Se oggi data center, server, reti e storage sono altamente automatizzati con processi industrializzati, nel caso della sicurezza It l’adozione di soluzioni individuali e l’intervento manuale sembrano ancora prevalere.
Nel considerare alcuni passi verso l’industrializzazione della sicurezza IT, è importante fare alcune valutazioni sulla necessità o meno di una regolamentazione normativa dei requisiti minimi di sicurezza per i dispositivi IoT, e quindi per le apparecchiature IIoT.
Da quando i primi dispositivi firewall di rete hanno iniziato ad apparire sul mercato, il volume, la varietà e la sofisticazione delle minacce sono cresciuti a un ritmo allarmante.
Questo ha portato ad un aumento dei tipi di dispositivi di sicurezza che vengono installati per proteggere da un’ampia gamma di attacchi differenti, attraverso svariati canali come e-mail, web e social media. Parallelamente, gli utenti chiedono alla tecnologia maggiore semplicità di accesso, portando nuove sfide, in quanto il wi-fi diventa di fatto il mezzo per accedere alla rete, e poiché sempre più dispositivi sono connessi e collegati alle reti aziendali, spesso con scarsa protezione.
Come osserva con noi Simon Bryden, consulting systems engineer di Fortinet, questo ambiente ha spesso portato a un patchwork di soluzioni di sicurezza composte da dispositivi di nicchia, ognuno focalizzato su una parte del problema, ma quando si tratta di dover gestire e mantenere tali soluzioni, il sovraccarico che ne deriva può avere un impatto negativo.
Inoltre, i singoli dispositivi potrebbero non avere la visibilità complessiva per rilevare e bloccare un attacco sofisticato.
In un simile ambiente complesso è sempre più importante adottare soluzioni di sicurezza complete e olistiche in cui i componenti lavorino insieme, scambino informazioni, correlino eventi e intraprendano azioni appropriate per rilevare, proteggere e, soprattutto, informare i responsabili di sicurezza su eventuali problemi.
La visibilità è fondamentale e la soluzione deve essere in grado di visualizzare i dati in modo da trasmettere le informazioni pertinenti senza che i responsabili IT siano sopraffatti da messaggi di registro o indicazioni false-positive.
L’insicurezza di base dell’IoT
Con l’IoT e l’Industry 4.0, osserva Bryden, vengono immessi sul mercato sempre più dispositivi di rete con una sicurezza It incredibilmente scarsa. Sono sempre più numerosi gli appelli per mettere in atto regolamenti per proteggere l’IoT e l’IoT industriale, ma tutto ciò deve essere considerato attentamente.
Una regolamentazione governativa è in atto e ha maggiormente senso in ambienti in cui gli utenti potrebbero non essere a conoscenza dei pericoli a cui potrebbero essere esposti quando si utilizzano dispositivi che non hanno apparentemente funzionalità dannose.
Questo è principalmente il caso del mercato IoT consumer, sostiene Bryden, dove esistono dispositivi sempre più potenti e che hanno sempre più possibilità di essere utilizzati per scopi non legittimi. Ne sono un esempio i sistemi di home control, che possono essere compromessi per fornire informazioni utili ai ladri.
Le videocamere possono essere sovvertite per fornire informazioni sul contenuto e sugli abitanti della casa, collegandosi alle serrature delle porte per ottenere l’accesso. E naturalmente uno di questi dispositivi può essere utilizzato per prender parte ad attacchi malevoli combinati, come i massicci attacchi DDoS IoT a cui si è assistito l’anno scorso.
Poiché i vendor si battono per offrire sempre più funzionalità a un costo inferiore, per Bryden è opportuno introdurre una regolamentazione per garantire che gli utenti possano avere una cognizione sufficiente del fatto che un prodotto sia abbastanza sicuro da non rappresentare un pericolo in casa propria. Questo a sua volta fornirà ai vendor l’incentivo, che purtroppo oggi manca, di includere la sicurezza intrinsecamente nella progettazione dei loro prodotti.
D’altro canto, quando si considerano gli usi più professionali dell’IoT, in particolare le applicazioni di infrastrutture critiche e industriali, occorre prestare attenzione per garantire che la regolamentazione non influenzi l’innovazione e la concorrenza.
In questi casi, è di vitale importanza che il personale responsabile della gestione di tali reti disponga delle informazioni, delle competenze e degli strumenti necessari per garantire che le apparecchiature soddisfino gli standard di sicurezza appropriati per lo scopo e l’applicazione specifici.