• DigitalWorld
    • Data intelligence
      • Applicazioni Big Data
      • Big Data Analytics
      • Infrastruttura Big Data
      • Intelligenza Artificiale
    • Hardware
      • PC Windows
      • Apple Mac
      • Notebook
      • PC Linux
      • Chrome OS
      • Server
      • Periferiche PC
      • Dischi SSD
      • Processori PC e server
      • Stampa 3D
      • Internet of Things
      • Mobile & Wireless
        • Computer indossabili
        • 5G
        • Android
        • App Mobile
        • Apple iOS
        • BlackBerry
        • BYOD
        • Mobile Device Management (MDM)
        • Pagamenti Mobile
        • Sicurezza Mobile
        • Smartphone
        • Tablet
        • TLC e Internet Provider
        • Windows Phone
      • Multimedia Pro
        • Audio
        • Grafica
        • Video editing
      • Tecnologia personale
    • SOFTWARE
      • Blockchain
      • Realtà Virtuale
      • App Desktop
      • Office
      • Architettura Enterprise
      • Database
      • Gestionali
      • Business Intelligence (BI)
      • CRM
      • ERP
      • Content/Document Management
      • Unified Communications (UC)
      • Open Source
      • Software as a Service (SaaS)
      • Software di Collaborazione
      • Integrazione di servizi
      • Sviluppo App
      • Sviluppo software
        • App
        • DevOps
        • Enterprise
        • Intranet
        • Software Desktop
        • Web
      • Sistemi operativi
        • Windows
        • Windows 11
        • macOS
        • Linux
        • Chrome OS
      • Gamification
    • Infrastruttura
      • Cloud Computing
        • Cloud ibrido
        • Cloud Privato
        • Cloud Pubblico
        • Cloud Storage
        • Sicurezza Cloud
        • Edge Computing
      • Data Center
        • Disaster Recovery
        • Gestione infrastruttura
        • Green IT
        • High Performance Computing (HPC)
        • Mainframe
        • Storage
        • Virtualizzazione
        • Quantum Computing
      • Networking
        • Broadband
        • Hardware di Rete
        • LAN & WAN
        • Reti Wireless
        • Sicurezza di Rete
        • Software Defined Networking
        • Software di Rete
        • Wi-Fi 6
    • INTERNET
      • Applicazioni Web
      • Browser Web
      • E-commerce
      • Marketing Online
      • Ricerca
      • Social Media
      • Servizi di localizzazione
      • Metaverso
    • SICUREZZA
      • Trusted Cybersecurity
      • Cifratura
      • Compliance e Regolamenti
      • Cybercrimine & Hacking
      • Cyberwarfare
      • Disaster Recovery e Business Continuity
      • Endpoint Security
      • Malware & Vulnerabilità
      • Privacy
      • Sicurezza Applicazioni
      • Sicurezza dei Dati
  • Digital Manager
    • Management IT
      • Organizzazione IT
      • Carriere IT
      • Personale IT
      • Project Management IT
      • Skill IT e Formazione
    • Procurement
      • Outsourcing
    • Digital Transformation
      • Trasformazione nell’IT
    • Leadership
      • Il ruolo del CIO
      • CIO Club Italia
    • Tecnologie
  • DigitalPartner
    • Canale it
      • Canale Cloud
      • Distribuzione
      • VAR e system integrator
    • Eventi
    • Certificazioni
    • Industria IT
      • Nomine
    • Mercato
    • Strategie di canale
  • CWI Digital Health – Home
    • Software
      • App per la sanità
      • Ricerca medica e big data
    • Hardware
      • Protesi
      • Robotica operatoria
      • Robotica riabilitativa
      • Sensori e Wearable sanitari
    • Bioingegneria
      • Genomica
    • Diagnostica
    • Terapia
      • Medicina Personalizzata
      • Telemedicina
DigitalWorld Italia
  • Newsletter
  • Webinar
  • Video
  • White Paper
  • Attualità
  • Settori industriali
  • Aziende citate
Oppure
Registrati
home » tecnologie emergenti » internet of things

L’Internet of Things e la Sicurezza

L’Internet of Things e la Sicurezza
Contenuto sponsorizzato
L'Internet of Things è almeno 20 anni indietro rispetto all'industria del software nella sua conoscenza della sicurezza informatica.

