Come noto, il mondo dell’Internet of Things racchiude tecnologie e applicazioni che prevedono la connessione in rete di dispositivi e oggetti in grado di scambiarsi dati in modo autonomo. Gli oggetti interconnessi sono generalmente concepiti con componenti più o meno sofisticati quali gli attuatori (per esempio interruttori elettrici e valvole idrauliche), i sensori (lettori di codici a barre, rilevatori di pressione, temperatura, battito cardiaco ma anche microfoni e fotocamere), i dispositivi di elaborazione come NAS (Network Attached Storage) o router. Oltre all’aspetto funzionale e strutturale del ‘sistema IoT’ è assolutamente primario, per chi intende avvalersi dei suoi plus, considerare il tema della sicurezza.
Negli ultimi anni infatti, con l’evidente boom dei dispositivi IoT su reti aziendali, i professionisti IT hanno dovuto faticare non poco per limitare gli eventuali danni causati da una errata gestione del sistema.
L’ Online Trust Alliance , l’organizzazione americana no profit dedicata a garantire lo sviluppo, l’evoluzione e l’uso consapevole e sicuro di Internet, stila un decalogo per il corretto utilizzo della tecnologia IoT in ambito aziendale.
L’obiettivo primario del decalogo è limitare gli attacchi alla sicurezza garantendo una efficace politica di gestione e monitoraggio della stessa ma anche ridurre al minimo l’accesso ai dispositivi considerati meno sicuri e potenzialmente pericolosi.
Vediamo dunque nel dettaglio le dieci regole d’oro a cui fare riferimento:
- prediligere sempre la crittografia, branca della crittologia che tratta delle cosiddette “scritture nascoste”, ovvero quei metodi utilizzati per offuscare un messaggio.
Utilizzando questa politica, i dispositivi IoT invieranno e riceveranno i dati in modo sicuro e questi ultimi saranno decifrabili solo da soggetti autorizzati;
- concepire una rete per i device IoT autonoma e possibilmente protetta da firewall aziendale che consente un attento monitoraggio, lato tecnico;
- se bloccare tutto il traffico in entrata sui dispositivi IoT è un’impesa impossibile, è però consentito assicurarsi che non ci siano porte software aperte che potrebbero diventare facile preda di hacker intenzionati a controllare i device;
- le password identificative di ciascun dispositivo dovrebbero essere periodicamente aggiornate. L’utilizzo di password predefinite, infatti, è caldamente sconsigliato a causa dell’elevato indice di vulnerabilità verso l’esterno;
- evitate l’utilizzo di device con interruttore “factory reset” o con password predefinita, in quanto decisamente vulnerabile;
- predisporre aggiornamenti, sia manuali sia automatici. Gli update dovranno essere pianificati regolarmente onde garantire il giusto livello di efficienza e affidabilità del sistema;
- non usare mai prodotti che non siano più supportati dai loro produttori o che non possano più essere protetti/monitorati. Anche in questo caso è opportuno procedere ad una accurata analisi preventiva;
- mai mettere in produzione nulla che non sia prima opportunamente testato, soprattutto se poi finirà nella rete aziendale. Chiaramente parliamo anche di eventuali servizi back-end o cloud associati al dispositivo;
- mai utilizzare funzionalità che non siano davvero necessarie e affini al sistema Rete aziendale;
- è sempre bene evitare o limitare la connessione automatica di tutti gli oggetti alle reti Wi-Fi aperte in quanto poco sicure e potenzialmente dannose.
