I vantaggi generati dall’Internet of Things sono evidenti, ma la preoccupazione, in questo scenario, è la sicurezza. Aggiungendo più dispositivi, sensori e oggetti al nostro network, allarghiamo infatti potenzialmente la superficie attaccabile e le organizzazioni devono essere attente ad acquistare dispositivi aziendali che possono essere configurati e adattati coerentemente con le policy di sicurezza. Purtroppo, molti dispositivi consumer non rispettano questi requisiti né mai lo faranno. Citrix, azienda nella realizzazione di workspace mobili, evidenzia le tre principali sfide in termini di sicurezza che l’IoT porta con sé.
Mancanza di standard di sicurezza
Una delle sfide più puramente tecniche è la crittografia per i dispositivi più piccoli, come per esempio i sensori. Questi dispositivi devono funzionare per molto tempo con l’energia delle batterie, quindi spesso utilizzano micro-controller con una quantità estremamente limitata di RAM (alcuni hanno appena 64bytes di RAM se non meno!). Questo significa che servono algoritmi completamente nuovi che possano essere adattati a situazioni simili. Questo tipo di tecnologia si chiama crittografia leggera (LWC), che i ricercatori stanno già studiando e sperimentando da più di 10 anni. I dispositivi che utilizzano la LWC richiederanno sempre un design specifico ma l’obiettivo è di standardizzare il livello di sicurezza di questi “mattoni” indispensabili per l’IoT.
Protocolli di comunicazione diversi
Alcuni di questi protocolli, come l’MQTT, possono funzionare on top dei protocolli di sicurezza esistenti come per esempio il Transport Layer Security (TLS) – che ha sostituito l’SSL. Questa è una soluzione ideale per i gateway che già supportano il TLS. Dispositivi meno potenti possono usare protocolli come COAP. Poiché COAP utilizza UDP piuttosto che TCP, può funzionare on top delle varianti DTLS del TLS. E questa è ancora un’ottima soluzione per quei gateway, perché il DTLS è molto simile al TLS. T I dispositivi più piccoli che utilizzano LWC con protocolli di sicurezza basati su messaggi – perché non sono abbastanza potenti per supportare TLS/DTLS – rappresentano invece una sfida più importante. I gateway infatti sono essenziali per la sicurezza dell’’IoT perché permettono al traffico di essere ispezionato e convalidato in modo scalabile.
L’aggiornamento dei dispositivi multifunzione
I dispositivi più piccoli, come i sensori, non sono aggiornabili. I dispositivi più potenti a funzione singola possono essere aggiornati solo dal loro vendor. Ma i dispositivi multi funzione possono avere software che provengono da vendor diversi, quindi serve un modo affidabile per aggiornare il software senza che questo fatto rappresenti un problema. Gli smartphone ha già superato con successo questa sfida, e il loro approccio viene ora riproposto come Open Trust Protocol (OTrP) dentro lo IETF.
Più in generale, un grande lavoro si sta facendo con la Online Trust Alliance (OTA), la Cloud Security Alliance (CSA), e il Trusted Computing Group (TCG) per offrire dettagliate linee guida di sicurezza per gli sviluppatori di dispositivi IoT. Molte di queste linee guida risulteranno familiari agli sviluppatori di software enterprise, e anche gli sviluppatori di software IoT dovranno seguirle. In fondo non è la dimensione del dispositivo che conta ma il livello di rischio che pone.
