Con la proliferazione delle reti aumenta in maniera esponenziale il numero dei device IoT connessi in ambito residenziale e domestico ma soprattutto in ambito aziendale e industriale, senza trascurare il processo di trasformazione delle nostre città in Smart City, sempre più connesse e intelligenti. Le opportunità che si aprono sono molto interessanti ma è bene tenere presente che parallelamente crescono anche i possibili rischi collegati alla sicurezza. I dispositivi IoT, infatti, sono dei punti di accesso ideali per i cybercriminali che vogliono rubare i dati o che mirano a bloccare un’organizzazione. Trattandosi però di una tecnologia ancora relativamente nuova spesso i device IoT non vengono adeguatamente presi in considerazione all’interno della strategia di security aziendale. Ora però le cose stanno lentamente cambiando e in questo contesto Kaspersky propone un approccio di Cyber Immunity, che prevede la messa in sicurezza dei sistemi IT fin dalla progettazione e che si basa sul fine ultimo di evitare che gli attacchi informatici a delle componenti IT possano influenzare le funzioni dell’intero sistema. Il tutto accompagnato da una crescita nella formazione dei dipendenti e dei cittadini, che sono spesso del tutto o in parte inconsapevoli dei rischi potenziali a cui si trovano di fronte.
Marat Nuriev, Business Development Manager, KasperskyOS Business Unit in Kaspersky ci ha spiegato come crescono le minacce in ambito IoT, quali sono i rischi ma anche qual è un approccio corretto in termini di security, portandoci a scoprire cos’è la Cyber-Immunity.
Ma partiamo dal principio, gli oggetti connessi sono sempre più diffusi: qual è la situazione in Italia e quali sono i dispositivi più colpiti?
“Il panorama delle minacce informatiche in Italia è simile a quello globale: il problema principale è che la sicurezza non è sempre una priorità per le aziende. Inoltre, in generale c’è una mancanza di competenze per quanto riguarda le minacce e i metodi di protezione efficaci. Secondo l’analisi dei dati raccolti dagli honeypot di Kaspersky, in Italia il numero totale di attacchi contro dispositivi IoT che sono stati rilevati ha raggiunto i 13,7 milioni nel 2021 (fino ad ottobre).
In termini di prospettive di business, da quello che possiamo osservare il mercato IoT è segmentato: ci sono molte offerte IoT per soddisfare l’ampia gamma di esigenze specifiche di ciascun settore. Anche nel settore industriale esistono più soluzioni adatte a svolgere diversi compiti, ad esempio per il monitoraggio delle macchine di produzione, per il controllo dei processi di raffinazione del petrolio, etc”.
Quali sono i rischi reali legati all’IoT per un’azienda?
“Identifichiamo diversi livelli di rischio per la sicurezza informatica legata all’IoT.
Il primo livello è il furto o la fuga di dati personali, che può ad esempio avvenire a seguito dell’hacking delle telecamere di sorveglianza.
Il livello successivo è la perdita di risorse o dati finanziari, nonché l’infezione di risorse digitali, incluso l’IoT, che colpisce il lavoro dell’organizzazione, ad esempio attraverso attacchi ransomware.
Questo secondo livello include anche il genere di attacchi in cui l’infrastruttura presa di mira e i suoi mezzi vengono utilizzati dagli attaccanti per scopi illeciti, come la creazione di botnet o l’estrazione di criptovalute.
Il terzo livello include le minacce persistenti avanzate (APT), in questo caso l’attacco provoca gravi danni all’infrastruttura e può colpire anche le persone. Un esempio è costituito dall’attacco al Colonial Pipeline, un sistema di oleodotti americano. A causa dell’attacco, la rete di oleodotti si è bloccata e una vasta area degli Stati Uniti è rimasta senza carburante”.
Perché i dispositivi IoT sono così vulnerabili e come mai è necessario proteggerli?
“Esistono diversi motivi per cui i dispositivi IoT sono soggetti ad attacchi e incidenti.
