I dispositivi intelligenti che si connettono alla rete internet come televisori, orologi, videocamere, termostati fanno parte della nostra quotidianità a tal punto da non poterne fare più a meno. Non solo, spesso non ci accorgiamo nemmeno della loro presenza e dei rischi legati alla privacy e alla sicurezza. Minacce pericolose nel privato che generano danni ancora peggiori nei contesti aziendali. Ecco perché è utile questo approfondimento sulle ombre nascoste dei device IoT.
Vuoi ascoltare l’audio dell’articolo? Clicca play ⇓
Letto da: Linda Grasso
Cos’è lo Shadow IoT?
Gli esperti IT avranno già sentito parlare di “Shadow IT”, ovvero del collegamento dei dispositivi hardware o software ai sistemi IT aziendali senza autorizzazione. Lo Shadow IoT non è altro che una sua evoluzione: ovvero sono i dispositivi o sensori IoT che vengono collegati alla rete senza ricevere un’autorizzazione formale del reparto IT. Eludendo, quindi, i controlli di sicurezza utili per impedire accessi indesiderati alla rete aziendale.
Ecco un esempio. Se acquisto una Smart TV e la collego al wifi aziendale senza chiedere autorizzazioni al reparto IT espongo l’azienda ad un rischio alto. Magari lo faccio in buona fede, in quanto ragiono sul suo utilizzo e non sugli ipotetici rischi di un dispositivo IoT collegato alla rete. Penso “mi serve in sala riunioni per mostrare slide e video, non ci sono rischi”. E invece, un hacker potrebbe trasformare il device in un microfono e ascoltare o registrare l’intera riunione. Ma anche utilizzare la Smart tv come punto di accesso alla rete aziendale. Il risultato: se l’argomento discusso durante la riunione è sensibile potrei generare una fuga di notizie che danneggerebbe l’azienda e i dipendenti.
Dispositivi IoT: quali sono quelli che potrebbero danneggiare l’azienda?
Ogni qual volta, in azienda, si collega alla rete un dispositivo, che sia un PC, una stampante, un termostato, un frigo intelligente in sala mensa, bisognerebbe richiedere l’autorizzazione dal reparto IT. Segnalare la presenza di un nuovo dispositivo in rete serve per avviare dei controlli che verifichino la sicurezza di progettazione del dispositivo ma anche i parametri e gli accessi utilizzati per la connessione alla rete aziendale.
Quando i dispositivi da collegare erano pochi, il problema legato alle autorizzazioni non era rilevante. Con i device IoT, numericamente superiori e spesso di uso personale, le segnalazioni sono diventate più complesse da un punto di vista formale e difficili da monitorare.
Ma quali sono questi dispositivi IoT che potrebbero costituire una minaccia per l’azienda?
- Assistenti vocali e digitali: che se non configurati correttamente potrebbero raccogliere e veicolare dati e informazioni riservate delle aziende. In effetti sono dei microfoni sempre attivi.
- Fitness tracker: orologi smart ma anche dispositivi specifici per il monitoraggio delle attività sportive o dello stato di salute che collegandosi alla rete aziendale si trasformerebbero in porte di accesso per i criminali informatici.
- Smart TV: installate spesso nelle sale conferenze, potrebbero diventare bersaglio degli hacker che, attraverso l’installazione di semplici applicazioni, le trasformerebbero in microfoni. Potrebbero così ascoltare le riunioni e ottenere dati riservati.
- Elettrodomestici intelligenti: forni smart, distributori automatici che si collegano wifi per i pagamenti tramite app e piccoli elettrodomestici che entrano nelle cucine aziendali, sono sempre punti di accesso più semplici da hackerare. Spesso, infatti, non hanno applicazioni specifiche per la sicurezza informativa e le credenziali d’accesso sono più semplici.
- Rogue Cell Tower: ovvero dispositivi che imitano i ripetitori di telefoni cellulari reali e possono intercettare chiamate e dati mobili.
- Stampanti wireless: configurate in modo scorretto o sprovviste di sistemi di protezione contro virus o malware le stampanti potrebbero consentire ai criminali informatici di prendere il controllo da remoto sul flusso di stampa o raggiungere i dispositivi connessi alla rete.
- Telecamere di sorveglianza e droni: anche in questo caso la semplicità d’accesso dei dispositivi non correttamente configurati li rende un facile bersaglio per generare attacchi di tipo DDoS;
- Tablet personali: altro attacco da remoto potrebbe interessare smartphone, i tablet e i laptop aziendali non protetti correttamente. Anche in questo caso, per la quantità di dati che posseggono i danni all’azienda sarebbero notevoli.
- Sensori IoT (IIoT) industriali: utilissimi per permettere alle macchine industriali di comunicare tra loro, i sensori dell’IIoT rendono vulnerabile la rete a cui si collegano. Un esempio, sono i sistemi di riscaldamento e l’aria condizionata (HVAC) controllata da termostati abilitati Wi-Fi.
Quali sono i rischi dello Shadow IoT?
