Quello dell’Internet of Things è probabilmente lo scenario dell’Era Digitale più vasto e più direttamente implicato nella vita delle persone. La formula “internet delle cose” indica il fatto, ormai conclamato, che la connessione alla Rete non riguarda più esclusivamente computer e telefonini – dispositivi per lo scambio di comunicazioni che avviene in modo più o meno intenzionale fra operatori umani e digitali – ma anche strumenti di uso comune ai quali abbiamo sempre guardato come a piccole, se non minime, realtà inerti.
Le prime forme di IoT risalgono a tempi precedenti l’era del Web. Già nel 1990, infatti, John Romkey era riuscito a gestire il proprio tostapane da remoto, ma questi esperimenti erano veri e propri divertissement da nerd. In seguito, la connessione alla Rete di svariati oggetti ha avuto invece ragioni tecniche ed è risultato naturale dare un nome a questo fenomeno. E così Kevin Ashton conia la formula, intitolando una sua comunicazione alla Procter & Gamble del 1999 proprio “Internet of Things”.
Tutto, o quasi, può essere messo in Rete; molte più cose di quanto riusciamo ad immaginare lo sono già. IoT, infatti, sono potenzialmente tutti gli oggetti capaci di eseguire del codice e di interagire per scambiare dati.
È ormai assodato che un’automobile, un televisore, un frigo, una lavatrice siano considerati dispositivi connessi. Inoltre, tanto per fare un esempio nell’ambito della “domotica”, possiamo programmare e monitorare le attività della caldaia di casa nostra dall’ufficio o mentre siamo in treno, semplicemente grazie ad un’app scaricata sul cellulare.
Ancora poco consueto è invece includere in questa lista ogni lampadina domestica, ogni serratura, ogni singola valvola per la regolazione di un termosifone, i giocattoli dei nostri bambini, gli acquari domestici, le macchine del caffè, i portachiavi e così via. Fino a qualche anno fa era in uso, per distinguere la categoria di questi strumenti, il termine “smart”; ora è divenuto quasi pleonastico.
Certo, non si è ancora realizzato, semmai davvero fosse possibile, uno scenario di Ubiquitous computing, anche e non solo perché è ancora molto forte la presenza di computer tradizionali, ma siamo ormai totalmente immersi in un ambiente fortemente connesso.
Una recentissima ricerca ForeScout conferma la sensazione che il fenomeno stia crescendo così rapidamente da risultare difficilmente governabile; dalle risposte di più dell’80% delle aziende coinvolte nello studio si evince la loro difficoltà anche solo nell’identificare con certezza il numero dei propri dispositivi IoT effettivamente connessi.
Se è vero che ancora ce ne rendiamo conto solo parzialmente, è anche un dato di fatto che abbiamo iniziato a sviluppare una certa coscienza in proposito. Grazie al servizio “Google trends” è possibile rilevare l’incremento dell’interesse che la formula Internet of Things e il suo acronimo hanno fatto registrare negli ultimi anni fra gli argomenti di tendenza, i dati e le visualizzazioni nel motore di ricerca. Il grafico che segue ne è una rappresentazione molto chiara.

