Libri

Sicurezza e compliance IoT, come gestire i rischi: il nuovo libro Clusit

“IoT Security e Compliance: gestire la complessità e i rischi” si sviluppa in 15 capitoli realizzati con i testi di 46 autori e 8 contributor e conta sul supporto di un utilissimo glossario. L’opera del Clusit sarà presentata ufficialmente al prossimo Security Summit  

31 Mar 2020

Mauro Bellini

Direttore Responsabile

Se è vero che l’Internet of Things ha aperto prospettive straordinarie in tanti settori e in tanti ambiti, è altrettanto vero che insieme a queste prospettive arrivano anche nuovi rischi e nuove minacce, come spesso accade nel momento in cui si mettono in moto processi di trasformazione profonda e radicale. Passata, ormai da tempo, la fase in cui l’Internet of Things nelle sue varie declinazioni era un “veicolo” di sperimentazione e di ideazione di nuovi percorsi di innovazione, siamo ora nella fase in cui le macchine connesse, gli edifici intelligenti, gli smart product e tanti altri oggetti intelligenti sono una componente irrinunciabile del business delle imprese, della vita delle organizzazioni e della nostra stessa esperienza quotidiana. Garantire la sicurezza dell’Internet of Things equivale a garantire la sicurezza delle persone e della business continuity di imprese e organizzazioni.

Partendo da questo presupposto e dalla consapevolezza che il successo dell’IoT, in termini di diffusione sempre più capillare e in termini di incidenza sul business, ha come contraltare una maggiore vulnerabilità e una estensione del perimetro di sicurezza delle aziende, è sorta la necessità di fare il punto a 360° della situazione, sia in termini di analisi dello scenario sia in termini di prospettive di sviluppo delle soluzioni e delle strategie di security collegate al mondo delle “cose intelligenti”.

Con questo servizio vogliamo introdurre l’opera realizzata dal Clusit che arriva grazie al contributo di otto editor e team leader, grazie ai contenuti e alle competenze di oltre 40 autori che hanno dato vita a 14 capitoli supportati da un utilissimo glossario.

Libro a disposizione sul sito CLUSIT

Il libro è a disposizione sul sito Clusit (QUI) e di seguito vi proponiamo una guida alla lettura per valutare il valore e la profondità de “La sicurezza e la compliance nell’IoT come gestire i rischi“, dove gli autori hanno cercato di sintetizzare le tematiche IoT più rilevanti a livello gestionale, con riferimenti al quadro normativo e alle  prospettive tecnologiche, unite alla lettura delle possibili applicazioni tecnologiche dell’IoT in vari settori come automotive, trasporti ferroviari e stradali, gestione del territorio, sanità e fitness, che possono contare su specifici capitoli “verticali”.

IoT Security e Compliance: gestire la complessità e i rischi

Tra le tante definizioni di Internet of Things che abbiamo imparato a conoscere e condividere, quella di ENISA (European Union Agency for Cybersecurity) appare, nella prospettiva della sicurezza, particolarmente appropriata. L’ENISA considera l’IoT un“ecosistema cyber-fisico di sensori e attuatori interconnessi, che consentono un processo decisionale intelligente”. Sulla base di questa lettura, appare chiaro che i dispositivi IoT sono utilizzabili dagli utenti finali (consumer) e dalle imprese per realizzare nuovi modelli di produzione o per gestire un nuovo approccio con gli ambienti fisici (per fare due esempi), con tutti i vantaggi che l’automazione genera, ma anche con nuovi e, in molti casi inediti, problemi potenziali di sicurezza e di compliance. Basti pensare alla necessità di assicurare la continuità operativa dei dispositivi medicali e degli impianti industriali critici, o ancora alle possibili implicazioni relative alla privacy per i dispositivi che trattano dati personali sanitari o che raccolgono informazioni atte a profilare l’acquisto di beni e servizi.