Non è facile e, in alcuni casi impossibile, monitorare tutti i dispositivi IoT che si collegano alla rete aziendale. Tra oggetti ad uso personale e device aziendali, il numero cresce costantemente.
Inoltre, grazie ad App semplici e intuitive, anche la configurazione è alla portata di tutti. Prima, quando bisognava collegare alla rete un dispositivo, o semplicemente configurarlo, si chiamava il reparto IT perché bisognava possedere delle competenze avanzate per farlo. Ora, invece, all’accensione partono programmi autoinstallanti che rendono il processo un gioco da ragazzi.
Per questo, invece di avviare la procedura per l’autorizzazione al collegamento del dispositivo, e attendere che il reparto IT sia disponibile, si procede autonomamente convinti di non arrecare alcun danno se, ad esempio, colleghiamo il nostro smartwatch al wifi aziendale. Invece, anche il dispositivo più banale può trasformarsi in una porta di accesso per gli utenti malintenzionati.
Cosa posso fare una volta entrati nella rete aziendale tramite uno smartwatch? Provocare esattamente gli stessi danni di una qualsiasi compromissione avvenuta, ad esempio, tramite pc:
- rubare i dati;
- interrompere un servizio;
- registrare conversazioni private e sensibili;
- arrecare danni fisici a strutture;
- danneggiare la reputazione aziendale.
Perché, nello specifico, i dispositivi IoT sono così pericolosi? Per l’attenzione che viene dedicata alla sicurezza nella fase di progettazione dei device. Quando sono datati o molto economici i dispositivi non vengono sottoposti all’identificazione e all’eliminazione delle vulnerabilità e non hanno funzionalità specifiche per la cybersecurity. Inoltre, spesso, ai device che utilizziamo nel tempo libero associamo ID e password semplici da decriptare e questo li rende punti di accesso alla rete preferiti rispetto ai dispositivi più complessi.
Lo Shadow IoT è la connessione dei dispositivi IoT alla rete aziendale senza richiedere l'autorizzazione. Una pratica mette a rischio i dati e la sicurezza dell'intera organizzazione Condividi il Tweet
Come contrastare lo Shadow IoT e tutelare la rete aziendale?
Prima ancora di richiedere l’intervento del reparto IT è utile soffermarsi sul processo di autorizzazione del collegamento dei dispositivi IoT. Spesso queste procedure in azienda richiedono passaggi attraverso più reparti dilatando notevolmente il tempo che intercorre tra la richiesta e l’effettivo collegamento del dispositivo.
Se per rendere più efficiente il mio lavoro ho bisogno di collegare il mio tablet personale alla rete, mi aspetto che intercorrano poche ore per farlo. Invece, se la mail di autorizzazione dovrà essere sottoposta a vari step di approvazione formale e ai controlli del reparto IT, ovviamente passeranno giorni o addirittura settimane. Stabilire, invece, un protocollo IoT rapido di approvazione, oltre a snellire la procedura, sarebbe un ottimo incentivo per i dipendenti che a fronte di veloci passaggi non si assumerebbero rischi inutili.
Passiamo ora alla parte tecnica. Gli esperti di cyber security consigliano di focalizzare la propria attenzione sulle connessioni e sui dispositivi privilegiando un approccio end-to-end in cui le operazioni di controllo sono eseguite nei nodi terminali (o end point) adeguatamente protetti.
Il reparto IT, per contrastare i rischi legati alle connessioni IoT sulla rete aziendale, dovrebbe:
- programmare una ricerca proattiva dei dispositivi IoT Shadow così da prevenire i rischi e rilevare precocemente le intrusioni;
- prestare particolare attenzione ai parametri legati alla sicurezza nella fase di configurazione e gestione dei dispositivi da collegare alla rete;
- proteggere la connessione tra i dispositivi e un eventuale cloud e i dati elaborati e archiviati in esso;
- implementare applicazioni dedicate alla sicurezza dei dispositivi IoT e creare processi di autenticazione più severi.
Quali caratteristiche dovrebbero possedere i dispositivi IoT per ridurre il rischio di accessi indesiderati?
I device IoT dovrebbero essere:
- Secure-by-design: ovvero essere progettati con, già in questa fase, i requisiti funzionali e il codice idoneo alla sicurezza informatica;
- Secure-by-default: quando il dispositivo IoT contiene le impostazioni di configurazione predefinite e sicure. Ad esempio, il produttore setta una stampante in modo tale da impedire, di default, le connessioni esterne. Queste configurazioni possono essere tranquillamente modificate in sede da un tecnico IT per adattarsi alle esigenze aziendali.
L’organizzazione, invece, dovrebbe formare i dipendenti affinché sappiano come impostare correttamente le credenziali, creare ID e Password che siano sicure e attivare l’autenticazione a due fattori per una maggiore sicurezza.
In generale, l’unico modo per migliorare la sicurezza legata ai dispositivi IoT è un impegno condiviso di tutti gli attori coinvolti nel processo: produttori, legislatori, imprese e dipendenti.