Non più solo i computer o i dispositivi mobili, ma altri oggetti di uso quotidiano sempre più sono connessi alla rete. Le persone ne fanno uso e, senza curarsene troppo, se li portano anche nelle aziende per cui lavorano. In questo modo, però, si crea una nuova fonte di pericolo per la sicurezza delle organizzazioni.
Il fenomeno è stato già battezzato Shadow IoT, echeggiando la quasi omonima pratica di utilizzare tecnologia non approvata dai dipartimenti It e foriera di potenziali minacce, proprio perché sottratta al controllo dei responsabili. Oggetti che controllano lo stato fisico, orologi intelligenti o dispositivi medici si connettono alla rete e non c’è al momento modo di tenerne adeguata traccia.
Secondo un’analisi di Infoblox, quasi la metà delle aziende (46%) ha scoperto dispositivi “fantasma” connessi alle reti interne nel corso dell’ultimo anno. Solo un quarto, per converso, non ne ha rilevati affatto.
Le norme di sicurezza di questi oggetti connessi sono generalmente deboli o comunque meno restrittive rispetto a prodotti come gli smartphone o i computer portatili. I produttori non sono particolarmente sottoposti a controlli e non sono nemmeno strutturati per rilasciare patch o altre forme di controllo tecnico, ma d’altra parte l’utente non saprebbe come applicarle.
I dispositivi IoT non sono solo potenzialmente vulnerabili, per esempio per botnet o simili, ma la loro connessione alla rete aziendale crea automaticamente un punto d’accesso aperto per possibili attaccanti. Senza una visione completa delle policy di sicurezza applicate anche a questi oggetti, le strutture It si trovano a combattere una battaglia persa in partenza per assicurare la sicurezza di un perimetro già in costante espansione.
Lo studio di Infoblox si spinge a raccomandare alle aziende di assicurarsi di avere piena visibilità su tutti i dispositivi connessi e di fare in modo che ogni tipologia di traffico Web sospetto sia rapidamente identificata. Per qualunque oggetto, inoltre, occorre evitare che siano utilizzate le password fornite di default.