Quali sono i rischi di sicurezza collegati ai dispositivi IoT?
Alla base dell'Internet of Things vi sono gli oggetti intelligenti, dispositivi connessi alla rete con diverse proprietà (self-awareness, interazione con l'ambiente circostante, elaborazione dati e appunto connessione). Tali proprietà dovrebbero tradursi in opportunità, ma anche in rischi che implicano la sicurezza.
L'equazione è semplice: aumentando il numero di dispositivi connessi alla rete aumenta anche il numero delle vulnerabilità e dei possibili punti di accesso per un eventuale attacco al sistema informativo aziendale. Il fatto stesso di essere oggetti connessi alla rete, rende i dispositivi IoT vulnerabili alle minacce cyber, come dimostrano anche i numerosi attacchi hacker subiti da imprese e privati negli ultimi anni.
Come si può conciliare l’innovazione con la sicurezza degli utenti? La normativa europea si sta evolvendo in tal senso, con l’obiettivo di tutelare sempre di più i dati di imprese e consumatori e far sì che sul mercato vengano emessi soltanto prodotti conformi agli standard comunitari.
IoT e Sicurezza Informatica
Iniziamo dalla Cyber Security: non si tratta di un tema legato solo ai dati raccolti, che potrebbero essere intercettati o manomessi da terze parti, ma anche della sicurezza “fisica”, legata alla possibilità che malintenzionati possano riuscire a impartire comandi agli oggetti da remoto (ad esempio l’apertura della porta di casa o la disattivazione del sistema di allarme).
Il 15 settembre 2022 la Commissione Europea ha rilasciato il “Cyber Resilience Act” (CRA), un nuovo regolamento, ancora in fase di revisione, che introduce norme per produttori e venditori di prodotti digitali, volte a garantire la sicurezza informatica del consumatore. Tale regolamento si fonda sui seguenti principi chiave:
- cyber security by design, secondo cui i produttori dovranno migliorare la sicurezza dei dispositivi già in fase di progettazione e sviluppo, nonché durante l’intero ciclo di vita, impegnandosi a rilasciare continui aggiornamenti di sicurezza;
- vulnerability management, principio che prevede che le aziende garantiscano l’assenza di vulnerabilità note su tutti i prodotti venduti e notifichino tempestivamente l'ENISA (l'agenzia europea per la sicurezza informatica) circa l’insorgere di qualsiasi vulnerabilità o incidente di sicurezza che interessi i propri prodotti;
- market surveillance, che sancisce la presenza di un'autorità di vigilanza del mercato alla quale tutti i produttori sono tenuti a fornire informazioni sulla conformità con il CRA;
- transparency of security properties of products, che guida le aziende verso una maggiore trasparenza delle proprietà di sicurezza informatica che caratterizzano i propri prodotti.
Tuttavia, non è ancora chiaro se per tutti i dispositivi IoT si applicherà tale regolamento. Infatti, il Cyber Resilience Act prevede che le norme siano adottate solo da prodotti digitali “critici” di classe I e II, come gestori di password e sistemi operativi, nelle quali gli oggetti smart al momento non sembrano rientrare (ad eccezione dello smart meter). Diverse associazioni di consumatori chiedono, però, che l’esclusione dei prodotti IoT consumer venga riconsiderata. Tali dispositivi sono in grado di raccogliere e memorizzare numerosi dati, talvolta sensibili, e se hackerati potrebbero provocare danni notevoli. Dall’altro lato, le associazioni delle imprese produttrici sostengono, invece, che classificare tutti i componenti dei prodotti IoT come critici porterebbe a considerevoli ritardi nello sviluppo dei prodotti stessi.
La sicurezza dei dati negli "oggetti intelligenti"
In generale, quando si parla di sicurezza dei dati ci si riferisce sempre a un tema rilevante e al centro dell’attenzione da parte di consumatori e imprese. Se si guarda a quanto già avvenuto in passato, si osserva che tutte le grandi evoluzioni tecnologiche (non solo l’Internet of Things) hanno registrato un percorso caratterizzato da errori, vulnerabilità e imprevisti nei confronti della Cyber Security. Ciò è accaduto ad esempio quando sono state sviluppate le prime pagine web o le prime App per smartphone, che hanno fatto registrare diverse falle e vulnerabilità in termini di sicurezza non considerate dagli sviluppatori in fase di progettazione. Guardando ai numeri, il tema della sicurezza informatica è percepito come rilevante dalle aziende italiane, rispettivamente dal 96% delle grandi imprese e dall’82% delle PMI, anche se solo il rispettivo 54% e il 35% ha già valutato le misure da implementare a riguardo.