In primo luogo, a causa della varietà di dispositivi, sistemi operativi, componenti software e hardware. A differenza degli hardware e software per PC o cellulari, che sono ben sviluppati e standardizzati, è impossibile studiare tutti i dispositivi IoT e garantire l’affidabilità delle condizioni del loro sviluppo. Pertanto, errori, vulnerabilità e funzioni non dichiarate sono inevitabili. Creare una soluzione anti-malware unica per tutti i dispositivi IoT non è una strategia vincente. Inoltre, su alcuni dispositivi non è possibile installare soluzioni anti-malware a causa di prestazioni o risorse insufficienti.
Un altro problema è che gli sviluppatori IoT tendono a utilizzare piattaforme software open source che sono molto diverse tra loro. Tutti questi componenti open source molto spesso non sono testati per la sicurezza informatica. Se sono presenti vulnerabilità al loro interno, queste possono poi penetrare nel prodotto sviluppato e persistere per molte versioni successive.
Vi è infine un’ulteriore difficoltà con l’IoT. È molto difficile implementare aggiornamenti su questo tipo di dispositivi e piattaforme. A differenza di PC e dispositivi mobili più o meno versatili, per i quali i reparti IT di solito dispongono di strumenti efficaci per apportare aggiornamenti tempestivi, le soluzioni IoT possono essere costituite da molte applicazioni, sistemi e software diversi, che richiedono un metodo specifico per l’aggiornamento e l’applicazione di patch. Aggiornare questo tipo di sistemi è un compito laborioso e non sempre fattibile.
Per rispondere a queste sfide di sicurezza IoT, noi di KasperskyOS utilizziamo un approccio ad hoc. Non ci concentriamo sulla riduzione del numero delle potenziali vulnerabilità, ma sulla creazione di condizioni tali da non pregiudicare le funzioni di base del sistema complessivo, quando le sue vulnerabilità vengono sfruttate. Questo implica che, anche se un’applicazione viene compromessa, non andrà ad influire sul funzionamento dell’intera piattaforma. Questa è l’essenza del concetto di Cyber Immunity”.
La rete e le connessioni sono al centro dell’IoT: come è possibile garantire l’integrità, la riservatezza e la disponibilità dei dati in ogni fase del ciclo di vita del progetto?
“La riservatezza nell’IoT è garantita dalla crittografia dei dati. Tuttavia, la crittografia non è sempre possibile sui dispositivi semplici come ad esempio i sensori. Ma quando si trasferiscono dei dati su reti pubbliche da questo tipo di dispositivi, è comunque necessario crittografarli. Questa operazione può essere eseguita su un dispositivo edge di tipo gateway. Inoltre, la riservatezza viene mantenuta attraverso il controllo degli accessi e le policy di sicurezza, che determinano chi può accedere ad un determinato dispositivo.
L’integrità è assicurata dalla ridondanza in ciascun protocollo di trasferimento dati, in modo che, nel caso in cui i dati vengano persi o sostituiti, sia possibile garantire che questo pacchetto non venga falsificato. E, nel caso in cui avvenisse, il sistema non accetterebbe il pacchetto di dati.
La disponibilità è garantita dalla ridondanza del canale. Se nella struttura sono presenti molti dispositivi, può essere rischioso inviarli attraverso un solo gateway: in caso di incidente, tutti i dispositivi sarebbero colpiti. È anche importante fornire alimentazione autonoma sia alle apparecchiature che ai dispositivi che fungono da punto di ingresso tra dispositivi, reti e nodi. C’è la possibilità di avere ridondanza anche a livello del cloud, quando i dati non sono archiviati in un data center, ma in host distribuiti”.
L’IoT gioca un ruolo fondamentale anche in quelle che saranno le città del futuro, le cosiddette Smart City. In questo nuovo tipo di città, quali opportunità può offrire l’utilizzo dei dispositivi IoT?
