I pericoli delle “smart home”, una strategia olistica contro il cybercrime

C’è un pregiudizio comune. Pericoloso per la sicurezza informatica a casa e in azienda. Ossia: molti pensano all’Internet delle cose (Iot, internet of things) come a una singola rete globale. In realtà, l’IoT comprende una moltitudine di reti indipendenti ma complementari in vari settori di servizio, come nei sistemi efficienti di produzione e distribuzione dell’energia (le cosiddette “reti intelligenti”), nel machine-to-machine (M2M) e in altri sistemi di controllo industriale e produttivo, nei sistemi di gestione dei trasporti e del traffico di veicoli, così come nella sanità e nella pubblica sicurezza.

La società di consulenza e ricerca tecnologica Beecham Research ha identificato nove diversi settori di servizio per l’IoT e 29 diverse applicazioni per un’effettiva e potenziale crescita o espansione dell’IoT[1]. Le applicazioni previste per le tecnologie IoT si riflettono nelle previsioni dei futuri ricavi e sviluppi del mercato dell’IoT. IDC Research calcola che il valore di mercato globale per i prodotti e dispositivi IoT raggiungerà i 737 miliardi di dollari nel 2017 e ammonterà a 1.290 miliardi entro il 2020, un tasso di crescita annuale composto (CAGR) del 15,6%[2]. Una proiezione eseguita in modo indipendente dalla società di consulenza Gartner, Inc. indica che il numero di dispositivi connessi all’IoT aumenterà da circa 5 miliardi nel 2015 a oltre 20 miliardi entro il 2020[3]. Queste e altre proiezioni indicano inequivocabilmente la crescente adozione delle tecnologie IoT in un’ampia gamma di applicazioni e la loro ampia accettazione da parte di acquirenti e consumatori. Molto probabilmente, l’utilizzo del  potenziale di crescita dell’IoT,  sarà un elemento essenziale della strategia delle aziende tecnologiche negli anni a venire.

L’IoT e le applicazioni della Smart Home

Analogamente all’IoT, il termine “smart home” è stato utilizzato ampiamente, ma in modo incoerente. Tuttavia, nel tentativo di standardizzare il significato del termine nel mercato immobiliare residenziale, Coldwell Banker Real Estate, in collaborazione con il sito di notizie tecnologiche CNET, ha definito una smart home come: “Una casa dotata di prodotti connessi alla rete (noti anche come “prodotti intelligenti”) collegati tramite Wi-Fi, Bluetooth o protocolli simili per il controllo, l’automazione e l’ottimizzazione di funzioni come temperatura, illuminazione, sicurezza o intrattenimento, da remoto tramite un telefono, tablet, computer o da un sistema separato all’interno della casa stessa”.[4]

Anche se il numero delle segnalazioni di cyberattacchi su dispositivi e sistemi smart home è relativamente basso, i ricercatori di università e imprese del settore e gli esperti di sicurezza informatica scoprono regolarmente vulnerabilità agli attacchi informatici che potrebbero compromettere la privacy e la sicurezza dei consumatori. Alcuni esempi recenti:

• In uno studio di sistemi connessi smart home, i ricercatori dell’Università del Michigan sono stati in grado di hackerare un sistema di automazione smart home molto diffuso e scardinarne serrature elettroniche, modificare le impostazioni predefinite del sistema e attivare a distanza un falso allarme antincendio[5].
• In un hackathon della durata di due giorni, sponsorizzato dal Media Lab del MIT, più di 150 hacker sono stati incaricati di trarre vantaggio dalle debolezze in oltre 20 sistemi e dispositivi smart home. Il primo giorno, gli hacker sono riusciti a ottenere il controllo del 25% dei dispositivi smart home presi in considerazione in meno di tre ore[6].
• Consulenti di settore di mercato hanno identificato nove diverse falle di sicurezza in un sistema di illuminazione sia interna sia esterna da poco introdotto. Il sistema consentirebbe agli hacker di utilizzare l’applicazione mobile  per accedere alle informazioni di configurazione della rete e controllare le luci senza autenticazione[7].

Come chiaramente illustrato da questi esempi, le vulnerabilità relative alla cybersecurity  dei sistemi e dei dispositivi domestici intelligenti connessi sono causate frequentemente da problemi legati alla progettazione e all’implementazione del prodotto. Le cause più comuni di vulnerabilità legate alla cybersecurity  riguardano generalmente una di queste cinque aree: una progettazione di prodotto mediocre, protocolli di comunicazione non protetti, procedure di autenticazione inadeguate, limitata applicazione di aggiornamenti dei  software, implementazione o utilizzo non corretti di dispositivi e applicazioni. Al contrario, come stabilito dal Dipartimento della Sicurezza Nazionale degli Stati Uniti (U.S. Department of Homeland Security, DHS), i sei principi di sicurezza IoT sono: incorporare la sicurezza in fase di progettazione, anticipare gli aggiornamenti di sicurezza e gestione delle vulnerabilità, fare leva su pratiche di sicurezza comprovate, dare priorità alle misure di sicurezza in base al potenziale impatto, promuovere la trasparenza attraverso l’IoT e connettersi con attenzione e cautela.

