Smartphone, tablet e piccoli notebook personali hanno ormai da tempo trovato ospitalità in azienda, mescolando irreversibilmente lo “spazio digitale” personale e quello lavorativo. Le conseguenze del Bring Your Own Device sono note, in positivo e in negativo: maggiore libertà ed efficienza, ma anche maggiori rischi di incidenti informativi, malware che si propagano dal device personale a quelli aziendali, fuoriuscita di dati. Gli stessi meccanismi si stanno ora riproponendo in una cerchia più allargata di dispositivi, che accanto a telefoni, tablet e Pc abbraccia smartwatch, bracciali fitness, fotocamere, drive Usb. Come affrontare i nuovi rischi portati dall'Internet of Things in azienda? Ce ne parla Laurence Pitt, senior security specialist Emea di Juniper Networks.
L’Internet delle Cose è ovunque. Oggi, nel mondo ci sono oltre 15 miliardi di dispositivi connessi. Il che corrisponde ad altrettante possibilità di lanciare un cyberattacco in qualsiasi momento. Del resto, a nessuno sono potuti sfuggire gli episodi accaduti alla fine del 2016, quando il malware Mirai ha infettato videocamere IoT, trasformandole in bot e utilizzandole per disabilitare siti Web e servizi Internet.
E che cosa ci riserverà ancora il 2017? Assisteremo forse per la prima volta ad attacchi contro i dispositivi IoT sferrati per rubare dati aziendali? Di fatto, si tratta di una minaccia che deve essere presa molto seriamente in quanto oltremodo reale. È arrivato il momento in cui non ci si può più sottrarre dal pensare a come migliorare processi, policy e tecnologie per garantire un uso più sicuro e produttivo dei dispositivi connessi. L’Internet of Things per uso aziendale è ormai comune, ma sono soprattutto i dispositivi personali ad aumentare in maniera esponenziale i rischi di questo trend tecnologico: acquistiamo di tutto, dai gadget desktop allo storage, e tutti questi oggetti possono essere portati al lavoro e connessi alla rete aziendale.
L’IoT in azienda
Ci sono molti validi motivi per usare l’IoT in azienda, soprattutto se se ne considerano i benefici in termini di efficienza sia personale sia lavorativa. Oramai abbiamo tutti una certa familiarità con le macchine per il caffè IoT che non esauriscono mai il caffè o con le stampanti e le lampade connesse alla rete. Ma più recentemente sono comparse integrazioni con email o anche applicazioni di pianificazione che permettono di allestire sale riunioni on-demand interamente IoT o di taggare gli asset per consentire l’elaborazione degli ordini “just-in-time”.
Tutti questi dispositivi devono poter accedere alla rete e molti richiederanno l’accesso a Internet per la configurazione e lo storage dei dati nel cloud. Questi oggetti potranno così anche essere connessi alla rete aziendale, con l’inevitabile rischio di un'esposizione della rete stessa alle minacce esterne: una macchina del caffè compromessa potrà essere sì frustrante per l’utente in crisi d’astinenza da caffeina, ma attenzione, perché la falla potrebbe anche esporre le risorse e i dati aziendali a un attacco mirato.
Nella fase di progettazione dell’infrastruttura per l’IoT aziendale è importante che i dispositivi abilitati siano trattati come potenziali fattori di rischio. Mentre un notebook o un tablet dispongono di protezioni proprie contro il malware, non si può dare per scontato che sia così anche per i dispositivi IoT. Ecco perché è importante che gli utenti siano consapevoli di come questi dispositivi accedano a Internet, di quali servizi siano necessari e quali solo consigliati e in che modo i device ricevano gli aggiornamenti. È necessario, dunque, mantenere il controllo dei dispositivi IoT collegati alla rete e non permettere che accada il contrario, lasciando l’IoT libero di controllarla.
Dai drive Usb agli smartwatch
Tutti adoriamo i nostri dispositivi IoT personali: sono divertenti e rappresentano un ponte verso il futuro. Il dispositivo in sé, del resto, è fondamentalmente innocuo e a volte anche molto utile. Tuttavia, questi device si collegano ai servizi cloud e, in assenza di adeguate impostazioni di protezione, possono esporre la rete aziendale a infiniti rischi perché offrono una via d’accesso privilegiata a chiunque stia pianificando un attacco mirato di social engineering.
È dunque indispensabile creare delle policy per l’uso dei dispositivi IoT. Non possiamo permetterci di improvvisare. Le persone usano dispositivi di backup personali, fotocamere, strumenti per il fitness e per giocare e, perciò, è essenziale assicurarsi che l’azienda sia protetta contro ogni eventuale pericolo di attacco esterno. Ma come? Esistono tre scenari possibili.
Il divieto: nessun dispositivo IoT in ufficio
A meno che non siate un’organizzazione governativa, un’azienda blindata o non abbiate mai permesso l’ingresso di dispositivi personali, questa non è una soluzione praticabile. Vietare del tutto l’IoT lo farebbe solamente rimanere nell’ombra moltiplicando i fattori di rischio per la sicurezza. Le persone lo userebbero, infatti, fuori dall’ufficio, nel parcheggio o in mensa con il risultato di una totale mancanza di visibilità. In altre parole, un divieto assoluto renderebbe la rete aziendale ancora più vulnerabile in caso di attacco.
Ignorare:l’IoT senza alcun controllo. Questa è esattamente la risposta dello struzzo che nasconde la testa nella sabbia, ignorando la realtà e mettendosi in una situazione di rischio particolarmente elevato. Permettere l’uso indiscriminato di dispositivi IoT ne impedisce il controllo e, in caso avvengua una violazione, rende difficile riconoscerla. Un approccio, questo, decisamente non raccomandabile.
Libertà e consapevolezza
Si può anche scegliere di consentire l'impiego dei dispositivi IoT personali, ma istruendo gli utenti sui possibili rischi. Questa è probabilmente la risposta migliore per la maggior parte delle aziende. Prevedendo sessioni regolari di formazione sulla sicurezza, gli utenti saranno consapevoli dei rischi e in grado di applicare adeguate forme di protezione, prima fra tutte l’utilizzo di password sicure. Solo in questo modo i dispositivi saranno visibili e protetti: alcuni potrebbero non essere permessi sulla rete aziendale ma questa sarà l’eccezione, non la regola.
In definitiva, per quanto l’IoT sia utile, i rischi esistono e non possono essere ignorati. Le aziende devono garantire per se stesse e per i propri collaboratori un utilizzo dell’IoT adeguatamente protetto, dotandosi di tecnologie di sicurezza che assicurino un monitoraggio continuo della rete, come ad esempio l’avanzato sistema di protezione Juniper Networks Sky ATP integrato nei firewall SRX di nuova generazione. Questo sistema permette una più rapida e accurata individuazione e rimozione delle minacce rispetto alle appliance di sicurezza standalone o ai singoli firewall. Quanto alla risposta alla domanda iniziale sulla possibilità di un connubio felice tra azienda e dispositivi connessi, non vi è effettiva possibilità di scelta: l’IoT è inevitabile. Quel che si può scegliere è, invece, come proteggersi dalle potenziali minacce e fare in modo che l’Internet delle Cose non si trasformi nell’Internet dei Rischi.