Provate a ricordare cos’era Microsoft prima della loro iniziativa Trustworthy Computing. Nessun aggiornamento automatico, nessun firewall, funzionalità e supporto tradizionale cha passavano sopra ai requisiti di sicurezza, perdita di controllo su ciò che gli sviluppatori di terze parti erano autorizzati a fare sul sistema operativo.

Microsoft è un primo esempio degli effetti positivi che si possono raggiungere quando un vendor inizia a prendere la sicurezza seriamente. Windows 95 è stato un disastro, ma fortunatamente Internet era un ‘luogo’ molto più semplice in quegli anni. Windows 10 non è solo un sistema operativo molto più sicuro, ma con gli anni Microsoft ha fatto un serio sforzo per sbarazzarsi del vecchio codice legacy abbandonando le funzionalità che non sarebbe stato più saggio utilizzare ancora. Dal punto di vista della sicurezza, la Microsoft del 2015 è un’azienda completamente differente rispetto a quella del 1995. Anche se Windows XP non è mai stato adatto all’Internet del 2002, non lo è certamente più ora. Chi pensi sia il primo a dirtelo? Microsoft stessa.

Per alcune ragioni, una delle più note piattaforme IoT, Linux – spesso nella forma Android – sta attualmente mostrando una caratteristica simile: gli aggiornamenti di sicurezza – anche se vengono prodotti – non raggiungono l’utente finale perché i manutentori di varie distribuzioni (una sorta di terze parti) non considerano gli aggiornamenti di sicurezza come una priorità.

Molte patch Linux non raggiungono gli utenti finali perché chi mantiene le distro non considera la sicurezza una priorità

Come risultato, Internet viene riempito con dispositivi consumer, appliance IoT e applicazioni industriali IoT – in numero crescente – non aggiornati con patch e sempre meno protetti.

Così come Windows 95 non era creato per Internet, credo che l’IoT in generale non sia fatto per Internet. Vista la crescita in volume di dispositivi IoT, temo che presto avremo una situazione inversa: Internet non è fatto per le minacce poste dall’IoT.

Serve che i produttori di IoT imparino dalle lezioni dell’industria del software e inizino a prendersi cura della gestione delle vulnerabilità. Ci sono due standard ISO che trattano delle vulnerabilità dei vendor e io invito le aziende a familiarizzare con essi. Da notare che questi standard sono accessibili a pagamento: ISO/IEC 29147:2014, ISO/IEC 30111:2013.

Allo stesso modo, invito le aziende manifatturiere non solo ad accettare ma anche a curarsi del fatto che gli utenti finali, i ricercatori, e i governi si preoccupino della sicurezza dei loro prodotti. Siate pronti a ricevere report sulle vulnerabilità che dovete gestire in pubblico. Cercate di partecipare a programmi Bug Bounty, create deroghe agli EULA (End User License Agreement) per favorire la ricerca sulla sicurezza, e mettete a punto i vostri processi di sviluppo per rispondere a vulnerabilità critiche di sicurezza in un modo efficiente. Sappiate che ci sono programmi Bug Bounty in modalità hosted disponibili per assistervi.

Qualche volta i problemi con la sicurezza IoT possono andare oltre l’ovvio. Pensate alle macchine che si guidano da sole per esempio. Usano processi decisionali che si basano su algoritmi. Ma cosa accadrebbe se ci fossero solo cattive opzioni disponibili? Una macchina dovrebbe investire un pedone solitario per evitare di colpire una folla? E se il pedone solitario fosse un bambino e la folla fosse costituita da persone anziane?