IoT e Privacy
L’altro aspetto chiave è quello della Privacy. Gli enti regolatori hanno iniziato da tempo a interessarsi dei risvolti legati alla gestione dei dati raccolti dai dispositivi IoT: il Regolamento europeo UE 679/2016 in materia di protezione dei dati personali (GDPR - General Data Protection Regulation), valido dal 25 maggio 2018, è la normativa di riferimento per tutte le organizzazioni. Per poter comprendere la portata dei cambiamenti introdotti dalla normativa è necessario sottolineare il cambio di filosofia, con il passaggio a un approccio di “responsabilizzazione” del Titolare (la cosiddetta accountability). Per quanto riguarda la sensibilità degli utenti, questa varia significativamente a seconda del tipo di applicazione considerata. Ad esempio, ben il 45% dei consumatori italiani si dichiara preoccupato per l’utilizzo dei dati raccolti dagli oggetti smart in casa, mentre “solo” il 28% lo è in relazione ai dati di un’auto connessa.
L'impatto del GDPR sull'Internet of Things
Il GDPR prevede che il Titolare, già dalle fasi preliminari del trattamento, assuma un ruolo proattivo nella scelta e nell’adozione delle misure tecniche e organizzative, e in generale nella definizione delle modalità di adeguamento; al contempo, egli deve essere sempre in grado di dimostrare la ratio alla base delle scelte effettuate e la propria compliance al Regolamento europeo, considerando il tema della protezione dei dati già in fase di progettazione (“Privacy by Design”) e non a seguito della vendita di oggetti smart. Facendo il parallelo con altre innovazioni digitali, in primis lo smartphone, emerge come questo problema sia spesso dovuto al fatto che i consumatori non riescono ancora a cogliere il vantaggio derivante dalla condivisione di tali informazioni. La proposta di servizi il cui valore sia chiaramente percepito dai clienti (come ad esempio il pronto intervento di un’azienda di vigilanza in caso di tentativo di furto, oppure il supporto concreto a ridurre i propri consumi energetici) è in molti casi una leva importante per superare la reticenza degli utenti.
Giulio Salvadori - Direttore dell'Osservatorio Internet of Things e dell'Osservatorio Connected Car & Mobility del Politecnico di Milano
Quali sono i rischi di sicurezza collegati ai dispositivi IoT?
Alla base dell'Internet of Things vi sono gli oggetti intelligenti, dispositivi connessi alla rete con diverse proprietà (self-awareness, interazione con l'ambiente circostante, elaborazione dati e appunto connessione). Tali proprietà dovrebbero tradursi in opportunità, ma anche in rischi che implicano la sicurezza.
L'equazione è semplice: aumentando il numero di dispositivi connessi alla rete aumenta anche il numero delle vulnerabilità e dei possibili punti di accesso per un eventuale attacco al sistema informativo aziendale. Il fatto stesso di essere oggetti connessi alla rete, rende i dispositivi IoT vulnerabili alle minacce cyber, come dimostrano anche i numerosi attacchi hacker subiti da imprese e privati negli ultimi anni.
Come si può conciliare l’innovazione con la sicurezza degli utenti? La normativa europea si sta evolvendo in tal senso, con l’obiettivo di tutelare sempre di più i dati di imprese e consumatori e far sì che sul mercato vengano emessi soltanto prodotti conformi agli standard comunitari.
IoT e Sicurezza Informatica
Iniziamo dalla Cyber Security: non si tratta di un tema legato solo ai dati raccolti, che potrebbero essere intercettati o manomessi da terze parti, ma anche della sicurezza “fisica”, legata alla possibilità che malintenzionati possano riuscire a impartire comandi agli oggetti da remoto (ad esempio l’apertura della porta di casa o la disattivazione del sistema di allarme).
Il 15 settembre 2022 la Commissione Europea ha rilasciato il “Cyber Resilience Act” (CRA), un nuovo regolamento, ancora in fase di revisione, che introduce norme per produttori e venditori di prodotti digitali, volte a garantire la sicurezza informatica del consumatore. Tale regolamento si fonda sui seguenti principi chiave:
- cyber security by design, secondo cui i produttori dovranno migliorare la sicurezza dei dispositivi già in fase di progettazione e sviluppo, nonché durante l’intero ciclo di vita, impegnandosi a rilasciare continui aggiornamenti di sicurezza;
- vulnerability management, principio che prevede che le aziende garantiscano l’assenza di vulnerabilità note su tutti i prodotti venduti e notifichino tempestivamente l'ENISA (l'agenzia europea per la sicurezza informatica) circa l’insorgere di qualsiasi vulnerabilità o incidente di sicurezza che interessi i propri prodotti;
- market surveillance, che sancisce la presenza di un'autorità di vigilanza del mercato alla quale tutti i produttori sono tenuti a fornire informazioni sulla conformità con il CRA;
- transparency of security properties of products, che guida le aziende verso una maggiore trasparenza delle proprietà di sicurezza informatica che caratterizzano i propri prodotti.