“Le smart city implicano un insieme di sistemi e sottosistemi che devono lavorare insieme, offrire servizi per i residenti e consentire agli enti pubblici di organizzare e gestire i sistemi digitali.
Ad esempio, i sistemi smart city per l’edilizia abitativa e i servizi comunali consentono alle amministrazioni di controllare il consumo di acqua e calore, nonché di rilevare perdite o furti. Durante uno dei nostri progetti pilota, un ospedale è stato collegato a un sistema di smart city. Grazie a questo progetto, l’ospedale è riuscito a individuare un furto: un’organizzazione del quartiere si era allacciata abusivamente alla conduttura e sfruttava l’acqua per i propri bisogni, mentre l’ospedale pagava le bollette.
Per le città, ci sono anche progetti di videosorveglianza, controllo del traffico, illuminazione intelligente, trasporti e altro ancora”.
Quali sono le possibili minacce e i rischi concreti a cui è esposta una Smart City?
“Una smart city è un sistema cyber-fisico, quindi è esposto alle stesse minacce di qualsiasi sistema IoT e IT tradizionale. Oggi, una delle minacce più note sono i ransomware che attaccano vari servizi governativi.
Le smart city possono anche essere soggette ad attacchi alle apparecchiature di rete e, ad esempio, alle telecamere CCTV, alle quali gli attaccanti possono accedere. Questo rischio non riguarda solo gli oggetti IoT, ma anche i siti e le applicazioni a cui sono connessi.
Gli attacchi mirati alle infrastrutture sono il tipo di incidente più grave. Tali attacchi possono non solo causare perdite alle imprese, ma colpire direttamente i cittadini. Ad esempio, nel 2019 un attacco ransomware ha bloccato alcuni servizi governativi a Baltimora.”
Come accennava sopra Kaspersky risponde a queste problematiche con un approccio di Cyber-Immunity…
“Sì, per rispondere in modo efficace a problematiche emergenti legate all’Internet of Things e alle cosiddette Smart City servono nuovi approcci. Il nostro è quello che abbiamo ribattezzato “cyber-immunity” e prevede la messa in sicurezza dei sistemi IT fin dalla progettazione”.
Ci spieghi meglio…
“Il fine ultimo della cyber-immunity di Kaspersky è fare in modo che gli attacchi informatici a delle componenti IT non possano influenzare le funzioni dell’intero sistema. Un sistema cyber-immune si basa sul principio che tutte le azioni non consentite in fase di progettazione debbano essere proibite. Di conseguenza, i componenti del sistema possono eseguire solo le funzioni sicure che sono state prestabilite durante lo sviluppo.
La seconda idea alla base della cyber immunità è quella di impiegare un livello di protezione in modo tale che il costo di un attacco si riveli troppo elevato rispetto ai ricavi che potrebbe ottenere chi lo ha sferrato. Ad oggi, è ancora impossibile garantire una protezione al 100%: tutto è potenzialmente hackerabile. Di conseguenza, l’unico modo per far desistere i criminali ed evitare gli attacchi informatici è rendere questi ultimi non economicamente vantaggiosi.
Rispettando questi due requisiti si abbandonerebbe quindi il vecchio concetto di cybersecurity per passare a un nuovo approccio di “security-by-design”, che garantisce maggiore protezione. Il concetto può essere applicato sia all’IoT che in ambito industriale”.
In concreto come è possibile rendere un sistema cyber immune secondo Kaspersky?
“Per rendere un sistema cyber immune secondo noi di Kaspersky occorre anzitutto definire un preciso obiettivo di sicurezza del sistema – ad esempio, la riservatezza e l’integrità dei dati trasferiti da un dispositivo a un cloud – e assicurarsi che questo obiettivo venga rispettato in ogni caso d’uso.
In secondo luogo, tutti i componenti del sistema, come applicazioni e driver, devono essere isolati l’uno dall’altro, in modo che se un componente viene compromesso questo non potrà intaccarne un altro.