Che cosa succederebbe se si scoprisse che l’incidente poteva essere evitato se gli altri veicoli si fossero scambiati i dati di telemetria, ma non lo hanno fatto? O se i dati di telemetria fossero non disponibili in quel momento a causa di problemi sulla rete cellulare locale o nel cloud? Uno potrebbe proseguire all’infinito con simili ipotesi.

Non ci sono precedenti sulla responsabilità legale di un processo decisionale basato su algoritmi

Non ci sono precedenti sulla responsabilità legale di un processo decisionale basato su algoritmi. Di chi sarebbe la colpa? Del passeggero di una macchina che si guida da sola? Della società di leasing o della finanziaria che possiede la macchina? Del rivenditore o della concessionaria? Della casa automobilistica che tiene a mantenere il diritto d’autore sul software? Del subcontractor che ha scritto il codice?

A meno che non si verifichi un cambiamento di mentalità in materia di sicurezza e di come il software è sviluppato e mantenuto, avremo solo una gran confusione.

F-Secure ha annunciato una nuova soluzione di sicurezza per proteggere i dispositivi IoT presenti nelle case. (F-Secure SENSE). Crediamo che la via sia questa – vi è una necessità assoluta che questi dispositivi IoT operino in un ambiente sicuro. E oggi questo suona ironico, poiché la maggior parte dei dispositivi IoT sono semplicemente connessi a Internet senza nessun tipo di protezione esterna.

Pensiamo a cosa Charlie Miller e Chris Valasek hanno scoperto sulla uConnect di Chrysler. Le Jeep erano direttamente connesse alla rete cellulare di Sprint! Una volta che ci si è resi conto che i veicoli con uConnect accettavano le connessioni in entrata, l’operatore di telefonia mobile si è precipitato per applicare un filtro di protezione del traffico per proteggere le macchine vulnerabili.

E’ giunto il momento di adottare un approccio olistico simile per garantire la sicurezza all’IoT. La sicurezza deve provenire da livelli esterni in situazioni dove il dispositivo stesso è incapace a difendersi da solo.

Attualmente, l’IoT è visto come un modo per portare connettività a dispositivi fisici. Serve passare oltre questa premessa e realizzare che lo scopo è trasformare il modello di business da ‘vendere dispositivi’ a ‘fornire servizi’. Una volta che si comprende che il servizio è fonte di nuovo guadagno e che il dispositivo è semplicemente ridotto a un mezzo attraverso cui il servizio viene erogato, si può iniziare a comprendere il valore di proteggere tali dispositivi.

Non sono ‘solo’ dispositivi che gli utenti si mettono in casa, sono una parte integrante della catena del valore.

Come funziona una rete è semplice. Capirne il suo potenziale e le implicazioni è difficile. Non è solo un esercizio tecnologico, ma piuttosto un esercizio economico, sociale e psicologico. Abbiamo bisogno di economisti così come di buoni ingegneri.

Di Erka Koivunen, Cyber Security Advisor di F-Secure

F-SecureInternet of ThingsIoTSicurezza
Aziende:
F-Secure
// Data pubblicazione: 14.12.2015
Condividi
Condividi:
  • Chi siamo
  • White Paper
  • Advertising
  • Webinar e Video
  • Privacy
  • Newsletter
  • Cookie policy
  • DigitalWorld
  • TechPlus
  • DigitalManager
  • InnovareWeb
  • Quine Formazione
  • SM Strumenti Musicali
  • DigitalPartner
Quine LSWR Group
CWI è una testata giornalistica di Quine Srl, registrata presso il Tribunale di Milano al n. 5582/2022
Direzione, amministrazione, redazione, pubblicità
Via Spadolini 7 - 20141 MilanoTel. +39 02 864105Fax +39 02 72016740P.I.: 13002100157
Contatti: media.quine.itwww.quine.itquineformazione.it
Privacy
Follow Us
  • Facebook
  • Twitter
  • Linkedin
  • YouTube
© 2024 - Tutti i diritti riservati