Cresce il numero di dispositivi IoT, cresce la disponibilità di connessioni, crescono le minacce alla sicurezza. Come ci si può proteggere dai cyber criminali? Spesso, in assenza di normative specifiche e di buone pratiche affinate con le giuste competenze, si rischia di esporre da soli i propri dati al pericolo.

In una rete IoT i punti critici, che permetterebbero ai malintenzionati di appropriarsi di informazioni sensibili, sono molti: dai server aziendali ai Cloud fino ad ogni singolo dispositivo connesso.

I dispositivi IoT sono solo apparentemente semplici. La facilità coi cui si installano e si connettono alla rete può trarre in inganno e far sottovalutare la loro vulnerabilità.

La normativa in materia di sicurezza

Le normative vigenti in termini di sicurezza sono europee. Si concentrano principalmente sull’attenzione alle conformità sul GDPR e assegnano all’ENISA (l’agenzia comunitaria per la sicurezza informatica) nuovi enti e più risorse per proteggere i dati dei cittadini.

Esistono linee guida da seguire per produrre eventuali certificati di garanzia nel futuro e per verificare la sicurezza dei propri dispositivi. Tuttavia, spesso, queste direttive comunitarie vengono disattese o sono insufficienti o diventano presto obsolete.

Cosa fare per aumentare la sicurezza delle reti IoT: controllare gli accessi

Sembra banale a dirsi, ma ancora oggi la maggior parte degli attacchi sono facilitati dalla mancanza di protezione degli accessi.

Utilizzo di username e di password troppo semplici, oltre che raramente aggiornate, sono una vera e propria porta di accesso facilmente apribile dai cyber criminali. Le password dovrebbero sempre essere complesse sequenze di almeno 12 tra lettere, numeri e caratteri speciali.

Esistono inoltre possibilità per regolamentare e limitare gli accessi, ad esempio un filtro per gli indirizzi IP che permetta l’accesso solo agli IP appartenenti a predeterminate categorie o attivi in una predeterminata localizzazione geografica.

Gli accessi tramite protocolli aperti (come http) dovrebbero essere ridotti o fortemente limitati, prediligendo i protocolli che offrono una connessione protetta (come https).

Implementare l’autentificazione a due fattori

Le nuove tecnologie, come gli scanner biometrici, sono ancora poco diffusi, ma anche una più semplice autentificazione a due fattori, accessibile a tutti, raramente è obbligatoria per tutti gli utenti.

Priorità massima deve essere data alla regolamentazione e al controllo di accessi sicuri alla rete.

Controllare gli aggiornamenti

Le modalità con cui vengono comunicati e installati gli aggiornamenti nascondono criticità in termini di sicurezza. Prima di eseguirli, viene controllato il server dal quale derivano? L’utente deve interagire, o è tutto automatico e, quindi, meno soggetto a controllo?

Sarebbe più sicuro non installare aggiornamenti attraverso repository pubblici e seguire delle pianificazioni regolari e accurate.

Trasferire i dati con sistemi crittografati

I sistemi di crittografia, oltre che essere sempre adottati, dovrebbero evolversi continuamente per mantenere inalterata la protezione dei dati in transito.

L’importanza di formazione e progettazione

Il tema della sicurezza deve essere presente fin nel primo progetto del dispositivo IoT e non è un argomento marginale da affrontare nel momento in cui il rischio si è già palesato.

Uno dei rischi principali per l’intera rete IoT restano i comportamenti degli utenti, sia per quanto riguarda l’uso dei dispositivi che degli accessi.

Per questo l’investimento di tempo e risorse in formazione deve essere un obiettivo prioritario.