Riflettevo con amici e clienti sulla sicurezza dei dispositivi: essa riguarda tutti noi, chi li produce, chi li usa, sia in ambito privato che aziendale. Come spesso mi accade, mi trovo a parlare di argomenti passando per quello “paranoico”. E devo ammettere che la definizione è corretta, ma a ragione.

Nell’hype dei servizi cloud che portano le persone ad acquistare un termostati “smart” , cloud based, io mi chiedo quando accadrà che tali dispositivi diverranno obsoleti, non più aggiornabili, non più funzionanti. Nell’epoca delle “smart” home, io mi chiedo quanti produttori hanno come business secondario la profilazione e la rivendita di dati. Ma soprattutto mi chiedo perchè tali dispositivi debbano per forza essere cloud based, anche se la risposta è, in realtà, molto ovvia.

Tuttavia l’argomento di questo articolo non è la privacy, ma la sicurezza dei dispositivi e i rischi di un mondo iper-connesso in un momenti in cui l’hype tecnologico sta toccando livelli mai visti prima.

Gestire impianti critici da un tablet

Nei primi anni della mia carriera, svolgevo un servizio di reperibilità con un tempo di risoluzione guasti molto stretto. La connettività mobile non era così diffusa come oggi, e gli applicativi erano per lo più disegnati per essere utilizzabili solo tramite client installati su Microsoft Windows. Nei rari casi di applicativi web, essi erano “ottimizzati” per Microsoft Internet Explorer con risoluzione desktop.

Oggi vedo impianti di distribuzione e trattamento acque gestiti da tablet, in completa mobilità. Con un paio di click vedo lo stato delle varie paratie, i livelli, comodamente seduto al tavolo del ristorante. Un addetto ai lavori mi assicura che non può effettuare modifiche, ma solo visualizzare l’impianto. Noi che in questo mondo ci lavoriamo da anni, sappiamo che la differenza tra “sola lettura” e “lettura-scrittura” è in un bit, server side se va bene, client side se va molto molto male.

Di conseguenza accadrà che la manipolazione di impianti critici mediante accessi non autorizzati porterà a danni considerevoli. Ci siamo andati vicini recentemente in Florida .

IoT e la leggerezza dell’Industria 4.0

L’errore più grande nel concetto di IoT e industria 4.0 è stato pensare che chi produce dispositivi industriali, da sempre attento alla sicurezza fisica, sia in grado di valutare la sicurezza “cyber”.

Ho visto progettare impianti critici per la sicurezza delle persone, collegando una lunga “catena” di switch Ethernet, ignorando qualsiasi best practice nel design di rete

E in molti casi a switch industriali costruiti per reggere condizioni estreme di temperatura e di ambiente (come le polveri), ho visto preferire switch consumer, acquistabili in quasiasi centro commerciale. D’altra parte, vista dalla loro esperienza, la rete è un semplice BUS, costituito da un cavo che deve passare informazioni: i cavi non si guastano e non temono la temperatura.

E se le reti di campo sono progettate con leggerezza, non soprende scoprire che anche i dispositivi peccano dal punto di vista della Cybersecurity: il recente caso dei dispositivi di General Electric mostra che la sicurezza, a livello di design, è stata decisamente sottovalutata, per non dire ignorata.

Il problema è sempre il medesimo in realtà, e ha a che fare sempre con una sorta di “errata percezione”. Chi non ha vissuto il punto di vista dell’attacker, non può nemmeno immaginare le conseguenze di questo modo di operare. E poiché oggi questo tipo di consapevolezza è assai rara, non dovremmo stupirci dell’attuale stato delle cose. E non dovremmo nemmeno stupirci se in futuro sempre più attacchi Cyber mineranno la sicurezza fisica delle persone.

Ma anche qui, nessuna novità: la quasi totalità dei dispositivi industriali utilizza comunicazioni non sicure, in chiaro, non autenticate. Le conseguenze dovrebbero essere ovvie.

IoT di tipo consumer

La situazione dei dispositivi consumer non è certo migliore: se da una parte abbiamo vendor che stanno cercando di industrializzare i propri prodotti integrando nel processo una valutazione della sicurezza, dall’altra la concorrenza mette sul mercato dispositivi economici, mal progettati, con backdoor .

Conclusioni

Ci troviamo all’inizio di una nuova era, nella quale la sicurezza non può più essere ignorata. Ma poiché siamo all’inizio, pochi stanno comprendendo ciò che ci aspetta, e i primi che si adegueranno, otterranno un vantaggio competitivo considerevole.

Le indicazioni che stanno arrivando dai vari enti (sia europei che americano) mostrano un percorso che vedrà la Cybersecurity come un requisito per la commercializzazione di un prodotto. Chi arriverà pronto, passerà davanti ai competitor che si troveranno ad improvvisare.