IoT per le aziende: quali i rischi per la sicurezza?
Sensori che monitorano l’usura dei macchinari segnalandone guasti e programmandone la manutenzione, dispositivi di tracciamento per la logistica, sistemi di distribuzione di contenuti multimediali su migliaia di schermi sparsi per il pianeta. E ancora, device che raccolgono ed elaborano ogni tipo di dato per migliorare prestazioni, ridurre i consumi, fornire analisi predittive.
L’Internet of Things ha innumerevoli applicazioni ed è ormai realtà nel campo industriale, anche in Italia, e lo sarà sempre di più. Gli ultimi dati dell’Osservatorio IoT della School of Management del Politecnico di Milano, relativi al 2017, evidenziano che solo l’8% delle imprese dichiara di non sapere nulla di questo tema (contro il 25% dell’anno precedente), che un terzo circa ha partecipato a eventi sul tema e che il 28% prevede di intraprendere azioni in questo ambito.
Tuttavia c’è ancora molto da fare per sfruttare tutti i vantaggi dell’IoT e, per partire davvero con il piede giusto, le aziende, soprattutto le PMI, devono adottare un approccio che metta al centro un tema spesso sottovalutato: quello della sicurezza. A sottolinearlo è Nicola Bosello, presidente di Securbee, società di Udine specializzata in consulenza e servizi in ambito information & cyber security.
“L’Internet of Things è una tecnologia che cambierà il nostro modo di vivere e che porterà sotto i riflettori il tema della sicurezza informatica, sul quale nel nostro Paese siamo drammaticamente indietro. Dobbiamo partire dalla consapevolezza che i dati sono un valore e un asset fondamentale per qualsiasi azienda, e vanno protetti con un approccio di security by design, cioè progettando sistemi, prodotti e servizi nell’ottica di garantire sicurezza, privacy e protezione dai rischi”.
Rischi che tra l’altro possono essere consistenti e non è un caso che alcuni degli attacchi informatici più gravi del recente passato abbiano sfruttato proprio dispositivi IoT. Come nel caso del DDoS record lanciato nell’agosto 2016 dalla botnet Mirai, che interessò 2,5 milioni di dispositivi connessi e rese internet irraggiungibile per alcune ore negli USA: un danno da milioni di dollari che ebbe però il merito di far balzare il tema security fra le priorità.
Ma quali sono i punti da presidiare con più attenzione quando si parla di IoT in azienda? “Innanzitutto occorre considerare l’architettura e i protocolli utilizzati” spiega Mattia Parise, collaboratore di Securbee specializzato in sicurezza delle reti IoT. “Due sono le tendenze prevalenti al momento: architetture Point-To-Point, dove i singoli nodi comunicano tra di loro, e architetture di tipo cloud, dove i nodi sono connessi a internet tramite Wi-Fi o cavo Ethernet”. Nel primo caso le informazioni passano da dispositivo a dispositivo, mentre nel secondo occorre costruire una rete in grado di gestire una grande mole di dati. “Quest’ultimo scenario è quello che oggi viene proposto dai maggiori vendor, grazie alle possibilità offerte dal Cloud, dal 4G e in futuro anche dal 5G”, spiega Parise.
La scelta del modello di rete IoT aziendale dipende da diversi fattori: budget (consistente per le soluzioni dei vendor, più basso se si opta per l’open source), dislocamento fisico dei dispositivi, copertura tecnica della rete, esigenze di personalizzazione. Ciascuna opzione presenta specifici problemi di sicurezza che vanno valutati attentamente assieme al proprio provider di servizi.
“L’importante è che questo sia fatto fin dall’inizio”, sottolinea Parise. “Non è raro, quando un’azienda decide di implementare un progetto IoT, che la security sia lasciata per ultima, perché ci sono pressioni per essere operativi subito e non si percepisce la gravità del rischio. In realtà, essere superficiali sulla sicurezza vuol dire trovarsi in un secondo momento a rifare, riscrivere, aggiungere, eccetera”.
Chi opta per un modello P2P deve prepararsi a gestire la sicurezza su ogni dispositivo, mentre per i servizi in cloud oggi la security è “by design”, cioè i sistemi sono progettati fin dall’inizio con l’obiettivo di proteggere dai rischi, centralizzando la sicurezza in applicazioni che gestiscono da remoto i dispositivi e li escludono se risultano compromessi (rendendo di fatto inutile, per chi attacca, “bucare” un singolo dispositivo). Ciò non toglie che bisogna sempre porre attenzione ad accessi, criptazione dei dati e aggiornamenti per ridurre al minimo i rischi.
«Sono tutti argomenti su cui c’è ancora poca consapevolezza, soprattutto nelle PMI, che sono poi l’ambito dove oggi, e ancora di più nel prossimo futuro, l’introduzione dell’IoT potrà fare la differenza in termini di competitività”, sottolinea Bosello. “Si parla molto di smart factory e di Industria 4.0 ed è determinante per le piccole e medie imprese italiane entrare in questo mondo. Ma per coglierne i vantaggi è fondamentale cominciare con l’approccio giusto, quello che riconosce il valore del dato e l’importanza della sua protezione”.