Viviamo nell’era dell’Internet of Things, ovvero un ecosistema tecnologico fatto di dispositivi e luoghi connessi alla rete, in cui gli oggetti di uso quotidiano (dall’automobile agli elettrodomestici) possiedono una propria identità elettronica.
L’Internet of Things è in continua evoluzione. Secondo le previsioni di Gartner, nei prossimi anni il mondo dell’IoT vivrà una crescita esponenziale: nel 2016 l’utilizzo dell’Internet of Things aumenterà del 30% ed entro il 2020 saranno circa 25 miliardi gli oggetti che si avvarranno dell’IoT.
Tuttavia, nonostante i tanti vantaggi di cui questi dispositivi intelligenti saranno portatori, restano aperte importanti questioni legate alla sicurezza e alla privacy. L’evoluzione dell’IoT è accompagnata da una crescente complessità in termini di sicurezza di funzionamento: tutelare gli oggetti “smart”, e quindi dati e infrastrutture, da hacker, malintenzionati e potenziali minacce significa proteggere la cosidetta “Identity of Things” (IDoT).
Questa tematica è stata approfondita al WSO2 Con EU 2015 da Paul Fremantle, co-fondatore e CTO di WSO2, che ha consigliato tre le regole essenziali per tutelare la sicurezza dell’IoT:
- Non essere stupido: è di basilare importanza non ripetere gli errori già commessi in precedenza e non ignorare le regole fondamentali su cui si fonda l’Internet Security.
- Sii intelligente: è importare seguire costantemente le best practice nell’utilizzo di Internet e dei propri device.
- Pensa diversamente: occorre analizzare le sfide cui devono far fronte i propri device e prevenire eventuali “attacchi” esterni.
Ma perché è così difficile mantenere in sicurezza il mondo dell’IoT? I fattori sono molteplici:
- La durata del dispositivo: gli aggiornamenti sono più difficili (o impossibili).
- Le dimensioni del dispositivo: generalmente se il dispositivo è di piccole dimensioni le capacità tendono a essere limitate (soprattutto per quanto riguarda la crittografia).
- La tipologia del dispositivo: in genere non vi è un’interfaccia grafica per l’inserimento dell’ID utente e della password.
- I dati: spesso si tratta di dati molto personali.
- La mentalità: i produttori di elettrodomestici, ad esempio, non pensano e ragionano come gli esperti di sicurezza, trascurando la presenza di possibili vulnerabilità. I sistemi embedded sono spesso sviluppati utilizzando chip o progetti già esistenti.
Fremantle ha illustrato le principali caratteristiche legate alla sicurezza sulla base delle varie tipologie di dispositivo con lo schema:
- Device / Hardware
- Network
- Cloud / Applicazioni lato server
Uno dei migliori strumenti per tutelare la sicurezza dell’IoT è certamente l’adozione di un approccio di Privacy by Design (PbD). Secondo questa impostazione, l’utente è considerato il centro del sistema privacy (per definizione, quindi, è “user centric”). Qualsiasi progetto (sia strutturale sia concettuale) deve essere realizzato considerando sin dalla fase di progettazione (appunto “by design”) la riservatezza e la protezione dei dati personali. La PbD si fonda su 7 principi, i quali esprimono pienamente l’intero senso di questa prospettiva:
- Proattivo non reattivo – prevenire non correggere: L’approccio alla Privacy by Design (PbD) è caratterizzato da interventi di tipo proattivo piuttosto che reattivo. Esso anticipa e previene gli eventi invasivi della privacy prima che accadano.
- Privacy come impostazione di default: La Privacy by Design cerca di realizzare il massimo livello di privacy assicurando che i dati personali sono automaticamente protetti in un qualunque sistema IT
- Privacy incorporata nella progettazione: La PbD è incorporata nella progettazione e nell’architettura dei sistemi IT.
