Intervista a Alessandro Cosenza, Chief Information Security Officer di BTicino
I pericoli associati ad un utilizzo insicuro di device Internet connected (IoT, Internet of Things) sono balzati all’attenzione di tutti lo scorso ottobre, quando la botnet Mirai, sfruttando la potenza di fuoco di centinaia di migliaia di device (webcam, gateway) con un attacco DDoS da 1,2 terabit al secondo (rivolto al servizio DNS del provider Dyn), è riuscita a bloccare, nel corso di una giornata, un’ottantina di siti web tra i più importanti.
Non si tratta della prima volta che un attacco DDoS IoT-based dimostra il suo potenziale impatto distruttivo, e non è l’unica minaccia che può venire dalla mancanza di accorgimenti di sicurezza per i più disparati device che vengono oggi collegati a Internet, dalle connected car, ai dispositivi medici, ai wearable. Con una prospettiva di crescita dell’IoT che dovrebbe portare ad avere 34 miliardi di device connessi entro il 2020, il tema di predisporre un loro utilizzo sicuro appare di estrema importanza, una questione che andrebbe affrontata con urgenza: ne abbiamo parlato con Alessandro Cosenza, Chief Information Security Officer di BTicino e membro dell’Advisory Board del Programma Cybersecurity e Risk management di TIG e Deloitte.
“Il tema della sicurezza dell’Internet of Things è oggi cruciale, da 2 punti di vista – spiega Alessandro Cosenza -. Se è ormai certo che chi produce oggetti Internet connected deve porsi il problema di garantire un set minimo di sicurezza del dispositivo e dei dati da esso trattati, c’è da considerare anche che oggi qualsiasi azienda ha un problema di sicurezza IoT, in quanto utilizzatrice di dispositivi che si connettono in rete e per i quali è necessario definire policies e limiti di utilizzo al fine di garantire la sicurezza dei dati scambiati con l’esterno.
TIG. Sarà necessario impostare in futuro un security-by-design, un’attenzione particolare alla sicurezza fin dalla fase iniziale di sviluppo dei prodotti IoT, per risolvere questi problemi?
“Sì, il security-by-design è un punto importante, ma non risolve tutte le problematiche – aggiunge Cosenza -. La vera sfida per le aziende è oggi educare le persone, diffondere una maggiore sensibilità per questi temi tra i dipendenti e anche preparare i clienti ad un uso corretto dei devices. Per esempio oggi impostare password troppo semplici o lasciare quelle di default, può essere dannoso. Deve affermarsi una cultura per cui la sicurezza è un valore aggiunto importante, è un elemento che premia chi sta lavorando sulla qualità complessiva del prodotto.
TIG. Come garantire quindi al meglio la sicurezza di un prodotto IoT?
“Oltre ad aver sviluppato bene il prodotto fin dall’inizio – spiega Alessandro Cosenza -, considerando tutti i diversi layer di sicurezza fondamentali, è anche importante considerare la sua vita complessiva, quindi
- Quali sono tutte le misure per renderlo sicuro al suo stato attuale;
- Prevedere come sarà tra 1 anno o 2, pensare al suo sviluppo futuro e alla necessità di mantenere aggiornato e sicuro il software, i dati trattati, ecc.
- Impostare tutto quanto serve per rendere il più possibile sicuro l’utilizzo del device da parte dei clienti: regole, linee guida, istruzioni perché i clienti adottino le migliori pratiche nell’utilizzo al fine di mantenere sicuro l’oggetto per tutta la sua vita.
Un esempio è spiegare ai clienti che devono cambiare la password di default al primo utilizzo, come minimo. Nell’individuare queste misure bisogna però anche stare attenti a non complicare troppo la User interface (UI) perché i clienti si aspettano una semplicità di utilizzo dei device”.
TIG. Da più parti si invoca la necessità di applicare standard industriali di sicurezza ai nuovi device IoT. Ma qual è oggi la situazione con riferimento a questi standard? Quali sono i principali sviluppi in corso che vedi per questo mercato?
“Al momento non ci sono ancora degli standard ufficiali, ma piuttosto delle buone linee guida – spiega Cosenza -, come quelle pubblicate da ENISA, contestualizzate per i diversi ambiti (Smart cars, Smart cities, Smart homes, Smart airports, Intelligent transportation systems,..)[1]. A livello internazionale ci sarà poi un’attività di standardizzazione (ad esempio ISO oppure CENELEC per l’Europa) che una volta definitiva sarà per tutti la strada da seguire”.
In Italia UNINFO è attiva su questi temi, tramite la Commissione Uninfo UNI/CT 519 (“Tecnologie abilitanti per Industry 4.0”)[2], il cui campo di applicazione comprende tutte le tecnologie abilitanti necessarie all’Industria 4.0 e, tra queste, le attività che al momento ricadono nell’area di competenza dell’ “Internet of Things and related technologies” (ISO/IEC JTC 1/SC 41).
A cura di:
Elena Vaciago, The Innovation Group