Sicurezza: la S che manca all’acronimo IoT

Tra gli esperti una delle battute più diffuse sul tema della sicurezza degli IoT e dei dati che generano è che, nell’acronimo, la lettera S sta appunto per “Sicurezza”: come non è presente la lettera nell’acronimo, infatti, anche il principio latita nei dispositivi.
I fattori che concorrono al determinarsi di questa situazione sono molteplici ma, di fondo, molti riconducibili al fatto che la produzione sottostà a modelli di business completamente inadatti a gestire gli aspetti della “security”. Per essere appetibili sul mercato, ai dispositivi si richiede un numero sempre maggiore di funzionalità, un Time to market molto breve per seguire o spesso anticipare, se non addirittura dettare, trend e mode e, ovviamente, costi di produzione ridotti. Ognuno di questi desiderata cozza con i più semplici requisiti del processo di sviluppo sicuro di qualunque soluzione.
Il nodo cruciale dei nuovi scenari di vulnerabilità riguarda la quantità, e la qualità, del software utilizzato per l’aspetto funzionale.
Per avere indicazioni sugli ordini di grandezza coinvolti basterà fare qualche comparazione. Per l’Apollo Guidance Computer (1969), utilizzato fra l’altro nelle manovre di allunaggio, sono state necessarie circa 10.000 righe di codice, un attuale pacemaker ne richiede circa 100.000; per un caccia supersonico F22 “Raptor” ci vogliono circa 2 milioni di righe, per una smart tv ormai anche più di 30 milioni e per una recente auto di fascia medio/alta si possono stimare circa 100 milioni di righe di codice.
Una ricerca Gartner dello scorso febbraio stima che nel 2020 vi sarà un numero di oggetti connessi superiore agli 8 miliardi. Questi miliardi di oggetti connessi saranno miliardi di dispositivi da sottoporre a controlli e ad aggiornamento software.
Se è plausibile pensare che gli utenti ne saranno consci quando si tratterà di auto o oggetti “visibili”, è molto più difficile crederlo se pensiamo a quelle singole lampadine, a tutti i giocattolini che invadono le case, alle valvole disseminate in ogni ambiente.
Per molti di questi dispositivi, inoltre, la progettazione non prevede aggiornamento: spesso il software è memorizzato in supporti non sovrascrivibili, l’hardware è stato considerato per progetto “usa e getta” e il produttore aggiorna continuamente il catalogo rilasciando nuove versioni ed abbandonando la produzione delle precedenti. In questi casi gli oggetti restano in uso e gli utenti non hanno la possibilità, le capacità tecniche o la determinazione per eseguire aggiornamenti. Inoltre, come spesso accade, finché i dispositivi sembrano funzionare bene le persone non sentono affatto la necessità di metterci mano.

IoT e gestione dei dati

In questi scenari, al di là delle seppur essenziali vulnerabilità tecnologiche, sono da tenere in grande considerazione le dinamiche di produzione e gestione di un’enorme quantità di dati, raccolti in periodi di tempo anche molto prolungati. Infatti, anche presupponendo che tutti i dispositivi siano sempre sicuri ed aggiornati, una ulteriore criticità risiede proprio nel management della quantità e della sensibilità dei dati che essi generano. Si tratta di questioni strategiche e legali di non poco conto che travalicano abbondantemente il tema della “security” tecnologica.
I dispositivi IoT, infatti, sono iperconnessi per condividere dati da persona a persona (p2p), da persona a macchina (p2m) e da macchina a macchina (m2m). Questa gigantesca ed articolata rete di comunicazione può consentire una profilazione molto approfondita di ogni singolo utente (deep profiling).
Inoltre, vanno considerati con estrema attenzione anche gli aspetti strategici della produzione e delle politiche di gestione tecnica dei dati prodotti. La stragrande maggioranza della componentistica degli IoT è infatti realizzata in paesi asiatici e non è sempre chiaro quali standard seguano e chi li abbia verificati; i dati generati, poi, confluiscono in cloud spesso non facilmente identificabili in termini di locazione geografica e che non è detto adottino politiche di gestione sufficientemente trasparenti.

Proposta di normazione sugli IoT in USA

La necessità di delineare una strategia di governance su scala globale di tutti questi aspetti correlati ha spinto lo scorso agosto alcuni componenti del Senato degli Stati Uniti a presentare una nuova proposta di legge: “Iot Cybersecurity Improvement Act“. La proposta di legge non è mirata a definire parametri per il mercato o a introdurre norme di produzione o distribuzione. Contiene indicazioni valide per il mercato governativo e della pubblica amministrazione pur lasciando che il mercato “comune” si auto-regolamenti in base alla domanda e all’offerta di servizi e garanzie di sicurezza e privacy, elementi che ovviamente determinano il costo e quindi una naturale differenziazione delle soluzioni.
Tali indicazioni introducono, di fatto, dei requisiti minimi di sicurezza da rispettare come criterio di accettabilità nel mercato delle Agenzie Federali, nel tentativo di farli divenire un riferimento per quello pubblico. Ad esempio, è stato richiesto che i dispositivi siano venduti privi di vulnerabilità già note al momento della loro produzione e che possano essere aggiornabili in modo sicuro e tempestivo, nel rispetto delle esigenze che via via si presentino. Inoltre, riguardo alla gestione delle credenziali d’uso, si richiede che possano essere scelte dagli utenti password diverse da quelle inserite dal costruttore nei device.
Si tratta, evidentemente, di norme di buon senso che, seppur tecnicamente minimali e scontate in qualunque altro mercato tecnologico, sono state comunque valutate come un sufficiente miglioramento rispetto alla situazione attuale in ambito IoT.
Tra le ulteriori indicazioni, viene suggerita la modifica del “Computer Fraud and Abuse Act” e del “Digital Millennium Copyright Acts“, allo scopo di favorire e liberalizzare le ricerche tecniche sulla sicurezza degli IoT acquistati dalla Pubblica Amministrazione.
Ad oggi, la proposta di legge non risulta esplicitamente appoggiata da alcun comitato e non compare in calendario per le discussioni dell’immediato futuro.
Bruce Schneier, noto esperto internazionale di crittografia e sicurezza informatica, dopo aver partecipato attivamente alla definizione di alcuni aspetti tecnici di questo testo, osserva che nella fase in cui siamo sarà il libero mercato a definire gli standard di sicurezza nazionale per il prossimo futuro. Il ricercatore sottolinea tuttavia che non vi sono evidenze che i consumatori abbiano competenze sufficienti a percepire la necessità di richiedere al mercato standard di sicurezza più elevati. Quello che sembra accadere, purtroppo, è l’uniformarsi su livelli di sicurezza bassi proprio perché gli utenti non sono abbastanza consci. Una interessante riflessione di Schneier si concentra sull’Europa, l’unica altra potenza, in termini politici e di mercato, che a suo parere può avere capacità di intervento in queste dinamiche di governance.