- Massima funzionalità − Valore positivo, non valore zero: La Privacy by Design mira a conciliare tutti gli interessi legittimi e gli obiettivi con modalità di valore positivo “vantaggioso per tutti”, non attraverso un approccio di valore zero.
- Sicurezza fino alla fine: La Privacy by Design essendo stata incorporata nel sistema prioritariamente rispetto all’acquisizione del primo elemento di informazione, si estende in modo sicuro attraverso l’intero ciclo vitale dei dati .
- Visibilità e trasparenza − Mantenere la trasparenza: La Privacy by Design cerca di assicurare una totale trasparenza durante tutto il ciclo di vita.
- Rispetto per la privacy dell’utente − Centralità dell’utente: la Privacy by Design richiede ai progettisti e agli operatori di considerare prioritari gli interessi degli individui stabilendo efficaci impostazioni di default della privacy, offrendo informazioni appropriate e potenziando opzioni di facile utilizzo per l’utente.
Un esempio di soluzione sicura dedicata all’Internet of Things è rappresentata da Google Brillo, un sistema operativo sviluppato da Google per interfacciare il mondo degli oggetti ai dispositivi mobili. Google Brillo si fonda su un kernel che deriva direttamente da quello di Android, ridotto al minimo per poter essere integrato su dispositivi di piccole dimensioni, come serrature e videocamere di sicurezza. Per consentire agli oggetti di comunicare tra loro (con il telefono o con internet) Google ha introdotto il linguaggio Weave, di cui Brillo fa uso per poter interagire con gli altri dispositivi intelligenti, offrendo un ecosistema altamente interconnesso. I requisiti minimi di sistema e la facile securizzazione rendono Brillo un sistema interconnesso ma sicuro.
Come affermato da Fremantle, l’identità costituisce un elemento fondamentale per definire la privacy di un sistema: i controlli e le verifiche di sicurezza si fondano sull’identità dell’oggetto in questione, non sulla location, né sull’indirizzo IP né sul client VPN.
La gestione dell’identità rappresenta uno dei campi più importanti della tecnologia dell’informazione, un meccanismo primario per il controllo della privacy e degli accessi.
Per Fremantle, infatti, le password non servono a nulla: sono inutili per gli esseri umani, e lo sono ancor di più per i vari device. Contrariamente, soluzioni particolarmente utili risultano essere ad esempio:
- OAuth (acronimo di Open Authorization): è un protocollo open che permette l’uso autorizzato e sicuro di API (Application Programming Interface) da parte di applicazioni su sistemi desktop, web e mobile. Permette di accedere alle risorse protette di un utente senza che esso debba condividere le sue credenziali (username e password).
- OpenID Connect: è un protocollo aperto che permette ad una persona di utilizzare un URL come identità e utilizzare la stessa identità (URL) in più siti web che supportano OpenID. Applicazioni Web che supportano OpenID possono utilizzare l’URL d’identità per l’autenticazione, autorizzazione e altri scopi. È un concetto relativamente nuovo che mette il controllo dell’identità nelle mani del suo proprietario, l’utente finale.
Come azzerare, quindi, i rischi legati all’IoT?
Se da un lato i fornitori di prodotti IoT stanno cercando di introdurre le misure di sicurezza essenziali, i consumatori al contempo devono prestare la massima attenzione alla sicurezza nella scelta di un sistema di monitoraggio dei propri oggetti intelligenti. L’implementazione di una rete sicura prima dell’aggiunta di dispositivi IoT non sicuri, la scelta di funzionalità di sicurezza supplementari e il blocco degli account sono solo alcune delle misure che i consumatori possono adottare per ottimizzare la sicurezza della propria esperienza IoT.
Solo insieme, attraverso la collaborazione e la creazione di una community, e mettendo a fattor comune una serie di competenze specifiche sarà possibile implementare in modo intelligente diverse tecnologie di sicurezza, garantendo una tutela completa della privacy delle tecnologie “smart” che utilizziamo e del mondo interconnesso in cui viviamo.
