MANUEL CACITTI – IoT, la sicurezza non guarda in faccia a nessuno
Intervista a Manuel Cacitti, esperto di cybersecurity
La sicurezza non conosce distinzioni tra l’uso dell’IoT commerciale e quello aziendale. Per questo bisogna cominciare dalla comprensione delle reali necessità di chi vuole andare verso l’IoT, insieme ad una progettazione che prenda in considerazione l’apporto di competenze diverse, per valutare i molteplici aspetti della possibile architettura. Le figure che si occupano di informatica con l’avanzare dell’IoT dovranno avere non solo competenze tecniche, ma anche una grande capacità di analisi e di gestione di situazioni, eventi e persone.
IoT e sicurezza: sembra che le sfide da affrontare affinchè questi due temi non si scontrino siano ancora tante. Citrix parla di almeno tre nodi da sciogliere: mancanza di standard di sicurezza, protocolli di comunicazione diversi, aggiornamento dei dispositivi multifunzione. Lei che ne pensa? Quali sono i temi che l’IoT apre in ambito sicurezza?
L’Internet delle cose è sicuramente una delle più grandi opportunità che oggi si presenta dinanzi ai nostri occhi; un paradigma in grado di cambiare in modo radicale la percezione del vivere all’interno di un sistema ibrido in cui l’uomo e la tecnologia diventano simbioticamente iperconnessi, la materia prende una dimensione meno essenziale in termini di valore rapportato alla quantità e il concetto di ubiquità assume una connotazione sempre più tangibile. A testimonianza della rilevanza che l’IoT sta assumendo, ricordo che a Udine è nata da poco la prima facoltà di Internet of Things, con lo scopo di formare le professioni emergenti di questo nuovo mercato.
L’idea di avere a disposizione una rete estesa di sistemi semplici tra loro interconnessi e trasparente per l’utente finale, determina una grande complessità di progettazione, gestione e mantenimento. La complessità, se non opportunamente gestita o ridotta, rappresenta un potenziale rischio per la sicurezza. Il pericolo maggiore potrebbe essere allora quello di creare sistemi IoT intrinsecamente non sicuri e vulnerabili, perché progettati senza tenere conto dei necessari aspetti di sicurezza. Trattandosi di sistemi potenzialmente in grado di assumere la delega e la gestione di attività tipiche dell’agire umano, l’elemento di maggior impatto potrebbe essere la determinazione di un reale e oggettivo pericolo per la salvaguardia e la salute dell’essere umano. Si pensi, rispetto a questo, ai numerosi attacchi e dimostrazioni di vulnerabilità verso sistemi autonomi di guida veicolare, pacemaker e altri dispositivi medicali comandabili a distanza, accorsi solamente negli ultimi mesi e tali da determinare un serio motivo di allerta per gli addetti ai lavori.
In ambito sicurezza, vede una differenza tra l’utilizzo di oggetti IoT commerciali e industriali?
Ignorando inizialmente la distinzione primaria tra dispositivi commerciali e industriali, verso la quale vi è sicuramente una sensibilità e accuratezza costruttiva differente, mi focalizzerei piuttosto sull’ambito di utilizzo primario, ossia lo scopo specifico che del dispositivo si vuole fare. Possiamo avere infatti dispositivi commerciali e/o industriali da impiegare in contesti a basso potenziale di rischio (es. un rilevatore conta passi), così come dispositivi impiegabili in situazioni ad elevata necessità di garanzia di sicurezza (es. un pacemaker). In generale non vedo quindi una differenza enorme, se pensiamo in termini di sicurezza, tra il mondo commerciale e quello industriale.
Nel momento in cui un’azienda decide di utilizzare la tecnologia IoT, quali sono le operazioni di partenza da non trascurare per essere protetti?
Ritornando a quanto precedentemente affermato, direi la reale comprensione delle necessità per le quali si sceglie di implementare un sistema IoT, assieme ad un’accurata e capace progettazione, magari effettuata coinvolgendo risorse con competenze in grado di considerare tutti i molteplici aspetti della possibile architettura. Potrebbe sembrare banale e riduttivo, ma questo aspetto risulta fondamentale e troppo spesso tale attività è ancora palesemente sottovalutata.
Cosa si è fatto finora in questo ambito?
Sono tante le iniziative nate e sviluppatesi negli ultimi anni in relazione alle tematiche IoT e tra queste vi è una prevalente declinazione verso l’ambito software. Si pensi, ad esempio, agli Standard della famiglia UL 2900 legati al tema della sicurezza informatica del software per prodotti e dispositivi collegabili in rete. Meno matura resta ancora la parte legata alla sicurezza dell’hardware, in relazione ad aspetti che possano riguardare la salvaguardia e l’integrità dei dispositivi come le funzioni di anti-tampering o di M2M signal integrity and availability, fondamentali per la garanzia di comunicazione del dato. Lo scenario risulta però essere ancora notevolmente disgregato ed eterogeneo rispetto a un possibile raccordo su normative e metriche di standardizzazione comuni, segno che c’è ancora del lavoro da fare su tale fronte.
Quali sono le figure professionali emergenti che servono per proteggere un’azienda dai rischi IoT?
Direi in generale quelle che possono servire a proteggere anche dagli altri rischi di sicurezza informatica, riferendomi ad esperti di sicurezza che dovranno avere quindi sempre più solide competenze tecniche e di analisi, capacità di gestione di situazioni, eventi e persone. Tra queste, sicuramente la figura del responsabile della sicurezza delle informazioni (CISO), in grado di operare all’interno di organizzazioni a complessità media/elevata e lo specialista della sicurezza ICT (ICT Security Specialist), in grado di fornire un supporto completo nella progettazione, selezione, implementazione e mantenimento di soluzioni di sicurezza a supporto e difesa delle architetture informatiche.