Secondo gli analisti di IDC, nel 2023 le aziende europee hanno speso 227 miliardi di euro in soluzioni IoT, e soprattutto spenderanno 345 miliardi di euro nel 2027, confermando un trend in forte crescita (CAGR del 11%). D’altronde, settori come la manifattura, le costruzioni, l’agricoltura, i trasporti e le utility non potrebbero evolvere a livello digitale senza un abilitatore chiave come l’Internet of Things. Da qui, il passo verso IoT Security è molto breve.
IoT, l’abilitatore di Industria 4.0
Nell’universo della manifattura, IoT è l’abilitatore per eccellenza del paradigma 4.0, che si sostanzia in un continuo flusso di dati e informazioni all’interno dei livelli della catena produttiva, partendo dalla fabbrica fino a tutta la supply chain. Negli ambienti operativi, ovvero nel regno dei sensori, attuatori, gateway industriali, PLC, SCADA e molto altro, si parla propriamente di IoT, o Industrial Internet of Things, come integrazione di dispositivi intelligenti, sensori e sistemi di comunicazione nelle operazioni industriali, al fine di migliorare efficienza, produttività e sicurezza.
I rischi di sicurezza e l’avvento della IoT Security
Se è vero che non sarebbe mai esistito un paradigma Industria 4.0 senza l’Internet of Things, è parimenti certo che l’universo degli oggetti connessi ha creato non pochi grattacapi a chi si occupa di sicurezza informatica. Tali oggetti, infatti, hanno un ruolo centrale nell’acquisizione e nel trasferimento delle informazioni, cosa che potrebbe dare adito a un data breach, ma sono anche centrali ai fini della continuità operativa.
In questa sede ci concentriamo sul manufacturing, ma non dimentichiamo che si basano su IoT anche i dispositivi medicali, e che un attacco andato a buon fine può avere ripercussioni ben peggiori rispetto a un danno economico o reputazionale.
Formalmente, IoT Security si sostanzia in una strategia di sicurezza informatica volta a proteggere dagli attacchi cyber i dispositivi IoT e le reti a cui si connettono. Per diversi motivi, difendere sensori e oggetti connessi è una sfida in piena regola. Perché?
- Per i loro enormi volumi. A tal proposito, si ricordi l’attacco della Botnet Mirai del 2016, che rese irraggiungibile qualsiasi indirizzo web per qualche ora dagli USA e dall’Europa.
- Di solito, i dispositivi IoT non hanno una security built-in, cosa che rende centrale la protezione della rete (network security).
- Non è possibile installare sugli oggetti IoT soluzioni di sicurezza agent-based.
- I sistemi IoT sono profondamente diversi tra di loro (varietà) e spesso adottano canali di comunicazione e protocolli non pensati per essere sicuri.
- Le pratiche di autenticazione sono solitamente deboli.
- L’impiego della crittografia non è comune.
- Si riscontrano solitamente vulnerabilità a livello software e firmware.
- Le implementazioni di IoT su larga scala rendono complesso ottenere il livello di segmentazione della rete necessario per gestire al meglio le potenziali minacce.
- Gli ambienti IoT sono contraddistinti da scarsa visibilità. Può accadere, infatti, che dispositivi IoT vengano installati senza una supervisione dell’IT o dei team di sicurezza, creando ulteriori vulnerabilità. Se poi estendiamo il discorso agli ambienti OT, riscontriamo che è ancora prassi comune pensare alla sicurezza IT e OT come a mondi separati, anziché ad aree che devono funzionare in modo sinergico.
Come approcciare il tema della IoT Security
Date le molteplici sfide della IoT Security, è necessario implementare una soluzione che sia in grado di miscelare (almeno) 4 fattori:
- visibilità su tutto l’ecosistema IoT adottato dall’azienda;
- monitoraggio costante;
- segmentazione della rete;
- risposta rapida, meglio se automatica, agli eventi di sicurezza.
La visibilità è il primo grande requisito di una soluzione di IoT Security. Essa consente alle aziende di tenere sotto controllo i propri ecosistemi IoT e tutti gli oggetti connessi assegnando profili di rischio, sviluppando policy ad hoc e, più in generale, abilitando un monitoraggio fine di tutti i device presenti in rete per intercettare comportamenti anomali, che potrebbero essere causati da un malware.
La micro-segmentazione della rete e l’adozione di un modello ZTNA (Zero Trust Network Access) rappresentano ulteriori layer di sicurezza che si sommano al monitoraggio di cui sopra e agli aggiornamenti costanti del software e del firmware, laddove possibile; in caso contrario, ci si può affidare a soluzioni di prevenzione delle intrusioni (Intrusion Prevention System, o IPS). Sempre in chiave multi-layer, altri ambiti che vanno gestiti sono quello dell’autenticazione, laddove sarebbe opportuno utilizzare meccanismi di strong authentication, e della crittografia, anch’essa centrale in ottica di prevenzione dei data breach.
Non c’è dubbio che IoT Security rappresenti una sfida in piena regola. Inoltre, nell’ambito della manifattura non bisogna dimenticare che gli ambienti IoT sono l’elemento di congiunzione tra il mondo IT e quello dell’Operational Technology (OT); questi, rimasti separati per decenni, oggi convergono in chiave di smart manufacturing e creano nuove sfide per gli specialisti di sicurezza, poiché l’OT si basa solitamente su tecnologie legacy, protocolli proprietari e scarso aggiornamento dei sistemi (per non compromettere la continuità produttiva).
L’IoT, dunque, esattamente come l’OT, richiede competenze e strumenti di security dedicati, ed è sempre preferibile rivolgersi a partner con skill ed esperienza specifica.