L’esperto di sicurezza Andrei Costin ha iniziato a lavorare da casa, e quindi a confrontarsi con la sicurezza dei dispositivi Internet of Things (IoT), molti anni fa. “Ho dovuto sostituire più volte i miei router domestici perché il provider non ha fornito correzioni alle falle di sicurezza né aggiornamenti del firmware”, afferma Costin. E sottolinea che le attuali pratiche di sicurezza non tengono il passo con il panorama in evoluzione del lavoro da casa.

Costin, docente di cybersecurity presso l’Università di Jyvaskyla, in Finlandia, e cofondatore della startup di cybersecurity IoT binare.io, afferma che il lavoro a distanza pone rischi aggiuntivi non solo per i dipendenti, ma anche per le aziende. “Se lo smartphone di un dipendente è connesso alla rete aziendale tramite VPN, ma è accoppiato con sistemi TVCC, app di monitoraggio del benessere o lampadine, c’è il rischio di potenziali gateway dannosi”, spiega Costin.

Il report IoT Threat dell’Units 42 di Palo Alto Networks dipinge un quadro cupo. “Il 57% dei dispositivi IoT è vulnerabile ad attacchi di media o alta gravità, rendendo l’IoT il punto d’accesso per gli aggressori”, si legge nello studio. Inoltre, i ricercatori hanno scoperto che il 98% di tutto il traffico IoT non è crittografato, il che espone dati riservati sulla rete.

Secondo il Threat Intelligence Report di Nokia, nel 2020 i dispositivi IoT sono stati responsabili del 32,72% di tutte le intrusioni rilevate nelle reti mobili, rispetto al 16,17% dell’anno precedente. I ricercatori ritengono che i numeri aumenteranno “drasticamente” negli anni a venire, mano a mano che le persone acquisteranno più prodotti.

Ogni dispositivo consumer che un dipendente connette al proprio router o smartphone aumenta la potenziale superficie di attacco per l’azienda. “Molti dispositivi IoT acquistati per la propria casa, come le lampadine intelligenti, sono meno sicuri delle apparecchiature di livello aziendale o persino dei normali PC, laptop o smartphone”, afferma Costin.

Fino a poco tempo, la responsabilità di proteggere i dispositivi IoT domestici ricadeva sull’utente. Ora, molti provider Internet e aziende stanno intervenendo e propongono soluzioni, alcune delle quali facili da applicare.

Gli utenti spesso sottovalutano il rischio

I confini tra casa e ufficio erano sfumati anche prima del massiccio spostamento del 2020, che ha solo accelerato la tendenza. Molte aziende, tuttavia, si sono sentite impreparate ad affrontare una maggiore superficie di attacco dovuta al lavoro da remoto. Il Cyber Health Report di Comcast ha rilevato che con la “nuova normalità” l’86% degli utenti ha fatto più affidamento sulla propria connessione Internet domestica, mentre un sondaggio del provider statunitense AT&T ha mostrato che il 64% delle aziende nella regione Asia-Pacifico si sentiva più vulnerabile agli attacchi a causa dell’aumento del lavoro a distanza.

In molte case, i dipendenti utilizzano per lavoro la stessa linea ISP dei loro dispositivi IoT, alcuni dei quali senza patch. Una tipica famiglia americana ha in media 12 dispositivi intelligenti e in alcune case il numero può arrivare fino a 35, secondo Comcast. “Molti dispositivi IoT sono invisibili; in un certo senso svaniscono nello sfondo”, afferma Noopur Davis, CISO di Comcast.

Spesso, questi dispositivi hanno una protezione integrata molto ridotta. “Hanno un prezzo relativamente basso, sono realizzati da aziende con margini di profitto ridotti e il mercato è altamente competitivo”, sottolinea Costin.

La maggior parte degli utenti tende a sottovalutare la frequenza con cui i propri dispositivi IoT vengono colpiti. Ritengono, in media, che le loro case vengano attaccate 12 volte nel corso di un mese, quando in realtà accade nove volte più spesso, secondo Comcast. Subito dopo che il lavoro si è spostato a casa, a seguito della pandemia, i ricercatori hanno rilevato una crescita del 12% degli attacchi, poiché gli hacker hanno sfruttato la maggiore attività online delle case connesse.

