distribuzione, banche, assicurazioni, pagamenti, salute, difesa, ecc.

Nella figura vediamo alcuni tipici esempi di IoT già disponibili oggi.

iot

SVILUPPARE SISTEMI IOT “SICURI”

In questa guida della Cloud Security Alliance (CSA) vengono descritte alcune sfide connesse con l’adozione della IoT e si illustra una serie di raccomandazioni che possono essere seguiti da utentipionieri dell’IoT per soddisfare i seguenti obiettivi:

  • Mantenere riservatezza e integrità di dati personali e di business raccolti all’interno dell’IoT attraverso l’utilizzo di crittografia, autenticazione e protezione dell’integrità dell’infrastruttura IoT
  • Comprendere ed affrontare i temi della privacy dei soggetti interessati prima della implementazione dell’IoT effettuando una valutazione globale dell’impatto sulla privacy
  • Salvaguardare l’infrastruttura dagli attacchi che colpiscono la IoT come vettore con destinazione gli asset di un’organizzazione, attraverso l’uso di controlli del ciclo di vita del dispositivo IoT e un approccio di security a strati (layered security)
  • Avviare un approccio globale per la lotta contro le minacce alla sicurezza attraverso la condivisione di informazioni all’interno della community con fornitori di security, colleghi del settore industriale e la Cloud Security Alliance. Ecco quindi cosa valutare per rendere uno “sviluppo IoT sicuro”:
  • Molti sistemi dell’IoT sono mal progettati e implementati perché usano protocolli e tecnologie diversi che portano a configurazioni complesse
  • La mancanza nell’IoT di tecnologie mature e di processi di business consolidati
  • Scarse linee guida per la manutenzione del ciclo di vita e la gestione dei dispositivi IoT
  • La IoT introduce problemi di sicurezza fisica ancora da valutare
  • Preoccupazioni sulla privacy IoT sono complesse e non sempre immediatamente evidenti
  • Scarsità di Best Practice disponibili per gli sviluppatori IoT
  • Mancanza di Standard per l’autenticazione e l’autorizzazione di dispositivi IoT
  • Mancanza di Best Practice per Incident Management e Response nell’IoT
  • Standard di Audit e di Logging non definiti per i componenti dell’IoT
  • Disponibilità limitata di interfacce tra dispositivi IoT, SIEM, IAM e applicazioni di Security. Ancora non sono pronti metodi di identificazione e di situational awareness per la postura di security riguardo agli asset IoT
  • Norme di security per le configurazioni per piattaforme virtualizzate IoT e multi- tenancy non ancora mature.

CONTROLLI DI SECURITY DA TENERE PRESENTI NELL’IOT

I seguenti controlli di sicurezza sono raccomandati per le organizzazioni che intendono dotarsi o utilizzare l’IoT: sono stati adattati alle specifiche caratteristiche dell’IoT, per consentire ai primi che adottano la IoT di mitigare alcuni dei rischi più evidenti associati a questa nuova tecnologia.

  1. Analizzare l’impatto sulla privacy per i soggetti interessati e adottare un approccio “Privacy-by-Design” nello sviluppo e deployment dell’IoT.
  2. Applicare un approccio “Secure Systems Engineering” in fase di disegno e sviluppo dell’IoT.
  3. Adottare protezioni e security a più livelli per difendere beni IoT.
  4. Implementare Best-Practice per la protezione dei dati e delle informazioni sensibili.
  5. Definire i controlli per tutto il ciclo di vita dei dispositivi IoT.
  6. Definire e sviluppare un framework di autenticazioni/autorizzazioni per l’ecosistema IoT.
  7. Definire e attuare un quadro di Audit/ Logging per l’ecosistema IoT.

ALCUNE CONSIDERAZIONI ED AREE DA GUARDARE CON ATTENZIONE PER LA SICUREZZA IOT

• Al momento c’è ancora un po’ di confusione sia su ruolo dell’IoT che su modelli di business ed architetture: ad esempio c’è chi parla di IoT “personali/consumer” e chi di “Industrial IoT”. Proviamo a pensare alle differenze tra “Smart Home” e “Smart City”, tra Health Care, Utility, Manufacturing, trasporti, veicoli connessi, droni, veicoli a guida assistita, dispositivi indossabili, gaming e vending machines, POS, ecc.

• Differenze insite in sistemi semplici e complessi allo stesso tempo, senza Standard condivisi all’interno dello stesso ecosistema IoT: protocolli, sistemi operativi, tipologia di dati e messaggi, piattaforme, organizzazione e modelli di business.

• Pensiamo a differenti “cicli di vita” per diverse applicazioni e target di mercato: ad esempio un prodotto consumer è destinato ad essere attivo ed utilizzato anche solo per alcune settimane/mesi (a volte quanto dura il dispositivo stesso, e non per questo meno “importante” a livello di privacy e di PII, Personally Indentifiable Information). Un device per l’industria o utility ha un ciclo di vita di anni/lustri: proviamo a pensare ai lampioni di un centro abitato o stazioni di pompaggio di un acquedotto. Come metteremo mano agli aggiornamenti di firmware/software o gestiremo le configurazioni? Come “spegneremo” dispositivi obsoleti, “dimenticati” ed abbandonati che potranno rappresentare future backdoor per accesso alle reti di domani?

