08/02/2018 di Redazione

Internet of Things e sicurezza: tre consigli per le aziende

L'universo degli oggetti connessi ha varcato i confini delle aziende, ma spesso ci si dimentica dei rischi legati a queste tecnologie. Palo Alto Networks ci spiega come limitarli.

immagine.jpg

L'IoT non è solo una questione di tecnologia, ma anche di buone pratiche, regole, comportamenti, di cultura aziendale. Che si tratti di stampanti, di smartwatch o di robotica industriale, l'universo degli oggetti connessi ha da tempo varcato i confini di uffici, sale riunioni, magazzini, negozi, fabbriche, insomma di tutti quegli ambienti di lavoro dove persone e macchine operano fianco a fianco. Attacchi cybercriminali anche elcatanti, come la botnet Mirai, ci ricordano che i dispositivi Internet of Things sono tutt'altro che alieni da problemi di sicurezza. Possono, anzi, diventare il veicolo di reazioni a catena dagli effetti devastanti.

 

Invece di correre ai ripari quando il danno è fatto, potrebbe essere una buona idea giocare d'anticipo, pianificando una strategia di adozione dell'IoT che sia sicura e che consideri anche il “fattore umano”. Mauro Palmigiani, country general manager per Italia, Grecia e Malta di Palo Alto Networks, riassume lo scenario attuale e ci lascia tre fondamentali consigli.

 

 

Mauro Palmigiani, country general manager per Italia, Grecia e Malta di Palo Alto Networks

 

Nell’ottobre del 2016, una botnet guidata dal malware Mirai ha lanciato il più grande attacco distributed denial-of-service della storia. Ma si è trattato solo del punto di svolta nell’attenzione dei media, perché in questo e in tanti altri casi la cosiddetta “IoT security” è un problema importante. In particolare, i professionisti della sicurezza devono prendere nella dovuta considerazione i rischi derivanti dall’utilizzo di dispositivi non sicuri.

 

Oggi, dopo oltre un anno da Mirai, l'IoT continua a essere una crescente preoccupazione. Dai tostapane connessi a Internet alle spazzole smart, fino ai più popolari fitness tracker, si tratta di dispositivi che possono essere rischiosi, soprattutto quando usati in determinati ambienti. E, dato l’uso sempre più marcato di device del genere all’interno di reti aziendali, non è solo importante essere pronti a proteggere la propria organizzazione, ma è fondamentale capire fino a dove il rischio IoT possa arrivare.

 

Come ha evidenziato la AT&T IoT Cybersecurity Alliance in un recente whitepaper, Mirai è stato solo l’esempio più eclatante del tipo di rischio creato dalla presenza di dispositivi IoT non sicuri. La minaccia più evidente è l’esposizione di dati personali rispetto a chi compromette un device. Ma, secondo il report, se i dispositivi connessi all’interno dell’organizzazione vengono usati nell’ambito di un attacco più esteso, la stessa organizzazione potrebbe avere danni di immagine o, peggio, diventare essa stessa una vittima attraverso un dispositivo IoT, magari di un partner compromesso.

 

Come per ogni altro tipo di attacco informatico, le implicazioni di un attacco IoT sono molto estese. Per questo è importante che la IoT security venga affrontata così come si farebbe con la sicurezza di reti, endpoint e cloud. Una strategia estesa di “igiene informatica” è una componente fondamentale per la protezione di un’organizzazione e per la prevenzione degli attacchi cyber. I team di sicurezza dovrebbero rivedere le loro attuali priorità, magari seguendo questa semplice checklist in tema di igiene e IoT security:

 

Numero uno: verificare l’accettazione complessiva del rischio da parte dell’azienda. Ognuna ha una differente visione del rischio che è pronta ad accettare, ed è importante comprendere quale sia l’atteggiamento generale dell’azienda in questo senso. È un primo passo importante, perché contribuisce a determinare quali dispositivi dovranno avere la possibilità di collegarsi e quali invece dovranno essere bloccati o “segregati”. Alcune aziende, per esempio, potrebbero considerare limitato il rischio della connessione da parte degli utenti di fitness tracker ai laptop aziendali, permettendo di trasferire dati relativi alla salute personale. Altre, con un atteggiamento differente, potrebbero considerare questo comportamento come ad alto rischio.

 

Numero due: sviluppare un programma di formazione e consapevolezza sul tema IoT. I dipendenti devono essere al corrente del rischio rappresentato dai dispositivi connessi e, perché possano avere le corrette competenze IoT, necessitano di risorse e formazione. Elemento fondamentale per sviluppare di questa consapevolezza è assicurarsi che comprendano come i loro device personali siano parte di un quadro più grande e soprattutto della sicurezza generale del loro posto di lavoro, assieme a che cosa è consentito e a cosa non lo è. La formazione dovrebbe anche considerare come condurre degli “health check” regolari per capire se i dispositivi sono sicuri. È importante fornire ai dipendenti gli strumenti necessari a proteggere se stessi e la loro organizzazione, indipendentemente dal fatto che questo significhi un vero e proprio corso su rischio IoT e igiene cyber, oppure un video in cui i responsabili aziendali illustrano possibili scenari legati alle minacce IoT.

 

 

 

 

Numero tre: dare personalmente il buon esempio. Un controllo regolare dei dispositivi personali è sempre un buon promemoria sull’importanza della sicurezza IoT. Eseguire personalmente questo processo aiuterà a comprendere che cosa debba essere incluso nel programma di igiene IoT dell’azienda. Un buon punto di partenza può essere quello di controllare regolarmente lo status delle app sul proprio smartphone. In molti casi le applicazioni richiedono accesso a foto, informazioni sulla posizione e contatti: è proprio necessario garantire questo accesso? Mantenere aggiornati i dispositivi IoT e controllare che siano attivate adeguate impostazioni di sicurezza sono passaggi importanti per proteggere i dispositivi stessi, ma anche per rendere più sicure le reti e gli altri device a cui si collegano, compresi laptop e cellulari aziendali.

 

Gartner prevede che nel mondo entro il 2020 saranno operativi oltre 20 miliardi di dispositivi connessi, partendo dagli 8,4 miliardi che già esistevano nel 2017. Gli investimenti in sicurezza da parte delle aziende che producono questi dispositivi differiscono tra loro quanto i dispositivi stessi. Ci sono aziende IoT che investono molto sulla sicurezza, mentre altre si concentrano solo sulla connettività e in questo modo la sicurezza viene messa in secondo piano. Ogni responsabile della sicurezza dovrebbe considerare anche questo in fase di analisi dei rischi IoT per la propria organizzazione e i suoi singoli utenti. C’è molto ancora da fare per assicurarsi di essere un passo avanti quando si parla di sicurezza IoT.

 

 

ARTICOLI CORRELATI