Back
Login Parliamo

Tutto ciò di cui avrete bisogno per gestire la connettività IoT

Rendiamo l’IoT una realtà in tutti i settori

Sei pronto a iniziare il tuo viaggio nell'IoT?

Richiedi un kit di prova

Sei curioso di scoprire l’IoT? Ci pensiamo noi

Tu sei il numero 1 Noi siamo Tele2

Siamo molto orgogliosi di essere al 37% posto nella classifica delle aziende più sostenibili del mondo stilata dal TIME

A Tele2 IoT White Paper

White Paper sulla sicurezza IoT di Tele2

IoT e Sicurezza: cosa devi sapere

Warren Buffet afferma che la sicurezza informatica è la minaccia più grande che l’umanità affronta, persino più pericolosa delle armi nucleari. Può sembrare un po’ esagerato, ma proteggere dispositivi connessi e reti – e capire come farlo efficacemente – sarà di fondamentale importanza man mano che l’IoT continua a diventare una parte fondamentale della tua strategia aziendale.

Le aziende continuano a sostenere che affrontare le questioni di sicurezza è importante per loro e rimane in cima alle loro agende – eppure non si fa abbastanza nonostante i rischi e le vulnerabilità crescenti e le implicazioni di non affrontare la sicurezza che potrebbero avere un effetto dannoso non solo sulle loro attività ma anche sulla società nel suo complesso.

La sicurezza IoT non riguarda solo la sicurezza tecnica, ma anche informare gli utenti su ciò che accade con le loro informazioni e i loro dispositivi, così che possano prendere decisioni informate su come vogliono che tali informazioni vengano gestite. Si tratta anche di educare i dipendenti su come gestire dati e dispositivi.

I dati fungono da finestra sulle nostre vite – e quando si tratta della tua azienda possono fungere da finestra non solo sulla tua azienda, ma anche su quelle dei tuoi clienti. I dati sensibili sono estremamente preziosi e, nelle mani sbagliate, possono rappresentare una seria minaccia.

Le implicazioni di non affrontare i rischi per la sicurezza sono molto ampie. Finché tutti e tre i livelli della sicurezza IoT non saranno gestiti e sotto controllo, la tua azienda e i tuoi clienti continueranno a essere vulnerabili.

IoT e Sicurezza: il contesto

Molte aziende hanno tradizionalmente dato per scontato che qualsiasi soluzione IoT sia sicura e, sebbene abbiano avuto dipartimenti IT esperti che lavorano complessivamente con la sicurezza digitale, spesso non si sono concentrate sullo sviluppo di un piano di implementazione specifico per le loro soluzioni IoT. Allo stesso tempo, gli esperti di sicurezza hanno da tempo sottolineato il potenziale rischio di un gran numero di dispositivi connessi non protetti, con alcuni che affermano che dovranno verificarsi diversi attacchi globali importanti prima che la sicurezza venga presa sul serio – una volta che ciò accadrà, tutti capiranno quanto sia importante per qualsiasi azienda che implementa IoT avere una strategia riguardo alla sicurezza.

Con l’aumento della consapevolezza, anche la qualità delle misure di sicurezza è migliorata. Questo significa che la maggior parte dei componenti IoT ha un certo livello di sicurezza, ma spetta comunque a chi sviluppa o progetta la soluzione assicurarsi che quei componenti funzionino bene insieme. In altre parole, non esiste una soluzione magica – devi comunque sviluppare e implementare la tua strategia di sicurezza.

Tre livelli di sicurezza IoT da considerare:

  • Tecnologia fisica – tutto, dall’hardware al software fino all’infrastruttura
  • Sistema di gestione dei diritti – chi ha accesso a cosa
  • Informazioni – come comunichi con clienti e utenti finali – e cosa succede alle tue informazioni

IoT e Sicurezza: attacchi, rischi e protezione

Attacchi e protezione sono due facce della stessa medaglia. E attacchi o problemi (rischi) possono provenire sia dall’interno che dall’esterno, quindi le implicazioni di non affrontare i rischi per la sicurezza sono molto ampie.

I 3 principali rischi per la sicurezza IoT secondo Tele2 IoT:

  • Furto di dati e dispositivi
  • Dati e manipolazione dei dispositivi
  • Conformità allo stoccaggio dei dati

Inoltre, può essere molto difficile rilevare le violazioni della sicurezza. Se non hai la conoscenza o la conoscenza di IT e sicurezza, potresti nemmeno accorgerti finché non sarà troppo tardi.

Quando parliamo di sicurezza intendiamo la ‘superficie’ dell’attacco – fondamentalmente quanta esposizione hai. È semplice come sapere che quando esci fuori in inverno, più pelle hai esposta, più velocemente ti raffreddi. Affrontare la sicurezza è la stessa cosa: meno esposizione hai, meno rischio c’è. Non prenderai l’ipotermia se hai la copertura adeguata.