Tuttavia, non è ancora chiaro se per tutti i dispositivi IoT si applicherà tale regolamento. Infatti, il Cyber Resilience Act prevede che le norme siano adottate solo da prodotti digitali “critici” di classe I e II, come gestori di password e sistemi operativi, nelle quali gli oggetti smart al momento non sembrano rientrare (ad eccezione dello smart meter). Diverse associazioni di consumatori chiedono, però, che l’esclusione dei prodotti IoT consumer venga riconsiderata. Tali dispositivi sono in grado di raccogliere e memorizzare numerosi dati, talvolta sensibili, e se hackerati potrebbero provocare danni notevoli. Dall’altro lato, le associazioni delle imprese produttrici sostengono, invece, che classificare tutti i componenti dei prodotti IoT come critici porterebbe a considerevoli ritardi nello sviluppo dei prodotti stessi.
La sicurezza dei dati negli "oggetti intelligenti"
In generale, quando si parla di sicurezza dei dati ci si riferisce sempre a un tema rilevante e al centro dell’attenzione da parte di consumatori e imprese. Se si guarda a quanto già avvenuto in passato, si osserva che tutte le grandi evoluzioni tecnologiche (non solo l’Internet of Things) hanno registrato un percorso caratterizzato da errori, vulnerabilità e imprevisti nei confronti della Cyber Security. Ciò è accaduto ad esempio quando sono state sviluppate le prime pagine web o le prime App per smartphone, che hanno fatto registrare diverse falle e vulnerabilità in termini di sicurezza non considerate dagli sviluppatori in fase di progettazione. Guardando ai numeri, il tema della sicurezza informatica è percepito come rilevante dalle aziende italiane, rispettivamente dal 96% delle grandi imprese e dall’82% delle PMI, anche se solo il rispettivo 54% e il 35% ha già valutato le misure da implementare a riguardo.
IoT e Privacy
L’altro aspetto chiave è quello della Privacy. Gli enti regolatori hanno iniziato da tempo a interessarsi dei risvolti legati alla gestione dei dati raccolti dai dispositivi IoT: il Regolamento europeo UE 679/2016 in materia di protezione dei dati personali (GDPR - General Data Protection Regulation), valido dal 25 maggio 2018, è la normativa di riferimento per tutte le organizzazioni. Per poter comprendere la portata dei cambiamenti introdotti dalla normativa è necessario sottolineare il cambio di filosofia, con il passaggio a un approccio di “responsabilizzazione” del Titolare (la cosiddetta accountability). Per quanto riguarda la sensibilità degli utenti, questa varia significativamente a seconda del tipo di applicazione considerata. Ad esempio, ben il 45% dei consumatori italiani si dichiara preoccupato per l’utilizzo dei dati raccolti dagli oggetti smart in casa, mentre “solo” il 28% lo è in relazione ai dati di un’auto connessa.
L'impatto del GDPR sull'Internet of Things
Il GDPR prevede che il Titolare, già dalle fasi preliminari del trattamento, assuma un ruolo proattivo nella scelta e nell’adozione delle misure tecniche e organizzative, e in generale nella definizione delle modalità di adeguamento; al contempo, egli deve essere sempre in grado di dimostrare la ratio alla base delle scelte effettuate e la propria compliance al Regolamento europeo, considerando il tema della protezione dei dati già in fase di progettazione (“Privacy by Design”) e non a seguito della vendita di oggetti smart. Facendo il parallelo con altre innovazioni digitali, in primis lo smartphone, emerge come questo problema sia spesso dovuto al fatto che i consumatori non riescono ancora a cogliere il vantaggio derivante dalla condivisione di tali informazioni. La proposta di servizi il cui valore sia chiaramente percepito dai clienti (come ad esempio il pronto intervento di un’azienda di vigilanza in caso di tentativo di furto, oppure il supporto concreto a ridurre i propri consumi energetici) è in molti casi una leva importante per superare la reticenza degli utenti.
Giulio Salvadori - Direttore dell'Osservatorio Internet of Things e dell'Osservatorio Connected Car & Mobility del Politecnico di Milano