• Che protezione “fisica” possiamo ipotizzare per dispositivi sul territorio che potrebbero rappresentare porte di ingresso alla rete?

• Qual è la linea di demarcazione tra la rete dell’IoT e la rete dell’organizzazione che la gestisce? Dove finiscono i sistemi I.T. dell’azienda e dove inizia la IoT che utilizza e/o fa confluire dati ai quei sistemi I.T.? Proviamo a pensare all’impatto che ha già oggi la “BYOD”.

• Valutiamo la Privacy by Design, in quanto applicazioni IoT che non hanno impatti sulla privacy, messe insieme, potrebbero avere grossi impatti sulla privacy: anche utilizzando crittografia ed altri controlli una qualsiasi traccia potrebbe far risalire una specifica transazione ad una specifica persona.

• Sappiamo che alcuni protocolli e dispositivi IoT oggi disponibili non sono stati pensati fin dall’inizio per essere sicuri, e a volte vincoli di capacità di elaborazione e di banda non permettono l’implementazione di tecniche di autenticazione e crittografia evoluti e necessari agli scopi della Security

• Oggi ci sono poche esperienze, poche persone formate e poche best practice sul tema IoT Security e sugli impatti che possano esserci nello sviluppare applicazioni “non sicure”. E questo è vero anche per la gestione di eventuali incidenti dovuti ai problemi di security su reti IoT.

In conclusione, questa guida fornisce alcuni buoni input per fare in modo di avere dei livelli di sviluppo e gestione accettabili già oggi per mettere in piedi IoT più sicure.

SUGGERIMENTI BIBLIOGRAFICI

https://cloudsecurityalliance.org/media/news/csa-launches-new-security-guidance-for-early-adopters-of-the-iot

https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf

https://www.itu.int/itu-t/recommendations/rec.aspx?rec=Y.2060

https://www.iiconsortium.org/wc-security.htm

A cura del gruppo di Lavoro Mobile Working Group di CSA (Cloud Security Alliance)

Autore: Enzo M. Tieghi

Profilo Autore
Enzo Maria Tieghi

Coordinatore Area di Ricerca Internet of Things di CSA Italy

Altri Articoli
Condividi sui Social Network:

Articoli simili

L’incidente OVH: la lesson learned e gli impatti sul business

L’incidente OVH: la lesson learned e gli impatti sul business

A cura di:Maria Elena Iafolla e Federico Lucia Ore Pubblicato il

A distanza di quasi 10 anni dall’incendio di Aruba (29 aprile 2011), che è stato classificato da diversi analisti come il più grande incidente del digitale italiano, riscontriamo nell’evento che ha colpito OVH alcuni parallelismi. Nella notte del 10 marzo 2021, alle ore 00.47, un incendio ha devastato uno dei quattro datacenter della compagnia, il…

Networking e Security: manca collaborazione

Networking e Security: manca collaborazione

A cura di:Redazione Ore Pubblicato il

Tra il 2020 e il 2023, secondo IDC i progetti di trasformazione digitale riceveranno finanziamenti per un totale di 6,8 trilioni di dollari a livello globale. La trasformazione digitale è un termine che può essere applicato a una vasta gamma di progetti, ma per tutti questi progetti di trasformazione sarà necessario ripensare le architetture di…

Minaccia Malware prende di mira il settore dell’aviazione e dell’industria aerospaziale

Minaccia Malware prende di mira il settore dell’aviazione e dell’industria aerospaziale

A cura di:Redazione Ore Pubblicato il

I ricercatori di Proofpoint hanno rilevato TA2541, un attore di minaccia persistente che da anni prende di mira i settori di aviazione, industria aerospaziale, trasporti, produzione e difesa. La campagna in breve Denominato da Proofpoint TA2541, questo attore utilizza costantemente trojan di accesso remoto (RAT) che possono essere impiegati per controllare da remoto macchine compromesse….

GDPR, dopo 3 mesi la PA è ancora ferma

GDPR, dopo 3 mesi la PA è ancora ferma

A cura di:Leonardo Scalera Ore Pubblicato il

Di mesi oramai ne sono passati più di tre dal fatidico GDPR Start Day (25 maggio 2018) e intorno alla nuova (perché in molti casi così viene ancora “apostrofata”..) normativa ancora si percepiscono fermento, timori, dubbi e speranze. Quanto avevamo detto, circa due mesi fa, nel precedente contributo (25 giugno 2018: ad un mese dal…

Amir Yampel – Intervista al Cyber Crime Conference 2017

Amir Yampel – Intervista al Cyber Crime Conference 2017

A cura di:Redazione Ore Pubblicato il

[video_embed video=”217456248″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”700″ height=”400″] Amir Yampel Insider Threats Business Development, ObserveIT Come uniformarsi al GDPR gestendo le minacce interne Consigli utili per tutte quelle aziende che dovranno adeguarsi al GDPR (General Data Protection Regulation), il nuovo regolamento europeo in tema di trattamento dei dati personali che uniforma le normative nazionali e…