Provate a ricordare cos’era Microsoft prima della loro iniziativa Trustworthy Computing. Nessun aggiornamento automatico, nessun firewall, funzionalità e supporto tradizionale cha passavano sopra ai requisiti di sicurezza, perdita di controllo su ciò che gli sviluppatori di terze parti erano autorizzati a fare sul sistema operativo.

Microsoft è un primo esempio degli effetti positivi che si possono raggiungere quando un vendor inizia a prendere la sicurezza seriamente. Windows 95 è stato un disastro, ma fortunatamente Internet era un ‘luogo’ molto più semplice in quegli anni. Windows 10 non è solo un sistema operativo molto più sicuro, ma con gli anni Microsoft ha fatto un serio sforzo per sbarazzarsi del vecchio codice legacy abbandonando le funzionalità che non sarebbe stato più saggio utilizzare ancora. Dal punto di vista della sicurezza, la Microsoft del 2015 è un’azienda completamente differente rispetto a quella del 1995. Anche se Windows XP non è mai stato adatto all’Internet del 2002, non lo è certamente più ora. Chi pensi sia il primo a dirtelo? Microsoft stessa.

Per alcune ragioni, una delle più note piattaforme IoT, Linux – spesso nella forma Android – sta attualmente mostrando una caratteristica simile: gli aggiornamenti di sicurezza – anche se vengono prodotti – non raggiungono l’utente finale perché i manutentori di varie distribuzioni (una sorta di terze parti) non considerano gli aggiornamenti di sicurezza come una priorità.

Molte patch Linux non raggiungono gli utenti finali perché chi mantiene le distro non considera la sicurezza una priorità

Come risultato, Internet viene riempito con dispositivi consumer, appliance IoT e applicazioni industriali IoT – in numero crescente – non aggiornati con patch e sempre meno protetti.

Così come Windows 95 non era creato per Internet, credo che l’IoT in generale non sia fatto per Internet. Vista la crescita in volume di dispositivi IoT, temo che presto avremo una situazione inversa: Internet non è fatto per le minacce poste dall’IoT.

Serve che i produttori di IoT imparino dalle lezioni dell’industria del software e inizino a prendersi cura della gestione delle vulnerabilità. Ci sono due standard ISO che trattano delle vulnerabilità dei vendor e io invito le aziende a familiarizzare con essi. Da notare che questi standard sono accessibili a pagamento: ISO/IEC 29147:2014, ISO/IEC 30111:2013.

Allo stesso modo, invito le aziende manifatturiere non solo ad accettare ma anche a curarsi del fatto che gli utenti finali, i ricercatori, e i governi si preoccupino della sicurezza dei loro prodotti. Siate pronti a ricevere report sulle vulnerabilità che dovete gestire in pubblico. Cercate di partecipare a programmi Bug Bounty, create deroghe agli EULA (End User License Agreement) per favorire la ricerca sulla sicurezza, e mettete a punto i vostri processi di sviluppo per rispondere a vulnerabilità critiche di sicurezza in un modo efficiente. Sappiate che ci sono programmi Bug Bounty in modalità hosted disponibili per assistervi.

Qualche volta i problemi con la sicurezza IoT possono andare oltre l’ovvio. Pensate alle macchine che si guidano da sole per esempio. Usano processi decisionali che si basano su algoritmi. Ma cosa accadrebbe se ci fossero solo cattive opzioni disponibili? Una macchina dovrebbe investire un pedone solitario per evitare di colpire una folla? E se il pedone solitario fosse un bambino e la folla fosse costituita da persone anziane?

Che cosa succederebbe se si scoprisse che l’incidente poteva essere evitato se gli altri veicoli si fossero scambiati i dati di telemetria, ma non lo hanno fatto? O se i dati di telemetria fossero non disponibili in quel momento a causa di problemi sulla rete cellulare locale o nel cloud? Uno potrebbe proseguire all’infinito con simili ipotesi.

Non ci sono precedenti sulla responsabilità legale di un processo decisionale basato su algoritmi

Non ci sono precedenti sulla responsabilità legale di un processo decisionale basato su algoritmi. Di chi sarebbe la colpa? Del passeggero di una macchina che si guida da sola? Della società di leasing o della finanziaria che possiede la macchina? Del rivenditore o della concessionaria? Della casa automobilistica che tiene a mantenere il diritto d’autore sul software? Del subcontractor che ha scritto il codice?

A meno che non si verifichi un cambiamento di mentalità in materia di sicurezza e di come il software è sviluppato e mantenuto, avremo solo una gran confusione.

F-Secure ha annunciato una nuova soluzione di sicurezza per proteggere i dispositivi IoT presenti nelle case. (F-Secure SENSE). Crediamo che la via sia questa – vi è una necessità assoluta che questi dispositivi IoT operino in un ambiente sicuro. E oggi questo suona ironico, poiché la maggior parte dei dispositivi IoT sono semplicemente connessi a Internet senza nessun tipo di protezione esterna.

Pensiamo a cosa Charlie Miller e Chris Valasek hanno scoperto sulla uConnect di Chrysler. Le Jeep erano direttamente connesse alla rete cellulare di Sprint! Una volta che ci si è resi conto che i veicoli con uConnect accettavano le connessioni in entrata, l’operatore di telefonia mobile si è precipitato per applicare un filtro di protezione del traffico per proteggere le macchine vulnerabili.

E’ giunto il momento di adottare un approccio olistico simile per garantire la sicurezza all’IoT. La sicurezza deve provenire da livelli esterni in situazioni dove il dispositivo stesso è incapace a difendersi da solo.

Attualmente, l’IoT è visto come un modo per portare connettività a dispositivi fisici. Serve passare oltre questa premessa e realizzare che lo scopo è trasformare il modello di business da ‘vendere dispositivi’ a ‘fornire servizi’. Una volta che si comprende che il servizio è fonte di nuovo guadagno e che il dispositivo è semplicemente ridotto a un mezzo attraverso cui il servizio viene erogato, si può iniziare a comprendere il valore di proteggere tali dispositivi.

Non sono ‘solo’ dispositivi che gli utenti si mettono in casa, sono una parte integrante della catena del valore.

Come funziona una rete è semplice. Capirne il suo potenziale e le implicazioni è difficile. Non è solo un esercizio tecnologico, ma piuttosto un esercizio economico, sociale e psicologico. Abbiamo bisogno di economisti così come di buoni ingegneri.

Di Erka Koivunen, Cyber Security Advisor di F-Secure

Internet of Things e la Sicurezza" data-share-description="Provate a ricordare cos'era Microsoft prima della loro iniziativa Trustworthy Computing. Nessun aggi" data-share-imageurl="https://static.cwi.it/wp-content/uploads/2015/12/F-Secure-Sense_UI_lifestyle_iPhone6-rid.jpg" data-share-url="https://www.cwi.it/tecnologie-emergenti/internet-of-things/linternet-of-things-e-la-sicurezza-83166" >