La nuova sfida per la sicurezza IoT è già iniziata

Per quanto all’apparenza possa sembrare ormai banale sottolineare come qualsiasi dispositivo connesso a Internet diventi automaticamente esposto ai rischi di un attacco, ci sono ancora situazioni dove la consapevolezza è per buona parte da costruire.

L’aspetto più preoccupante della notizia? Si parla di un contesto aziendale e di IoT in particolare. In difesa dei diretti interessati, si tratta di un tema ancora relativamente giovane; sistemi fino a poco tempo fa estranei alle questioni legate alla cybersecurity, proprio perché nati e cresciuti in modo autonomo.

Lo scenario però si è evoluto rapidamente e i vantaggi di connettere anche i singoli sensori di un impianto manifatturiero sono diventati presto evidenti, al punto da non esitare a coglierli.

Come sempre in situazioni del genere trascurando, sulle ali dell’entusiasmo, tutte le possibili conseguenze. Al riguardo, il recente rapporto Clusit, non ammette eccezioni. Con 2.779 incidenti gravi analizzati a livello globale, emerge una fotografia peggiorativa rispetto ai dodici mesi precedenti, con una crescita del 12% rispetto al 2022. In Italia la situazione è preoccupante. Lo scorso anno è andato a segno l’11% degli attacchi gravi globali mappati (era il 7,6% nel 2022), per un totale di 310. Una crescita del 65% rispetto al 2022.

Sicurezza IoT; uno scenario da seguire con attenzione

All’apparenza, una sfida come tante affrontate dai responsabili IT, anche in materia di sicurezza. In realtà, ci sono diversi elementi nuovi da tenere in considerazione. «La diffusione della modalità di lavoro ibrida, con applicazioni basate su cloud, dispositivi mobili e Internet of Things – sottolinea Umberto Pirovano, senior manager systems engineering di Palo Alto Networks – rende sempre più difficile definire e proteggere il perimetro della propria azienda. Diventa così più complesso controllare l’accesso a dati e sistemi sensibili, rendendo le imprese più vulnerabili agli attacchi di soggetti esterni e interni».

I vantaggi restano innegabili. La digitalizzazione sta portando le tecnologie IT ben oltre il supporto a produzioni o mansioni quotidiane, arrivando a gestire anche la sicurezza fisica delle persone. Bisogna però valutare le conseguenze. «Questo progresso non è privo di sfide», avverte Marco Di Costanzo, security researcher di Kaspersky ICS CERT. «L’integrazione di Industrial IoT ha aumentato la superficie di attacco moltiplicando i potenziali punti di ingresso per i criminali informatici. Dai sensori alle postazioni degli ingegneri, ogni dispositivo rappresenta una possibile vulnerabilità se non viene adeguatamente aggiornato e monitorato».

Situazione ancora più delicata quando si parla di sistemi legacy presenti nelle industrie, installati in tempi non sospetti e dei quali non si sono necessariamente tenute le tracce. «Spesso è difficile, se non quasi impossibile, aggiornare facilmente questi dispositivi», conferma Christopher Budd, director threat research di Sophos. «Inoltre, parliamo funzioni molto importanti all’interno di case e aziende, dove eventuali problemi di sicurezza possono avere conseguenze molto serie».

Oggi è la regola trovarsi di fronte a telecamere IP, ascensori intelligenti, router o sistemi HVAC, ecc. Apparati intrinsecamente vulnerabili e facili da violare, ma molto meno da tenere sotto controllo. «Inoltre, molti di questi sono dispositivi ombra non gestiti, collegati cioè alla rete all’insaputa di tutti», rilancia David Gubiani, regional director security engineering – EMEA Southers di Check Point Software Technologies. «Sulla base di una nostra ricerca, un’azienda di cinquemila dipendenti ha in genere ventimila dispositivi IoT aziendali, un ospedale con cinquecento letti ne ha in genere diecimila, mentre una fabbrica con duemila lavoratori arriva in media a cinquemila».

Per quanto preoccupante, la situazione non è sicuramente grave, almeno per il momento. Come successo più volte in passato, si tratta solo di inquadrare il problema il più in fretta possibile e adottare le relative contromisure. Difficile, infatti, pensare di rinunciare a vantaggi fuori discussione. «Da un lato, parliamo di dispositivi utili a migliorare i processi produttivi e l’interscambio di informazioni e dati» puntualizza Antonio Madoglio, senior director systems engineering – Italy & Malta di Fortinet. «Tuttavia, spesso non sono progettati seguendo criteri di security by design. Di conseguenza, rappresentano un’espansione della superficie vulnerabile e possono quindi essere sfruttati per attacchi come botnet e, più in generale, per veicolare violazioni».

È il momento di agire

Le soluzioni non mancano. Per sfruttarle al meglio, serve però conoscere bene la propria infrastruttura. Ancora prima, acquisire una giusta percezione della questione, punto più debole di quanto si possa sembrare nonostante si parli di un problema che ormai si ripresenta regolarmente a ogni svolta della tecnologia. «Si registra ancora un divario significativo tra consapevolezza e competenze pratiche nel settore OT», osserva Di Costanzo. «Lo scorso anno abbiamo osservato un forte aumento degli attacchi verso il settore industriale: sintomo di maggiore interesse per i criminali informatici, ma anche di maggiore esposizione alla compromissione».

