IoT contro Cyberattack | Delaini & Partners

X
X
X
X
X

Alvise Biffi

X
x
x
x
x
x
x
x
x
X
X
X

Via Copernico, 38
Copernico Business Center
20125 - Milano

info@securenetwork.it
www.securenetwork.it
X
X
Intervista di Breaking News

Quattro domande ad Alvise Biffi
CEO di Secure Network


Abbiamo ricevuto l'interessante contributo di Alvise Biffi che merita più di una riflessione anche per gi scenari inconsueti che presenta.
Ne approfittiamo per congratularci con lui per la recentissima elezione all'unanimità quale Presidente della Piccola Industria-Confindustria Lombardia. Un grande "in bocca al lupo"".


Partiamo dai fondamentali, tanto per intenderci sulla terminologia. Fino a ieri l’immagine classica di un cyber attack era quella dell’intrusione in un sistema informativo, mentre oggi abbiamo davanti un numero crescente di dispositivi connessi ad internet, sia in azienda che nella vita privata. Che cosa comporta questa evoluzione? Quali nuovi spazi e nuovi obiettivi possono avere questi attacchi?

La proliferazione di IoT (oggetti intelligenti connessi ad internet) aumenta la superficie di attacco esposta. Questo “esercito” di device, se non adeguatamente progettato o difeso (dal punto di vista della sicurezza informatica), può essere “reclutato” per attacchi di DoS (Denial of Service): ad esempio famoso fu l’attacco di tostapane e telecamere “zombie” verso gli Stati Uniti al temine della campagna alle ultime presidenziali in cui il traffico dati generato dagli aggressori attraverso queste “milizie” e concentrato sul bersaglio ha di fatto bloccato i nodi di internet della costa est americana. il DoS non è l’unico pericolo, questi device possono diventare anche la porta di accesso ai sistemi informativi, ad esempio se ho una telecamera di video sorveglianza connessa via internet per la visione remota, se non adeguatamente protetta oltre ad essere usata come “fante” per l’attacco descritto sopra, se ne potrebbe prendere il controllo per usarla senza averne il diritto (=anziché essere il guardiano ad osservare è il ladro che guarda attraverso l’occhio della telecamera) oppure se collegata sulla medesima LAN del sistema informatico aziendale/casalingo, può’ essere la porta di ingresso per avere accesso alla rete e ai dati in essa conservati bypassando le misure di sicurezza perimetrali.


Siamo nell’epoca di Industry 4.0 e IoT. In quale misura i processi industriali possono essere attaccati e danneggiati da queste forme di pirateria informatica? E come?

Tutti i macchinari/prodotti moderni raccolti sotto il nome generico “4.0” hanno la caratteristica comune di essere intelligenti e connessi al fine di raccogliere un largo volume di dati (i famosi Big Data) utili per essere automaticamente elaborati in modo da migliorare performance e servizio. Ad esempio possono essere utilizzati per manutenzione predittiva: la macchina invia una serie di segnali raccolti da sensori collegati per avvisare che sta per guastarsi, permettendo un intervento preventivo che ne anticipi il fermo; oppure possono essere usati per segnalare automaticamente la mancanza di componenti tra materie prime o semilavorati in modo da non interrompere la produzione, o ancora possono registrare abitudini e specificità di singoli clienti per dare risposte personalizzate etc… il denominatore comune per abilitare queste funzioni è l’intelligenza (data da software e algoritmica) e la connessione per poter trasmettere e ricevere i dati. Il rovescio della medaglia è che in questo modo viene esposta una nuova superficie di attacco che se non adeguatamente protetta può’ essere compromessa come descritto prima con diversi scenari: blocco dei macchinari, magari con richiesta di riscatto; sabotaggio industriale modificando lotti di produzione, magari cambiando le composizioni chimiche di medicinali; spionaggio industriale, magari rubando progetti o ricette etc… Scenari casalinghi potrebbero essere il blocco del termostato in inverno o delle tapparelle etc dietro richiesta di riscatto.

Si fa un gran parlare di GDPR e magari ci si preoccupa più di parlarne che di realizzare una strategia efficacie di protezione. È vero che privacy e sicurezza non sono la stessa cosa ma, considerando che hanno più componenti in comune, in che misura credete che il GDPR possa migliorare la percezione della security ed accelerare il ricorso a misure di protezione idonee?

La Privacy è una delle componenti della sicurezza, che si basa su 3 elementi: integrità, disponibilità e riservatezza (privacy) dei dati. La GDPR General Data Protection Regulation non si limita alla sola Privacy (=riservatezza) come normalmente semplificato, ma abbraccia anche gli altri 2 pilastri di integrità e disponibilità dei dati personali. Chi gestisce i miei dati per offrirmi un servizio non deve semplicemente tutelare la mia privacy, ma in compliance alla GDPR deve anche garantirmi che i miei dati non possano essere alterati, ne per dolo ne per incidente, e deve consentirmi di avere pieno accesso in qualsiasi momento alle informazioni che mi riguardano. Oggi vedere gli estintori e i segnalatori di fumo ci sembra normale, nei cantieri scarpe antinfortunistica ai piedi e caschetto in testa non meravigliano e fare esercitazioni di primo soccorso è normale…. Perchè abbiamo metabolizzato la cultura della safety (sicurezza fisica). La GDPR è un primo passo per iniziare a costruirci abitudini e cultura nella security (sicurezza logica) che in primo impatto ci sembrano un inutile fastidio (vedi ad es. il casco o le cinture di sicurezza) ma che offrono un beneficio individuale e collettivo oggettivamente di valore ampiamente maggiore al “fastidio”, che una volta entrato nell’abitudine diventerà normale, anzi… ci sembrerà barbaro e impensabile rinunciarvi.


Ci può dare qualche indicazione sulla “Product Security by Design”? In che maniera cambierà il modo di realizzare e proteggere le soluzioni del futuro?

Oggi difficilmente chi realizza prodotti Smart o IoT si pone il tema della sicurezza informatica già dalle prime fasi di progettazione. La best practice vorrebbe che da principio si analizzino possibili minacce per progettare le opportune contromisure già nei processi logici di funzionamento e interazione con le altre componenti dell’ecosistema, quindi andrebbero definite delle guideline di sviluppo sicuro e degli standard da rispettare per chi concorre alla realizzazione sia delle componenti “hard” che “soft” e step by step andrebbero fatti dei check di security intermedi per verificare che gli standard vengano garantiti… se vogliamo è un processo concettualmente simile alla Qualità ed allo stesso modo sarà utile avere un soggetto terzo, autorevole e riconosciuto che possa poi verificare e certificare che il processo di security by design sia conforme e robusto. Questo processo sarà indispensabile perché la sicurezza è come una catena, la robustezza è data dalla robustezza del suo anello più debole e dato che ci dirigiamo verso ambienti sempre più’ interconnessi è importante che non ci siano anelli deboli nell’ecosistema perchè ne comprometterebbero la sua interezza.
X