C’è un gap tra ciò che pensiamo di fare e ciò che facciamo effettivamente”, dice Davis. L’85% degli intervistati ha affermato di prendere tutte le precauzioni di sicurezza necessarie per proteggere la propria rete domestica. Tuttavia, molti hanno ammesso di trascurare di aggiornare il firmware dei propri dispositivi, lasciandoli esposti a compromissioni.

È come la dieta e l’esercizio fisico”, aggiunge Davis. “Sappiamo tutti qual è la cosa giusta da fare, ma non appena diventa faticoso, prendiamo la via più facile. Questa è una sfida per il nostro settore”.

Come garantire la sicurezza della rete

La rete aziendale non è mai stata un porto sicuro, ma il passaggio al lavoro a distanza ha reso il processo di protezione ancora più difficile. L’Agenzia dell’Unione Europea per la sicurezza informatica ha emesso raccomandazioni per i dipendenti che lavorano da casa, come spegnere e scollegare i dispositivi non utilizzati da molto tempo per ridurre la superficie di attacco e ripristinare le impostazioni di fabbrica prima di smaltirli.

Davis di Comcast consiglia inoltre ai dipendenti che lavorano da casa di abilitare l’autenticazione a più fattori quando possibile e di attivare gli aggiornamenti automatici sui propri dispositivi per ottenere patch di sicurezza non appena vengono rilasciate.

Dovrebbero anche utilizzare gli strumenti di sicurezza offerti dai loro provider di servizi. xFi Advanced Security di Comcast, per esempio, consente agli utenti domestici di monitorare la propria casa attraverso una dashboard e ricevere notifiche in tempo reale se uno dei loro dispositivi mostra comportamenti anomali. Lo strumento, disponibile gratuitamente per i 20 milioni di clienti che utilizzano xFi Gateways, è un concorrente di dispositivi come Netgear Armor alimentato da Bitdefender.

Quando un cliente installa un termostato intelligente, per esempio, xFi Advanced Security riconosce il fornitore, il numero di modello e la versione del software. Quindi utilizza l’intelligenza artificiale per apprendere qual è il comportamento normale di ciascun dispositivo. Quando si verifica un comportamento anomalo blocca le minacce in tempo reale al gateway a banda larga dell’utente prima che il traffico entri in casa.

Per aumentare ulteriormente la sicurezza, il provider Internet ha anche reso open-source il proprio servizio per i certificati digitali, xPKI, pensando ai dispositivi IoT con poca memoria e potenza di calcolo ridotta. I singoli certificati xPKI sono integrati in modo sicuro nei prodotti al momento della produzione.

Per quanto riguarda la supply chain, spesso presa di mira dagli aggressori, come è avvenuto nella recente violazione di SolarWinds, il provider Internet cerca di proteggerla dall’hardware del dispositivo al sistema operativo e alle applicazioni, un approccio di sicurezza definito Chip-to-Cloud.

Chip-to-Cloud Continuous Security (3CS) è un framework di sicurezza progettato per consentire ai dispositivi Comcast di stabilire tunnel sicuri verso il cloud, utilizzando chip di sicurezza specializzati”, ha affermato un portavoce dell’azienda. “Utilizzando questo framework, viene realizzato un tunnel sicuro dal chip specializzato a un servizio cloud, rendendolo nascosto al resto del sistema operativo, inclusi il processore di sistema e la memoria principale. Questo aiuta a fornire protezione da attacchi alla memoria, attacchi laterali ed errori di logica aziendale”.

Non solo i provider Internet e gli utenti hanno la responsabilità di aumentare la sicurezza dei dispositivi IoT. “Anche le aziende con lavoratori a distanza devono intervenire”, afferma Costin. Un suggerimento è coprire i costi di una linea ISP aggiuntiva, in modo che il dipendente possa creare reti separate per i propri dispositivi domestici e per il lavoro da remoto.

Se tutto avviene tramite un singolo router/modem ISP, assicuratevi che il router/modem non sia direttamente collegato tramite VPN alla rete aziendale”, suggerisce Costin. “Questo può esporre maggiormente la rete aziendale agli attacchi provenienti direttamente dai dispositivi consumer compromessi”.

Inoltre, sconsiglia di pubblicare online informazioni sul lavoro da casa, perché potrebbe fornire suggerimenti a potenziali hacker che potrebbero organizzare attacchi mirati.