I Benefici dell’IoT e gli ambiti di applicazione

Se si guarda alle promesse dell’Internet delle cose nei vari ambiti, da quelli sociali e legati alla nostra esperienza personale a quelli professionali, ci sono servizi che hanno guadagnato l’attenzione di imprese e consumatori, come la riduzione del consumo di risorse energetiche; la prevenzione di guasti o rischi; la riduzione degli sprechi in tanti ambiti; l’incremento della sicurezza per le persone e per gli ambienti; l’automazione delle attività quotidiane. In definitiva, l’IoT apporta un decisivo miglioramento alla qualità della vita attraverso una migliore e maggiore capacità di raccolta ed analisi dei dati in tempo reale.

Se poi si osserva un rapporto pubblicato già qualche anno fa, ovvero il report McKinsey The Internet of Things: Mapping the value beyond the hype, del giugno 2015 (si può leggere a questo indirizzo European Union Agency for Cybersecurity), si vede che la stima dei benefici economici derivanti dall’IoT arriva a cifre di assoluta importanza: da 4 a 11 trilioni di dollari in un orizzonte temporale di 10 anni, grazie alla convergenza tra sviluppo tecnologico, accelerazione nel tasso di adozione e grazie anche alle tendenze economiche e demografiche che favoriscono la domanda di conoscenza associata agli “oggetti intelligenti”.

Allo sviluppo del mercato si affianca anche lo sviluppo di uno specifico quadro normativo IoT

Con il mercato dell’IoT costantemente in crescita da diversi anni (si leggano al riguardo i servizi +40% per il mercato Smart Home secondo l’Osservatorio IoTL’’Internet of Things in Italia nel 2018: +35% a 5 MLD Euro), cresce anche la necessità di un framework di standard e normative per accompagnare un corretto sviluppo dell’Internet delle cose. Le norme dedicate all’IoT, frutto del lavoro di autorevoli istituzioni come NIST (in USA), ENISA (in Europa) e ISO, sono sempre più ispirate e per certi aspetti condizionate dai temi della sicurezza, e presentano sempre più interrelazioni con le tematiche della cyber security, della business continuity e della protezione dei dati personali. Non a caso anche il tema della sicurezza IoT è tra i fattori che contribuiscono allo sviluppo del mercato dell’IT Security (si legga il servizio Information security a 1,3 Mld di €: GDPR, “fattore umano” e “Security by design” temi chiave).

Il libro del Clusit rappresenta uno strumento prezioso per fare il punto della situazione e per analizzare nel dettaglio le specifiche normative. Tra gli esempi da citare, pensiamo alla direttiva di una istituzione come NIST che, relativamente al mondo dell’Internet of Things, porta chiarezza nell’ambito della sicurezza dei servizi essenziali, e dunque, contribuisce ad aumentare il livello di garanzia per i dispositivi IoT presenti nel perimetro aziendale (come reti, workstation e server) di modo che siano protetti e quindi non compromettano l’erogazione di servizi critici a livello nazionale.

Sempre in questo ambito, si colloca l’attenzione verso il Cybersecurity Act del marzo 2019, che diverrà nei prossimi anni il riferimento base per la sicurezza dei prodotti e dei servizi informatici presenti sul mercato. A sua volta l’OWASP (Open Web Application Security Project) ha sviluppato un progetto per aiutare i produttori di tecnologie IoT a sviluppare i loro prodotti in maniera sicura, fornendo specifiche linee guida, le cosiddette “IoT Top 10 vulnerabilities“. Per le aziende produttrici, così come per le aziende che guardano alle prospettive dell’IoT o ai system integrator, il quadro di riferimento delle iniziative è assolutamente fondamentale e può incidere direttamente sui risultati dei progetti e sul loro sviluppo. E sui risultati di business. Così come lo stesso GDPR, che entrato in vigore nel maggio 2018, introduce alcuni capisaldi relativi alla protezione dei dati personali, fra i quali la Data Protection by design e by default e chiede di assicurare che la realizzazione dei dispositivi IoT, destinati anche al trattamento di dati personali, sia preceduta da una consapevole e accurata progettazione tecnica e organizzativa che porti alla produzione di precise regole di utilizzo dei dispositivi.