Il Programma di Garanzia per la Sicurezza Informatica (Cybersecurity Assurance Program, CAP) di UL adotta un approccio olistico per mitigare i rischi legati alla sicurezza informatica, valorizzando sia la protezione specifica dei prodotti, sia la protezione dei sistemi dalle minacce informatiche attraverso l’utilizzo della serie di standard UL 2900. Questo approccio può aiutare a ridurre al minimo la vulnerabilità dei sistemi e dei dispositivi smart home nei confronti degli attacchi informatici e a offrire ai produttori di dispositivi maggiori garanzie sulla sicurezza dei propri prodotti. Attualmente, la serie UL 2900 comprende standard nelle seguenti categorie:

• Requisiti generali di prodotto

Gli standard di questa categoria includono UL 2900-1, standard UL per la sicurezza informatica del software per prodotti collegabili in rete, parte 1: Requisiti generali, parte 1: Requisiti generali. UL 2900-1 stabilisce i requisiti per valutare l’architettura e la progettazione del software in base alla presenza di controlli del rischio di sicurezza utilizzando metodi di prova prescritti per valutarne vulnerabilità, debolezza e malware.

• Requisiti specifici di prodotto

Al momento, questa categoria  è composta da  tre standard:  UL 2900-2-1, Software di sicurezza informatica per prodotti collegabili in rete, parte 2-1: Requisiti particolari per componenti di rete di sistemi legati alla sanità e al  benessere, UL 2900-2-2, Schema di ricerca  per la sicurezza informatica deiprodotti collegabili in rete, parte 2-2: Requisiti particolari per sistemi di controllo industriale, UL 2900-2-3, Schema di ricerca  per la sicurezza informatica di  prodotti collegabili in rete, parte 2-3: Requisiti particolari per  sistemi di segnalazione di sicurezza . Questi standard della Parte 2 riguardano le vulnerabilità del software che supporta dispositivi e sistemi utilizzati in uno specifico ambiente industriale. Ulteriori standard in questa categoria sono attualmente in fase di sviluppo.

• Requisiti generali di processo

Attualmente in fase di sviluppo è la serie UL 2900-3, Schema di ricerca  per la sicurezza del software dei prodotti collegabili in rete, parte 3: Requisiti generali. Questa serie di standard Parte 3 affronterà  il processo generale di ​​test  di sistemi e  processi organizzativi per condurre la valutazione di rischio dell’organizzazione. Tale valutazione è necessaria per identificare le minacce informatiche legate al software  e la capacità dell’organizzazione di abbracciare  una sicurezza adeguata  durante lo sviluppo del prodotto. Utilizzati insieme, gli standard della serie UL 2900 integrano i principi strategici del DHS e forniscono un approccio efficace per valutare le strategie di sicurezza informatica di un’organizzazione, nonché le vulnerabilità specifiche di singoli sistemi e dispositivi smart home. Proprio per questo,  fornisce ai produttori di apparecchiature e agli sviluppatori di software i criteri necessari per misurare e valutare sia le caratteristiche di sicurezza dei loro prodotti sia la probabilità che le vulnerabilità legate alla cybersecurity  possano essere sfruttate.

La sicurezza informatica dei dispositivi e dei sistemi connessi smart home sta diventando una necessità di mercato per gli sviluppatori di dispositivi e per i produttori, considerato che  i consumatori richiedono sempre di più che i prodotti smart home siano protetti da attacchi malevoli. I principi strategici pubblicati di recente dal DHS per la sicurezza dei dispositivi connessi forniscono un quadro utile che può essere usato nello sviluppo di un piano di sicurezza informatica specifico per dispositivo. Con il CAP di UL, sia gli sviluppatori sia i produttori possono affrontare con efficacia le crescenti preoccupazioni riguardanti la sicurezza dei sistemi e dei dispositivi smart home connessi, contribuendo così alla protezione e alla sicurezza dei consumatori di tutto il mondo.

_________________________________

[1] “M2M World of Connected Services: The Internet of Things”, un’infografica preparata da Beecham Research. Web. 1º dicembre 2016

[2] “Internet of Things Spending Forecast to Grow 17.9% in 2016, Led by Manufacturing, Transportation, and Utilities Investment, According to New IDC Spending Guide,” IDC Research, Inc., 4 Gennaio 2017. Web. 23 Gennaio 2017

[3] ‘Gartner Says 6.4 Billion Connected ‘Things’ Will be in Use in 2016, Up 30 Percent from 2015,” comunicato stampa di Gartner, Inc., 10 novembre 2015. Web. 1º dicembre 2016

[4] “Coldwell Banker Real Estate and CNET Define ‘the Smart home’,” comunicato stampa di Coldwell Banker Real Estate, 10 maggio 2016. Web. 1º dicembre 2016

[5] “Hacking into homes: ‘Smart home’ security flaws found in popular system,” Michigan News, Università del Michigan, 2 maggio 2016. Web. 1º dicembre 2016

[6] “Hackers prove how easy it is to invade smart homes—but there’s a silver lining,”, BI Intelligence, Business Insider, 10 marzo 2016. Web. 1º dicembre 2016

[7] “Osram Lightify light bulbs ‘vulnerable to hack’,” BBC News, 27 luglio 2016. Web. 1º dicembre 2016