INGENIO » INGENIO n.57 » IoT e sicurezza dei dati: non basta la verifica strutturale
IoT e sicurezza dei dati: non basta la verifica strutturale
06/11/2017
Roberto Baldo
Micol Caponetto
Nunzio Morrone
L'evoluzione tecnologica comporta, insieme a numerosi ed innegabili vantaggi che migliorano la vita di tutti noi (connessione, convergenza, collaborazione), anche il nascere e l'evolversi di altrettante problematiche legate sia al corretto utilizzo degli strumenti tecnologici sia alla loro intrinseca sicurezza.
Un esempio ne è l’Internet of Things (IoT) che gioca un ruolo chiave nel futuro prossimo aprendo scenari per nuovi modelli di business intervenendo su molteplici ambiti: la gestione energetica, la videosorveglianza, la domotica, l’assistenza virtuale, l’e-health, lo smart building, … .
Con il termine Internet of Things (coniato nel 1999), si fa riferimento ad infrastrutture che sono in grado, attraverso la presenza di dispositivi o sensori, di registrare, processare, immagazzinare dati localmente o inviarli ad altri sistemi, ed interagire con l’ambiente circostante, mediante l’utilizzo di tecnologie a radio frequenza o reti di comunicazione elettronica.
Per avere una dimensione del fenomeno, stiamo parlando ad oggi di circa 5 miliardi di dispositivi connessi che si stima cresceranno sino a 25 miliardi entro il 2020.
 Figura 1 - MIP, Politecnico di Milano, Osservatorio IoT 2016

La nostra quotidianità è quindi invasa da strumenti che permettono il controllo di ogni aspetto dell’esistenza, dai nostri movimenti alle nostre preferenze. L’avvento di tali strumenti è sinonimo di evoluzione tecnologica e in molti casi di efficienza dei processi aziendali, ma comporta, come detto, rischi in ambito sicurezza delle informazioni e privacy che non sono sempre di immediata valutazione. Inoltre, alla regolamentazione locale in tema di protezione dei dati personali si aggiungono anche disposizioni specifiche di settore che rendono il quadro maggiormente complesso, e si sottolineano a tal proposito il recente Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679) e per la Direttiva europea per la sicurezza delle infrastrutture di rete (Direttiva UE 2016/1148).

La società di consulenza Gartner stima che entro il 2020 oltre il 25% degli attacchi alle imprese sarà mirato a sottrarre informazioni sfruttando significativamente le infrastrutture IoT, fenomeno d'altronde già attivo visto l’attacco DDoS (Distributed Denial-of-Service) di poche settimane fa a siti molto noti, che ha sfruttato dispositivi IoT vulnerabili per creare una grande quantità di traffico “finto” per danneggiare e bloccare la produttività della rete e impedirne così il corretto funzionamento, compromettendo l’erogazione dei servizi da parte dei siti bersagliati.
E’ del resto un dato di fatto che gli standard relativi alla sicurezza della IoT siano ancora molto bassi rendendolo, ad oggi, un mondo estremamente vulnerabile ad attacchi.
Spesso basato su tecnologie abilitanti multivendor e multi platform, il framework dell’IoT ruota intorno ad una architettura composta da quattro strati - lo strato della sensoristica e delle tecnologie di rilevazione, quello della comunicazione dell’informazione, lo strato di gestione e analisi dei dati prodotti, ed infine lo strato applicativo per l’end user - ognuno dei quali presenta vulnerabilità intrinseche ed è soggetto a specifiche minacce, le principali relative a:
  • acquisizione illecita dei dati raccolti dagli oggetti collegati alla rete (sniffing), che può avvenire sia attraverso meccanismi di intercettazione fraudolenta che attraverso operazioni di clonazione dei sensori;
  • inibizione dei servizi forniti dal sensore/dispositivo (denial of service, distributed denial of service) perpetrata attraverso la distruzione, la rimozione o la schermatura dei sensori/dispositivi (i sensori sono fortemente soggetti a violazioni fisiche);
  • modifica non autorizzata dei dati memorizzati nei sensori (tag tampering) sfruttando le vulnerabilità di tipologia e caratteristiche di protezione con le quali i dati vengono registrati (i sensori sono spesso caratterizzati dall’assenza di di meccanismi di autenticazione o di cifratura);
  • modifica o corruzione dei dati in transito (data spoofing) attraverso l’acquisizione del segnale (spesso wireless) e successiva modifica del suo contenuto (le informazioni);
  • iniezione di codice malevolo direttamente nei sensori o nel canale (malware) al fine di utilizzare i sensori stessi come veicolo per perpetrare un attacco alla/alle rete/i IT a cui sono connessi, con effetti a cascata potenzialmente enormi (i requisiti di basso consumo di energia e la limitata capacità computazionale di ogni sensore rende difficile l’applicazione di misure di sicurezza quali gli antivirus). 

...continua la lettura nel pdf

Articolo letto: 1777 volte
Eventi in Primo Piano
Dagli Ordini
Basic sunballast
Seguici su Facebook
Seguici su Twitter
Scarica L'APP di Ingenio