Innovazione tecnologica e quadro normativo incidono sulla sicurezza e sulle tecnologie abilitanti

Per affrontare il tema della sicurezza, occorre considerare che il dispositivo IoT deve assicurare il rispetto dei principi base della sicurezza in termini di riservatezza, disponibilità e integrità dei dati. Un tema importante, perché, come viene affrontato nell’opera del Clusit, uno dei “peccati mortali dell’IoT” è quello di utilizzare la rete aziendale per raccogliere informazioni generate da dispositivi (spesso) non sicuri. A fronte di questa “vulnerabilità”, i malintenzionati sono sempre pronti a cercare punti di debolezza, possono sfruttare i “punti di accesso” non protetti o poco protetti dell’IoT per sferrare attacchi al sistema informatico aziendale.

Nello stesso tempo, occorre considerare che la diffusione dell’IoT e la nascita di nuovi ambiti applicativi trarranno vantaggio dagli sviluppi di alcune tecnologie esponenziali, fra cui l’implementazione delle reti 5G, che porteranno ad un aumento rilevante della velocità di trasmissione e ad una riduzione dei tempi di latenza nell’utilizzo dei dispositivi. Altre tecnologie esponenziali, come Artificial Intelligence (AI) e Machine Learning (ML), permetteranno di sfruttare la mole di dati generati dai dispositivi IoT a fini decisionali, con un aumento del livello di “intelligenza” nei servizi abilitati dagli stessi dispositivi IoT, avvantaggiando in particolare le applicazioni in tempo reale. Tanti vantaggi evidenti, ma anche nuovi fattori di rischio se non si adottano misure appropriate che sappiano mettere al sicuro questa nuova capacità dell’IoT di avvicinarsi e servire processi decisionali.

La sicurezza IoT richiede una mappatura dei rischi effettivi e potenziali 

Il presupposto dell’analisi dei fattori di rischio sta in una valutazione dei rischi relativi ai dispositivi IoT che sia estesa a tutte le entità coinvolte già nelle fasi di progettazione e gestione dei dispositivi stessi, adottando adeguate metodologie di valutazione e gestione del rischio, come ad esempio la norma ISO/IEC 27005, dedicata ai rischi relativi alla sicurezza delle informazioni. La valutazione dei fattori di rischio e delle possibili minacce, non può limitarsi ai soli aspetti tecnologici, bensì deve essere in grado di comprendere le dimensioni gestionali ed organizzative connesse all’adozione di soluzioni IoT. In più, nel caso di una IoT utilizzata nell’ambito di applicazioni business, sarà necessario analizzare le logiche collegate all’integrazione con il sistema informatico aziendale, con una particolare attenzione alle possibili conseguenze legate alla gestione dei ruoli e delle responsabilità aziendali nei progetti IoT. Il libro fornisce anche un supporto concreto suggerendo alcuni strumenti per l’analisi dei fattori di rischio.

Lo studio e il confronto continuo della Community Clusit

“IoT Security e Compliance: gestire la complessità e i rischi” è frutto del lavoro della Clusit Community for Security, ideata, fondata e coordinata da Alessandro Vallega e da numerose altre persone. Nei 13  anni di attività, l’opera rappresenta la undicesima pubblicazione e rappresenta, come le precedenti, il frutto della collaborazione di professionisti di sicurezza, audit, conformità, ethical hacking, consulting, system integrator, specialisti in certificazioni, responsabili della sicurezza, rappresentanti di imprese del mondo dell’offerta di servizi e tecnologie di sicurezza e rappresentanti di aziende, e organizzazioni utenti di questi servizi.

