I miti della sicurezza IoT
L’approccio tradizionale alla sicurezza informatica parte da un concetto di base, quello di bloccare l’accesso a ogni dispositivo informatico per difenderlo da hacker, aggressori e malintenzionati in genere. Tuttavia, in un mondo altamente connesso – dove un numero praticamente infinito di sensori, dispositivi e sistemi si alimenta costantemente e reciprocamente di dati – il concetto è diventato ormai obsoleto.
L’Internet delle cose è ormai realtà, IDC prevede che entro il 2025 ci saranno 41,6 miliardi di dispositivi IoT collegati. “Ci sono semplicemente troppi dispositivi e non ci sono più confini”, spiega Jamison Utter, senior business development manager per l’IoT di Palo Alto Networks.
Cosa significa questo per le aziende? È arrivato il momento di abbandonare l’approccio tradizionale e riflettere su un ambiente informatico senza più confini. “L’internet degli oggetti è molto diverso dall’IT”, afferma Renil Paramel, co-fondatore e senior partner della società di consulenza Strategy of Things. “È importante concentrarsi sulla rete e sull’ambiente dati in generale piuttosto che sul dispositivo specifico”.
Quali sono i 5 miti della sicurezza connessa e come un’azienda può sfatarli?
Mito numero 1: L’IoT è solamente la prossima fase della sicurezza IT
Niente potrebbe essere più lontano dalla verità. I dispositivi e i sistemi collegati rappresentano un approccio più decentralizzato all’informatica e alla sicurezza. Per i team IT, il passaggio all’internet degli oggetti richiede un enorme salto concettuale in quanto non sono più essi né l’acquirente né il proprietario del dispositivo.
“Il problema è che i team IT stanno cercando di utilizzare gli stessi strumenti e gli stessi approcci che hanno sempre utilizzato”, spiega Utter. “Stanno affrontando un problema di business come un problema informatico. L’IoT non riguarda i computer portatili e gli smartphone. Non si tratta di mettere in sicurezza le reti degli utenti. È una situazione completamente diversa, che ruota attorno alla sicurezza dei processi aziendali e dei dati”.
I leader aziendali che hanno una visione più chiara del l’Internet delle cose riconoscono che con un approccio olistico e più centrato sui dati, possono semplificare la sicurezza informatica piuttosto che renderla più complessa.
Mito numero 2: Spetta all’IT controllare la sicurezza IoT
Quando il reparto IT è responsabile della sicurezza dell’internet delle cose un’organizzazione di solito si affida a strumenti, tecnologie e approcci convenzionali. Questo approccio produce spesso risultati deludenti. L’internet degli oggetti si estende oltre i confini dei sistemi informatici tradizionali. I dati risiedono su diversi dispositivi all’interno e all’esterno di un’azienda e vengono scambiato attraverso molti altri punti di contatto.
Ma c’è un altro problema, a volte più grande. Poiché l’IoT i si estende a team, reparti e organizzazioni, è facile farsi prendere dal panico con un approccio alla sicurezza informatica incentrato sui silos. In alcuni casi, i diversi gruppi che si occupano di sicurezza possono duplicare gli sforzi o addirittura utilizzare inavvertitamente metodi che entrano in conflitto tra loro, con il risultato di lasciare un’organizzazione non del tutto protetta.
L’allineamento tra l’IT e i team di sicurezza informatica è ancora più critico nell’era dell’IoT. Ciò richiede una stretta collaborazione tra CIO, CSO e CISO. “Bisogna davvero condurre un’analisi, identificare tutte le proprie risorse e capire come, perché e dove vengono utilizzati i dati. Solo allora si può progettare un framework ottimizzato per l’internet degli oggetti”, dice Paramel. Questo può richiedere l’assunzione o la riqualificazione di persone con le giuste competenze e competenze.
Mito numero 3: Saranno gli strumenti e le strategie di sicurezza tradizionali a proteggerci
Il classico approccio perimetrale alla sicurezza informativa, basato sul concetto del castello e del fossato, può nella realtà minare la sicurezza dell’internet delle cose. La protezione dal malware e altri strumenti legacy, per fare solamente un esempio, non sono stati progettati per gestire lo streaming dei dati attraverso sensori, ambienti edge e dispositivi avanzati multiuso.
Ciò non significa che un’azienda debba eliminare queste protezioni – deve solo utilizzarle in modo diverso – e aggiungere nuove funzionalità man mano che diventano disponibili. Ad esempio, questo potrebbe portare alla crittografia dei dati in transito o a strumenti di monitoraggio della rete che identificano quando i dati sono specificamente a rischio.
L’IA può trovare i dispositivi dell’internet delle cose su una rete (compresi i dispositivi precedentemente nascosti), assicurarsi che abbiano ricevuto aggiornamenti critici e patch di sicurezza e identificare potenziali problemi ancor prima che si verifichino. Il Machine Learning può collocare i dispositivi dell’internet degli oggetti in gruppi in base ai rischi per la sicurezza, eliminando la necessità di software di sicurezza aggiuntivi e processi manuali. Questo approccio consente inoltre di sapere quando i dispositivi stanno funzionando “normalmente” o “in modo sospetto” attraverso una serie di “punteggi” di rischio, e aiuta nell’applicazione delle policy dell’internet degli oggetti.
Mito numero 4: Fondamentale è proteggere il dispositivo
Estendere all’Internet of Things il tradizionale approccio della sicurezza informatica nasconde un’altra trappola. La sicurezza dell’internet degli oggetti richiede un approccio più ampio che comprenda autenticazione della rete, connettività, cloud e altro ancora. “È ora di smettere di pensare ai dispositivi dell’internet degli oggetti come a piccoli PC. La maggior parte di questi dispositivi sono semplici e stupidi”, dice Utter.
Migliaia o decine di migliaia di sensori e dispositivi IoT rendono impossibile proteggere ognuno di essi singolarmente all’interno di un’impresa una città. Mentre è fondamentale proteggere un dispositivo medico o un’automobile dall’hacking, molti sensori e dispositivi collegati hanno componenti di sola lettura che non possono essere compromessi. Di conseguenza, le protezioni dell’internet delle cose devono ruotare intorno a relazioni più complesse che coinvolgono sistemi e dati.
Ciò significa, ad esempio, abbandonare il modello tradizionale di mettere tutti i sensori e i dispositivi sulla stessa rete. Un’organizzazione può invece trarre vantaggio dall’organizzazione degli asset in base al compito aziendale, al livello di sicurezza dei dati e al livello di fiducia e quindi dalla creazione di nodi, compartimenti o zone di rete insieme a strumenti e protezioni che corrispondono ai requisiti di sicurezza.
Mito numero 5: Le protezioni di sicurezza dei fornitori sono fondamentali
La convinzione prevalente è che spetti ai vendor dotare i loro prodotti di protezioni solide. E quando c’è una patch, un utente deve installarla in fretta e furia. Questo è un concetto imperfetto nell’era dei dispositivi connessi, non significa che la sicurezza non debba essere integrata nei prodotti; è che un’impresa non dovrebbe considerare la sicurezza offerta dai fornitori di dispositivi IoT una forma di protezione primaria.
Poiché molti sensori sono semplicemente “punti finali stupidi” che finiscono per essere sostituiti piuttosto che rattoppati. Anche quando si tratta di dispositivi più sofisticati, la maggior parte delle organizzazioni distribuisce componenti ioT e non li aggiorna mai, né offre patch per renderli più sicuro. Parte del problema è che le patch e gli aggiornamenti del firmware diventano un incubo con migliaia di dispositivi collegati.
Senior business development manager per l'IoT di Palo Alto Networks