Unione Europea e sicurezza

L’Unione Europea sembra aver percepito fin dall’inizio il tema dello sviluppo delle tecnologie IoT come un ambito molto sfidante, ma dai profondi e complessi risvolti strategici. Già nel 2012, infatti, la Commissione Europea aveva affrontato il tema promuovendo una consultazione pubblica di istituzioni, tecnici e cittadini.
I criteri ed i metodi utilizzati in ambito europeo per affrontare tali sfide, con l’inevitabile carico di potenzialità e rischi che esse implicano, non si riducono all’ambito del tema specifico, tantomeno ad una sua declinazione strettamente tecnologica. Tutto è più organicamente trattato come una delle componenti del discorso sulla sicurezza e sulla privacy, inquadrandolo nel più ampio “General Data Protection Regulation” (GDPR).
Il GDPR risulta particolarmente importante poiché le risorse IoT si inseriscono, insieme ad altre più “tradizionali”, nei processi che ogni azienda è chiamata a realizzare per ottemperare alle indicazioni imposte dal regolamento. Proprio per non scadere nei tecnicismi della differenziazione dei dispositivi e delle tecnologie utilizzate, il GDPR prevede che sia eseguita una mappatura dei dati processati e siano valutati metodi e scopi della loro gestione, in termini tecnici e di principio. La direzione indicata da tale approccio dovrebbe scoraggiare le aziende dal collezionare estensivamente enormi quantità di dati non strettamente necessari e indurle a rivedere gli agreement con i propri utenti.
A partire dal tema della gestione dei dati, della protezione degli asset e della privacy, quindi, vengono indicati principi di “security by design”, “privacy by design”, “privacy by default” per il rispetto dei quali sono da considerare elementi tecnici, ma anche organizzativi e legali. I dati, infatti, devono essere tecnicamente e proceduralmente protetti, non soltanto in modo da saper reagire opportunamente nelle situazioni di crisi ma, piuttosto, nell’ottica della loro salvaguardia preventiva.
Ogni azienda ed ogni Ente governativo e della Pubblica Amministrazione deve gestire le proprie attività finalizzate alla sicurezza e alla privacy tenendo in considerazione alcuni principi fondamentali:

• data classification: comprensione di quali siano i dati, anche personali, che costituiscono il patrimonio da tutelare
• risk management: comprensione delle possibili esposizioni ed identificazione delle opportune misure di mitigazione
• vulnerability management: gestione delle vulnerabilità, sia tecniche che logiche, sia connesse agli strumenti che alle infrastrutture, con cicli di verifica ed aggiornamento
• data masking: valutazione della possibilità di anonimizzare i dati gestiti per aumentarne la confidenzialità
• hardening: implementazioni di adeguati sistemi e tecniche di protezione
• training: gestione dei processi di formazione continua del personale sugli aspetti tecnici, legali e procedurali
• awareness: attività di sensibilizzazione degli operatori coinvolti a vario titolo nella gestione dei dati personali.

In questa prospettiva l’auspicio è che la sicurezza di dati ed infrastrutture sia gestita nei Paesi europei in modo organico, con soluzioni tecniche e politiche di governance controllate la cui efficacia possa essere continuamente verificata.

————-