La Clusit Community for Security implica un metodo di lavoro basato sul confronto multi-disciplinare e multi-settoriale e sulla consapevolezza ampiamente condivisa che nelle imprese e nelle organizzazioni c’è bisogno di maggiore sicurezza e soprattutto di una maggiore cultura della sicurezza. Anche per questa convinzione, il lavoro non esita a superare i tradizionali confini delle pubblicazioni di settore per portare i temi della sicurezza a confronto con aspetti legati alla cultura, ai modelli organizzativi, alle tecnologie in un percorso che vede anche il sostegno di prestigiose associazioni professionali ed industriali come ABI Lab, ACFE, AIEA, AISIS, APIHM, AUSED e CSA Italy.

Premessa alla lettura: il concetto di Tanglegence dell’IoT

È legittimo, anzi doveroso, guardare alle affascinanti prospettive dell’IoT interrogandosi sul senso della verità del dato, di una qualità incorruttibile o inviolabile ben sapendo che dalla sicurezza di questi dati dipendono analisi, valutazioni, decisioni e azioni che hanno un peso sempre più importante nella vita delle aziende e delle persone. A tutti i livelli. Rispetto a questi interrogativi, l’Internet of Things appartiene a quelle tecnologie che hanno bisogno di aumentare, magari grazie all’integrazione con altre tecnologie, il proprio livello di affidabilità, anche a prescindere dai temi della sicurezza.

L’IoT vale cioè nella misura in cui raccoglie e valorizza informazioni, nel momento in cui fa parlare ambienti e oggetti, e ne sa cogliere la verità o meglio l’oggettività. Solo in questo modo conferma il suo ruolo di attore primario nella trasformazione digitale.

In questo senso, il rapporto tra l’IoT e le altre tecnologie risiede in un percorso che è sempre più nelle mani di ciascuna azienda e di ciascuna realtà. Se pensiamo alla traiettoria che stanno seguendo i prodotti connessi e intelligenti, ovvero gli smart connected product, vediamo che questo straordinario vettore di innovazione ha aperto strade un tempo impensabili in termini di nuovi modelli di business e ha permesso a tante aziende di esplorare, testare e conquistare nuove forme di vantaggio competitivo.

L’opera del Clusit aiuta a comprendere come sia vasta e complessa la varietà di casistiche e di variabili sotto tutti gli aspetti, tecnologici, contrattuali, metodologici e come da questa ricchezza e complessità, ne esce quello che nel libro viene definito “garbuglio o groviglio” (in inglese “tangle“) ovvero una realtà difficile da descrivere e controllare. Complessità e nello stesso tempo, come abbiamo detto, ricchezza, dove ogni attore aggiunge un proprio contributo, una propria idea e una declinazione.

Questo tangle, come si evince nell’opera, è la condizione abilitante della trasformazione digitale. Al contrario poi, se si guarda alla prospettiva IoT dal punto di osservazione dell’utente o del cliente, vediamo che chi acquista l’IoT si trova al centro di una serie di processi di connessione e integrazione che si svolgono su diversi piani; quello della tecnologia, dell’economia e delle vendite che spesso sono anche indipendenti fra loro, ma che assumono valore nel momento in cui si concretizzano in forme e modalità di convergenza. Ecco che, come propone il libro, si arriva a una convergenza/convergence che è inseparabile dal tangle e che dà vita alla tanglegence.

E forse il senso ultimo di questa considerazione, sta nel fatto che la sicurezza IoT deve necessariamente essere una sicurezza olistica capace di comprendere tutto ciò che rende possibile l’IoT stesso, le sue prospettive e le conseguenze dei percorsi che ha permesso di avviare.

I capitoli e i temi del libro

Allo scopo di permettere una più attenta valutazione dell’opera, proponiamo di seguito la visione dell’ossatura e della struttura tematica adottata dalla Clusit Community for Security.