In terzo luogo, la comunicazione tra i componenti deve essere controllata, consentendo solo il tipo di comunicazione prestabilito. Il kernel di un sistema immune dovrebbe essere il più compatto possibile, al fine di minimizzare l’eventualità di bug e vulnerabilità e di restringere la superficie di attacco.
In questo modo, la sicurezza diventerebbe una caratteristica integrale del sistema e qualsiasi tentativo di accesso da remoto a un componente del sistema eseguito da terze parti risulterebbe impossibile. Il componente interessato rimarrà isolato e non permetterà la compromissione di altre parti”.
Kaspersky cosa propone dal punto di vista tecnologico?
“Basandoci su queste osservazioni, ad aprile 2021 abbiamo presentato Kaspersky IoT Secure Gateway (KISG) 100, il primo prodotto basato su KasperskyOS e ispirato al nostro concetto di Cyber Immunity. KasperskyOS è un sistema operativo basato su un’architettura che garantisce che il software venga eseguito in modo sicuro, comprese le applicazioni non sicure. Si basa sul principio di isolare il componente di sicurezza da quelli funzionali del sistema informativo. Il KISG 100 sviluppato a partire dal KasperskyOS consente ai clienti di raccogliere in modo sicuro la telemetria dalle apparecchiature industriali connesse e trasferirla al cloud per l’elaborazione in applicazioni aziendali, oltre a definire e controllare i criteri di sicurezza personalizzati per le applicazioni IoT”.
Al di là della tecnologia, che rappresenta la risposta concreta al problema, un alto aspetto fondamentale è senza dubbio la formazione di coloro che in futuro saranno esposti a questi rischi. Perché è fondamentale investire in formazione?
“Secondo i risultati del nostro recente studio Kaspersky IT Security Economics, solo il 30% delle organizzazioni italiane utilizza attualmente servizi di formazione sulla sicurezza, e il 18% prevede di adottarli. Allo stesso tempo, il 40% delle aziende ha menzionato il rispetto della compliance del personale tra le 3 questioni di business più importanti legate alla sicurezza informatica. Questo dimostra che le istituzioni italiane dovrebbero prestare maggiore attenzione alla cybersecurity.[1]
La sensibilizzazione su questi temi è utile per mitigare i rischi di violazioni e incidenti, perché anche gli attacchi più sofisticati sono spesso legati al fattore umano. I dipendenti di tutti i livelli devono essere consapevoli delle minacce e sapere come evitare situazioni potenzialmente pericolose come email di phishing, fughe di dati sospette o password deboli. Un’organizzazione può sviluppare un proprio programma di formazione sulla sicurezza informatica, oppure contattare un provider di fiducia in grado di offrire corsi aggiornati e completi”.
Per finire una questione importante è anche la collaborazione tra istituzioni, parti interessate e fornitori come Kaspersky. Da questo punto di vista, avete in programma qualche iniziativa?
“L’IoT è un settore in cui le organizzazioni non possono fornire l’intera gamma di servizi, quindi è necessario formare partnership e creare ecosistemi con diverse organizzazioni. In Italia stiamo progettando di lavorare con partner e distributori per le nostre soluzioni IoT e per la sicurezza delle smart city.
Abbiamo inoltre in programma di aumentare la consapevolezza sui temi dell’IoT e della sicurezza delle smart city, e spiegare perché è importante proteggere questi sistemi”.
Il Governo sta iniziando a investire nella sicurezza informatica. Secondo Kaspersky è abbastanza o abbiamo ancora molta strada da fare?
“È importante capire che la sicurezza informatica non è un traguardo, ma un processo continuo. È necessario avere accesso alla threat intelligence più rilevante e utilizzare soluzioni adatte per mantenere un livello di sicurezza informatica adeguato”.
[1] Lo studio è stato condotto nel maggio-giugno 2021 su 4.303 interviste di aziende con più di 50 dipendenti in 31 Paesi