Difficile, oltre a non essere necessariamente utile, provare a ricavare un’impressione generale. Più interessante sicuramente, entrare nel merito. «Le grandi aziende sono più avanti nella presa di coscienza della pericolosità degli attacchi – riflette Pirovano – non più visti solo come rischio tecnologico in sé, ma come possibile veicolo di compromissione del business della produzione e della stessa continuità aziendale, mentre le Pmi sono ancora un po’ in ritardo nel percorso verso la digitalizzazione».

Tutto sommato, niente di nuovo. Nelle realtà più piccole si ragiona ancora spesso a compartimenti stagni e il rischio è a volte percepito come esclusivamente tecnico, non come un impatto pericoloso sul business complessivo. Inoltre, non bisogna trascurare il problema ormai cronico sofferto dall’Italia di una mancanza di competenze digitali, e in particolare di quelle specialistiche in sicurezza IT.

Ancora una volta, un contributo decisivo è atteso dal legislatore. Le nuove normative NIS2 e DORA dovrebbero promuovere una cultura della sicurezza informatica più forte tra tutte le imprese, comprese le piccole, riconoscendo il ruolo critico ricoperto nell’economia e nell’ecosistema digitale. La situazione in sostanza, non sarà ancora allarmante, ma sicuramente inizia a essere delicata. «La protezione IoT non ha ancora raggiunto una maturità sufficiente perché le aziende ci mettano mano seriamente – avverte Gubiani – anche se IDC prevede, per il 2025, 41,6 miliardi di dispositivi IoT connessi che genereranno 79,4 zettabyte di dati, ovvero 79,4 triliardi di byte».

La strada giusta

A prescindere dall’obiettivo finale, di aggiungere questo nuovo tassello alla sicurezza IT aziendale, diverse sono le possibili strade da seguire. A seconda di esigenze e obiettivi, all’occorrenza da combinare tra loro. Prima però, nell’interesse di tutti è utile marciare anche percorsi paralleli. «È necessario uno sforzo da parte di tutti i soggetti coinvolti, compresi noi produttori di dispositivi industriali, le autorità di regolamentazione del settore e la comunità della sicurezza informatica in generale» invita Di Costanzo. «È essenziale creare una solida cultura della sicurezza con una regolare sensibilizzazione e formazione di tutti i dipendenti».

Il problema è sicuramente complesso e un gioco di squadra è nell’interesse di tutti. Un buon punto di partenza è organizzarsi in modo da poter affrontare un punto per volta. «Il mio consiglio è suddividere la rete IoT in segmenti logici separati» suggerisce Gubiani. «In questo modo, un eventuale attacco in un’area non può compromettere l’intera infrastruttura. La segmentazione permette di isolare e proteggere meglio i dispositivi, limitando la propagazione di un’eventuale violazione». Più in generale, si può applicare anche un approccio sempre valido quando si parla di cybersecurity, quello di non dare niente per scontato. «Il modello Zero Trust, l’eliminazione della fiducia implicita e la convalida continua di ogni passaggio di un’interazione digitale, non è più una novità per gli esperti del settore», ricorda Pirovano.

«Secondo una nostra ricerca, in Italia il 32% identifica Zero Trust come il modo migliore per garantire alti livelli di sicurezza, il 28% per proteggere le iniziative di trasformazione digitale e il 24% per soddisfare i requisiti di conformità o le normative governative».

Fermo restando la libertà nella scelta di una strategia e relativi strumenti, non bisogna dimenticare come si tratti di argomenti per i quali è comunque necessario anche allinearsi a normative rigorose. «Serve un approccio basato su standard o framework di riferimento, come per esempio IEC62443 o NIST», puntualizza Madoglio.  «Questo può fornire una guida chiara e strutturata per proteggere e difendere i sistemi OT dalle minacce cyber».

In particolare, lo standard IEC62443 mira a garantire la sicurezza delle infrastrutture di rete industriali, coprendo tutte le fasi del loro ciclo di vita, partendo da un’analisi iniziale delle vulnerabilità tramite risk assesment, procedendo successivamente all’implementazione delle tecnologie e dei processi interni necessari ad aumentare il livello di difesa e monitoraggio, fino al mantenimento continuo nel tempo delle prestazioni di sicurezza.

Resta infine da definire un aspetto sempre delicato, quello dei costi. Sicuramente, la sicurezza dei sistemi IoT comporta spese importanti di fronte alla quale però si conferma sempre valido essere lungimiranti, guardando alle potenziali conseguenze. «Si potrebbe concludere come il vantaggio non valga il costo e il rischio», conclude Budd. «Tuttavia, questo tipo di valutazione va effettuata per ogni singolo dispositivo IoT che l’azienda valuterà di integrare nella propria rete e andrà fatto prima di procedere all’acquisto e installazione».

di Giovanni Ticozzi