Per chi abbiamo scritto questo libro

1 Obiettivi e sintesi

2 Cosa intendiamo per IoT

2.1 Tanglegence

2.2 Cos’è l’IoT (e cosa non lo è)

3 Le future evoluzioni dell’IoT

4 Linee guida, standard e normative di riferimento

4.1 Linee guida e standard

4.2 Norme di legge e opinioni

4.2.1 Norme di legge europee

4.2.2 Opinioni relative alle norme di legge europee

4.2.3 Norme di legge degli Stati Uniti d’America

WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

5 Impatti positivi e ambiti di applicazione dell’IoT

5.1 Industrial IoT

5.2 Commercial IoT

5.3 Healthcare IoT

5.4 Transportation IoT

5.5 Consumer IoT

6 Componenti di una soluzione IoT

6.1 I dispositivi

6.2 Reti di comunicazione

6.3 Cloud (o servizi IT o sistemi IT)

6.4 Interfacce utente

6.5 Il modello IoT del Cloud Security Alliance

7 Rischi IoT

7.1 Premessa

7.2 Approccio alla valutazione del rischio

7.3 Ulteriori riferimenti per la valutazione del rischio

7.3.1 Deloitte Review- Safeguarding the Internet of Things

7.3.2 ENISA: Baseline Security Recommendations for IoT

7.3.3 NISTIR 8228

7.3.4 OWASP

8 Modelli per la valutazione del rischio IoT

8.1 Il sistema IoT

8.2 Le metodologie e gli strumenti per le analisi dei rischi

8.3 Approccio per la valutazione del rischio per l’organizzazione (corporate)

8.4 Gli impatti possibili per i rischi IoT

9 Misure di sicurezza IoT

9.1 National Institute of Standards and Technology (NIST)

9.2 European Union Agency for Cybersecurity (ENISA)

9.3 Cloud Security Alliance (CSA)

9.4 Consortium for Information & Software Quality (CISQ)

9.5 Open Web Application Security Project (OWASP)

9.6 GSM Association (GSMA)

9.7 Center for Internet Security (CIS)

9.8 ETSI (European Telecommunications Standards Institute)

10 Come gestire la sicurezza dell’IoT

10.1 Costruire un programma di sicurezza

10.2 Security by design

10.3 Metodologia di progettazione

10.4 Controllo della filiera di fornitura

11 Audit dei sistemi IOT

11.1 Premessa

11.2 Metodo di controllo

11.3 Esecuzione dell’audit

11.3.1 Determinare l’oggetto dell’audit

11.3.2 Definire l’obiettivo dell’audit

11.3.3 Impostare l’ambito di controllo

11.3.4 L’identificazione di minacce e rischi e la pianificazione

11.3.5 Determinare le procedure di audit e i passaggi per la raccolta dei dati

12 I test in ambito IoT

12.1 Fase 1: definizione dell’ambito

12.2 Fase 2: mappatura della superficie di attacco

12.3 Fase 3: assessment e attacco

12.4 Fase 4: documentazione e reportistica

12.5 Specificità del test di sicurezza per i sistemi IoT

13 Applicazioni specifiche dell’IoT

13.1 Sistemi di monitoraggio e contatori

13.1.1 Contesto

13.1.2 Casi d’uso

13.1.3 Esempi di incidenti di sicurezza

13.1.4 Rischi

13.1.5 Contromisure

13.2 Automobili connesse

13.2.1 Casi d’uso

13.2.2 Rischi

13.2.3 Contromisure

13.3 Sistema territoriale per il monitoraggio delle strutture civili

13.3.1 Contesto

13.3.2 Casi d’uso

13.3.3 Esempi di incidenti di sicurezza

13.3.4 Rischi

13.3.5 Contromisure

13.3.6 Interviste

13.4 Sistemi di building automation e domotica

13.4.1 Contesto

13.4.2 Esempi di incidenti di sicurezza

13.4.3 Contromisure

13.5 Industrial IoT (IIoT)

13.5.1 Contesto

13.5.2 Casi d’uso

13.5.5 Rischi

13.5.6 Contromisure

13.5.7 Intervista

13.6 Sistemi di controllo ferroviario e autostradale

13.7 Sanità

13.8 Fitness

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

14 Interviste di software provider internazionali

@RIPRODUZIONE RISERVATA
Mauro Bellini
Direttore Responsabile

Articolo 1 di 5