Quante cose non sapevamo (e non immaginavamo nemmeno) fino a cinque anni fa. Automobili che possono essere hackerate da remoto, controller per la home automation compromessi per distribuire spam, lampadine smart che possono essere hackerate per rivelare la password del nostro collegamento Wi-Fi. Ora che la Internet of Things (IoT) è realtà, situazioni come queste hanno iniziato a fare sempre più spesso capolino su siti e giornali, ma non sono qui per dire che la IoT è una cosa terribile o che dobbiamo respingerla in toto per i rischi che comporta a livello di sicurezza e privacy.

Più che altro mi preme sottolineare come tutto quanto sta succedendo ora con la IoT sia in fondo prevedibile, preventivabile e, per fortuna, risolvibile, o almeno in parte. Dopotutto non è forse vero che qualsiasi nuova tecnologia sia stata ritenuta inizialmente poco sicura o in qualche modo pericolosa dagli early adopter? Secondo me nel caso della Internet of Things sono tre le principali cause che potenzialmente portano a considerare la IoT qualcosa di negativo e da evitare, ovvero ingenuità, ignoranza e pigrizia.

Ingenuità

Chi produce e sviluppa prodotti connessi (soprattutto se è alle prime armi in questo settore) tende a sottostimare ingenuamente i pericoli e le minacce, considerando anzi sbagliato investire tempo e risorse nell’individuazione di possibili minacce. Inevitabilmente, quando sono sorpresi dagli attacchi, si ritrovano senza difese e spesso, presi dalla fretta e dal panico, forniscono soluzioni che tendono persino a peggiorare la situazione.

Ignoranza

Essendo ingenui di fronte ai pericoli e alle minacce a cui i propri device possono trovarsi di fronte, questi produttori sono anche ignoranti rispetto ai controlli di sicurezza che dovrebbero implementare. Fattori come la decriptazione end-to-end, l’autenticazione a più passaggi, il modello di minaccia e la review dei codici sono semplicemente ignorati fino a quando è troppo tardi per porre rimedio a un attacco.

Pigrizia

So che può sembrare un’affermazione forte, ma quando i produttori sono al corrente dei controlli di sicurezza e non li implementano, per me si tratta di pigrizia bella e buona.

Questi tre elementi sono in fondo comprensibili ma non scusabili. Comprensibili perché, in un mercato tecnologico ultracompetitivo come questo, tutti sono sotto pressione per uscire con un nuovo prodotto prima dei competitori. C’è poi la falsa convinzione che, una volta che un prodotto ha preso piede nel mercato, si possa poi lavorare sulla sicurezza e migliorarla. Non scusabili invece perché, di fronte a chiare ed evidenti ricerche in ambito di sicurezza e protezione, molti produttori ignorano volontariamente queste informazioni. Sradicare queste tre debolezze è però difficile e non sono convinto che lo si possa fare completamente.

Certo, qualcosa si può sicuramente fare per quanto riguarda l’ignoranza, con gli sviluppatori che potrebbero frequentare corsi di formazione o comunque informarsi in altri mille modi. Eliminare però l’ingenuità (chi ammetterà mai di essere stato ingenuo nello sviluppare un prodotto?) e la pigrizia, che volenti o nolenti fa parte della natura umana, è ben più difficile. Nonostante ciò, sono abbastanza ottimista e sono convinto che, mettendo in piedi un team informato, preparato ed educato alla cultura della sicurezza come elemento fondamentale, le cose potranno cambiare in meglio per la Internet of Things.