I dispositivi smart utilizzano in gran parte lo stesso sistema operativo degli smartphone. È il caso ad esempio dei device Android e quando parliamo di dispositivi smart e Android, parliamo di una piattaforma a dir poco matura in termini di malware.

“Alla fine del 2014 abbiamo superato 3 milioni di casi di malware Android. Ci sono voluti qualcosa come quindici anni perché si raggiungesse il traguardo di 1 milione di malware in ambito Windows” dice Christopher Budd, Global Communications Manager di Trend Micro.

I dispositivi smart stanno diventando sempre di più l’anello debole nella catena della criminalità informatica e a livello aziendale è compito del CSO esaminare le vulnerabilità e le minacce e prendere le misure di sicurezza adatte.

I problemi di sicurezza del Bluetooth

“I dispositivi smart Bluetooth come smartwatch e braccialetti per monitorare alcuni parametri della nostra salute rappresentano nuovi traguardi tecnologici che le aziende non stanno ancora monitorando” dice Domingo Guerra, cofondatore di Appthority. “Le aziende non stanno proteggendo questi dispositivi con i loro firewall e non stanno nemmeno proteggendo con essi la possibile perdita di dati”. [groups-members group=’Insider’]

Questo è un classico e vecchio problema con l’IT aziendale. Secondo Budd i sistemi più sicuri sono quelli non particolarmente nuovi o all’ultimo grido che non danno alle persone ciò che veramente serve loro. “Essere in grado di connettere il mio iPhone alla mia computer da lavoro potrebbe essere una gran cosa per me, ma questo non significa che sia una cosa giusta anche per la mia azienda”.

“Dovremo iniziare a controllare orologi e altri dispositivi indossabili una volta che questi entrano in azienda perché rappresentano un’altra e nuova interfaccia con cui l’utente può accedere a dati importanti. Non sappiamo chi o cosa possa utilizzare quel dispositivo per accedere ai dati” dice sempre Guerra. Se un device smart che contiene delle email e altri dati sensibili viene perso, rubato o attaccato via software, rappresenta un ennesimo contenitore di informazioni critiche, nonché un mezzo che gli hacker possono sfruttare per sferrare un attacco più grande, fino ad arrivare all’archivio dati dell’azienda.

Solitamente, dalla prospettiva del dispositivo mobile, le soluzioni BYOD (Bring Your Own Device) non impediscono ai dipendenti di inviare dati sensibili negli allegati dalla loro email di lavoro a quella personale. Con il Bluetooth di mezzo la minaccia più grande non è tanto la mancanza di crittografia tra i dispositivi smart e gli smartphone. Il fatto è che i device Bluetooth sono pre-codificati con lo stesso pin (0000). “Non è difficile sfruttare questa debolezza per creare degli accoppiamenti pericolosi tra dispositivi”, afferma Budd.

“Come servizio il Bluetooth agisce a livello del sistema operativo. Se quindi qualcuno è in grado di infiltrarsi attraverso il Bluetooth, può avere potenzialmente accesso al vostro telefono proprio a questo livello e riuscire così ad accedere a qualsiasi dato presente sullo smartphone”, dice sempre Budd.

La minaccia peggiore proveniente dai dispositivi smart riguarda lo sblocco del telefono

Preoccupazioni per privacy e sicurezza

Gli hacker stanno già utilizzando i dispositivi smart come strumenti per i loro attacchi. “La FuelBand di Nike riporta sul web i nomi e i luoghi dei suoi utenti. Se ho una lista di queste persone che usano la FuelBand nella Silicon Valley, posso mettere in relazione i loro nomi con LinkedIn per scoprire tutti i dirigenti dalla Bay Area che stanno facendo jogging”, dice Guerra. A questo punto, osservando i luoghi dove questi dirigenti fanno attività fisica, un hacker può scoprire un coffee shop nelle vicinanze frequentato da queste persone, recarsi lì e usare un software di packet-sniffing per impossessarsi dei dati che transitano attraverso una rete Wi-Fi non sicura, o per rubare direttamente il dispositivo del dirigente.

La minaccia peggiore proveniente dai dispositivi smart riguarda lo sblocco del telefono. “Almeno in ambito Android”, dice Guerra “lo smartphone non si bloccherà se accanto c’è uno smartwatch Android”. Se quindi un dipendente perde il proprio smartphone con all’interno dati aziendali sensibili e lo smartwatch, o se questi due gli vengono rubati (ad esempio dall’armadietto della palestra), il ladro può sbloccare facilmente il telefono. Un’altra fonte di preoccupazione è quella riguardante i sensori sui dispositivi indossabili improntati al fitness rispetto alla regolamentazione HIPAA (Health Insurance Portability and Accountability). Le linee di demarcazione tra i dati confidenziali protetti dal HIPAA e quelli creati dall’utente saranno sempre più sfumate. “Se un dispositivo rileva il vostro battito cardiaco, la pressione e altri parametri che ricadono sotto la protezione HIPAA, ciò significa che l’azienda deve attenersi alle regole HIPAA nel caso in cui monitori la rete aziendale su cui i dispositivi smart trasferiscono questi dati sensibili?”, si chiede Guerra.

Fate in modo quindi di studiare misure e strumenti di regolamentazione per limitare la possibilità dei dipendenti di accedere a certe informazioni

Migliorare la sicurezza dei dispositivi smart

Più che preoccuparsi del Bluetooth, preoccupatevi di ridurre i privilegi per accedere a dati aziendali sensibili. “Se adottate questa strategia”, afferma Budd “non importa che i vostri dipendenti in prima linea usino connessioni Bluetooth non sicure; anche se un device smart viene compromesso, l’hacker non avrà nulla in mano”.

Fate in modo quindi di studiare misure e strumenti di regolamentazione per limitare la possibilità dei dipendenti di accedere a certe informazioni, impedendo ad esempio che l’email personale possa ricevere o inviare dati aziendali. “Bloccate l’accesso a Gmail. Se nessuno in azienda ha una valida ragione lavorativa per accedere a Gmail, impeditene l’accesso o, in caso di necessità, bloccate le impostazioni per evitare che i dipendenti si mettano nei guai. Se non posso sincronizzare il mio Fitbit con il mio computer di lavoro, non posso nemmeno esporre quel PC a una possibile vulnerabilità”, continua Budd.

Come abbiamo già visto, i dispositivi smart creano una grave vulnerabilità dal momento che possono sbloccare lo smartphone. “In primo luogo la soluzione migliore è impedire ai device portatili di accedere a dati sensibili; secondariamente, la possibilità di cancellare tutto da remoto può rivelarsi una soluzione estremamente utile. Considerate però che l’accesso fisico al dispositivo può annullare qualsiasi sistema di protezione (anche il migliore e più affidabile) una volta che il vostro device è in possesso di chi ve l’ha sottratto”, dice sempre Budd.

Seguire le impronte dello smartphone

I dispositivi smart stanno entrando nelle aziende come già hanno fatto gli smartphone. C’è voluto un po’ di tempo perché gli esperti di sicurezza considerassero lo smartphone come qualcosa in più da controllare e proteggere e lo stesso deve succedere con questi nuovi dispositivi intelligenti. “Non possiamo compiere gli stessi sbagli con i device indossabili. Se prendono piede e tutti in azienda hanno un device indossabile e uno smartphone o un tablet, ciò dovrà raddoppiare gli sforzi dell’azienda per proteggere i propri dati e per evitare pericolose vulnerabilità”, conclude Guerra. [/groups-members]