Garantire la sicurezza degli oggetti grazie all’Identity of Things
A cura di Danilo Cattaneo
Nel mondo digitale, oramai pervasivo e in costante e rapida evoluzione, la sicurezza informatica è una priorità fondamentale. Questo concetto, seppur ampiamente riconosciuto non più solo dagli esperti di settore ma chiaro ai policy makers e ai leader d’azienda, continua a non essere oggetto di attenzione sufficiente da molte organizzazioni, in ogni settore. Lo dimostra il recente Assintel Cyber Report che dipinge un quadro allarmante: nel 2023 +184% di cyber attacchi nel mondo. Il 61% viene dal dark web, il 70% sono malware; in Italia il numero di attacchi nel secondo semestre (H2) è significativamente aumentato rispetto al primo semestre e secondo trimestre, indicando un aumento della minaccia del ransomware nel corso dell’anno.
Questo dato in crescita non colpisce solo il settore IT, ma coinvolge anche sistemi e reti OT (Operation Technology), utilizzati per il controllo di dispositivi industriali e infrastrutturali, in diversi settori, come quello manifatturiero, energetico, trasporti e sanitario.
Si osserva, inoltre, un trend sempre crescente nel condividere in rete gli oggetti, il cosiddetto Internet of Things (IoT), che amplia la capacità dei dispositivi di raccogliere, elaborare e condividere dati, consentendo un miglioramento nel monitoraggio, controllo e automazione di processi. La crescente interconnessione di reti e infrastrutture critiche con sistemi centralizzati o altri ecosistemi tecnologici è alimentata dalla tendenza dell’Internet of Things (IoT) che sta trasformando numerosi settori in “smart”, come le Smart Cities, la Smart Mobility, le Smart Grid, la Smart Health e la Smart Industry.
Tuttavia, se da un lato queste innovazioni consentono efficienza e miglioramenti nei servizi, dall’altro aumentano il perimetro di attacchi cyber esponendo le aziende a una potenziale minaccia su infrastrutture vitali, con possibili impatti gravi sulla sicurezza e la vita di milioni di persone.
Di fronte a questo scenario, una domanda sorge spontanea: quali misure si possono adottare per ridurre il rischio degli effetti malevoli di un cyber attacco a infrastrutture critiche?
Non esiste una risposta unica, in quanto il panorama delle soluzioni di Cybersecurity OT è vario e complesso, ma vi sono delle Best Practices che possono essere facilmente esportate da mondi adiacenti.
Ad esempio, nel contesto del Digital Trust, la gestione dell’Identità Digitale delle persone fisiche e delle entità legali regolata dal regolamento eIDAS, rappresenta un elemento fondamentale. Garantendo un’identificazione certa, infatti, si abilitano numerosi altri servizi e processi che aumentano la sicurezza sia delle imprese e degli individui coinvolti.
Spesso però manca una gestione certa “dell’Identità delle Cose” nel mondo OT: l’Identity of Things, emersa parallelamente all’Internet of Things, infatti non riceve spesso l’attenzione necessaria, forse anche per l’assenza di un quadro normativo specifico nel settore dell’IoT Security.
Alcuni settori sono tuttavia precursori, intraprendendo iniziative come ad esempio il comparto elettrico che ha sviluppato e adottato gli standard IEC 62351: IEC è la Commissione elettrotecnica internazionale, una organizzazione internazionale deputata a definire standard in materia di elettricità, elettronica e tecnologie correlate. Gli standard IEC 62351 sono stati sviluppati per gesti re la sicurezza nelle fasi di autenticazione del processo di trasferimento di dati tra dispositivi di trasmissione elettrica, garanzia di accessi esclusivamente dopo autenticazione, prevenzione di intercettazioni della comunicazione non autorizzate, garanzia di confidenzialità, prevenzione di attacchi e rilevamento di intrusioni.
Ancora, nel campo della Smart Mobility sono state emanate dal Governo del Regno Unito le normative “The Electric Vehicles (Smart Charge Points) Regulations 2021”, con l’obiettivo di gestire l’aumento della domanda di elettricità nella transizione verso i veicoli elettrici, al contempo garantendo la sicurezza dei punti di ricarica presenti sulle strade del Regno.
Questi due esempi evidenziano una prima tendenza di intervento, tuttavia c’è ancora molto da fare per garantire la sicurezza di tutte le infrastrutture critiche, in un contesto che diventa sempre più interconnesso e digitale.
Leggendo in controluce le normative e gli standard esistenti, si individua un pattern comune: una soluzione di IoT security efficace deve includere una serie di misure proattive per proteggere le identità delle macchine, come:
- l’autenticazione forte dei dispositivi IoT;
- la crittografia end-to-end per proteggere i dati in transito;
- la segmentazione di rete per limitare l’accesso non autorizzato e la costante sorveglianza e rilevamento delle minacce per identificare e rispondere prontamente a eventuali intrusioni.
Il tutto meglio se gestito da fornitori affidabili, ovvero “terze parti” certificate e referenziate o partner di fiducia, così che possano garantire la sicurezza end-to-end dei dispositivi IoT. A volte, tali indicazioni provengono dagli stessi standard e protocolli di comunicazione, nel settore dello Smart Charge, ad esempio, è generalmente usato il protocollo di comunicazione sviluppato dalla Open Charge Alliance, chiamato OCPP.
Il protocollo OCPP prevede un’estensione di sicurezza che richiede l’uso certificati PKI, comunicazioni cifrate e consiglia di affidarsi a terze parti definite Trusted Third Parties.
PKI, acronimo di Public Key Infrastructure, è la tecnologia alla base dei certificati digitali, ad esempio ai certificati di firma digitale o di sigillo oggi rilasciati a persone fisiche o persone giuridiche. Un certificato digitale è un documento che autentica l’identità e garantisce sicurezza nell’autenticazione, l’identificazione e, eventualmente, sottoscrizione di un payload. Nel contesto dell’IoT, l’implementazione di una PKI garantisce in modo affidabile l’identità di qualsiasi dispositivo connesso a una rete. Ciò assicura l’autenticità e l’integrità dei dati scambiati nelle comunicazioni machine-to-machine, proteggendo contemporaneamente il canale di comunicazione.
Questo è solo un esempio delle molteplici applicazioni delle tecnologie di sicurezza nell’ambito dell’IoT, tecnologie che, sebbene non nuove, spesso non vengono pienamente adottate. Troppo spesso, le imprese e gli enti sfruttano solo parzialmente le potenzialità innovative dell’IoT, rimandando l’implementazione di soluzioni di sicurezza robuste fino alla necessità normativa o, peggio ancora, fino a che non si verifichi un attacco informatico.
Non è possibile sfruttare appieno i vantaggi delle innovazioni come l’Internet of Things senza investire nel miglioramento dei livelli di sicurezza.
Garantire l’Identity of Things è un elemento fondamentale di questa linea di azione.