La maggior parte dei dispositivi viene fornita con password predefinite, e l’uso di password predefinite è alla radice della maggior parte delle vulnerabilità. È veloce e semplice per qualcuno controllare se non sei protetto correttamente da password, quindi cambiare le password predefinite è fondamentale. E se il tuo dispositivo è su Internet pubblico, verrà rapidamente indicizzato dai motori di ricerca, che poi creeranno una lista di dispositivi con la porta spalancata e poi boom! Hai un problema di sicurezza.

Non aggiornare è un problema tanto grande per le aziende che implementano IoT quanto per i non esperti che non si preoccupano di aggiornare browser o sistemi operativi. L’aggiornamento è un modo semplice e semplice per aumentare la sicurezza, eppure è un passaggio spesso trascurato.

Non avere un ciclo di aggiornamento verificato è anch’esso un rischio e può portare qualcuno ad accedere ai tuoi dispositivi e manipolarli – in altre parole, controllarli a distanza.

Un altro scenario è che qualcuno acceda ai tuoi dispositivi non per modificare o manipolare nulla, ma per usarli come mezzo per attaccare altri dispositivi. In altre parole, creano un esercito di dispositivi che possono essere usati per attaccare la tua azienda. Prendiamo il MIRAI Botnet: dispositivi IoT insicuri hanno fatto crollare gran parte dell’infrastruttura Internet centrale degli Stati Uniti, inclusi Twitter, Netflix, CNN, ecc., e ne è seguito il caos.

Il botnet MIRAI potrebbe essere un esempio piuttosto estremo, ma guarda la tua azienda e chiediti quali sono i rischi. Dove nella tua configurazione puoi individuare vulnerabilità e cosa puoi fare per affrontarle?

Changing default passwords and updating regularly are two steps you should be implementing right away.

Come persone comuni, quando pensiamo alla sicurezza, ci preoccupiamo se i nostri account social siano stati hackerati o le informazioni bancarie compromesse, ma anche l’hacking è un grosso problema all’interno dell’IoT.

If you are hacked any data could be modified – and any data that is modified cannot be trusted.

Ad esempio, se la tua centrale nucleare segnala comportamenti specifici alle autorità, un hacker potrebbe modificare quei dati durante il transito, portando a decisioni basate su fatti errati e sbagliati. L’hacker potrebbe modificare le tracce di audit e rendere molto difficile e costoso identificare quali informazioni sono corrette e quali no.

Ovviamente, non tutti gli hack hanno il potenziale teorico per conseguenze così drastiche. Prendiamo il contadino fittizio John, che ha posizionato piccoli sensori nei suoi vasti campi. Potresti pensare che sapere quanto è umido il suo terreno o quando raccoglierà possa avere valore per chiunque tranne che per lui, ma se la finestra di raccolta è solo di tre o quattro giorni e i suoi dispositivi inviano informazioni compromesse o non funzionano e lui non sa che non funzionano, potrebbe perdere tutto il raccolto. Questo non avrebbe solo avuto un impatto sui suoi profitti, ma anche sulla catena di approvvigionamento alimentare.

All’interno dell’UE un grande rischio è la non conformità al GDPR, il Regolamento Generale sulla Protezione dei Dati dell’UE. Non essere conformi non è solo dannoso per te – dovrai affrontare multe ingenti che avranno un impatto enorme sui tuoi risultati economici – è anche dannoso per i tuoi clienti e utenti finali.

Trasmettere dati sensibili tra i tuoi dispositivi e il centro operativo potrebbe portare all’intercettazione, con qualcuno che ottiene informazioni sulla tua azienda o su uno dei tuoi clienti che non vuoi che abbiano – e che non dovrebbero avere a loro.

Un esempio semplice sarebbe un pacemaker connesso: secondo il GDPR il paziente/cliente ha il diritto di far trasmettere qualsiasi informazione sensibile privata e protetta. Se queste informazioni vengono compromesse, dì che perché qualcuno è riuscito a hackerare il tuo sistema, stai affrontando grossi problemi.

Non tutti i rischi per la sicurezza coinvolgono violazioni dei dati, ma qualsiasi attacco che ti impedisca di vendere prodotti o servizi – o addirittura che ti impedisca di fatturare i clienti – potrebbe causarti una serie di problemi indesiderati.

Essere consapevoli di eventuali vulnerabilità e adottare le giuste misure per proteggersi ridurrà eventuali rischi per la sicurezza.

Proteggersi

La maggior parte delle vulnerabilità sfruttate dalla comunità hacker/hacker è nota da più di sei mesi. Anche se le vulnerabilità di solito hanno una patch e un aggiornamento disponibile, se aspetti un anno per aggiornare hai una grande esposizione perché più tempo aspetti ad aggiornare, più le scansioni diventano comuni. Di conseguenza, sempre più attaccanti verranno a conoscenza della tua vulnerabilità, rendendo molto più facile violare il tuo sistema.

Ci sono due tipi di aggressori da tenere a mente:

1. Opportunistico2. Targettato
Gli hacker opportunisti scansionano continuamente e approfittano di ogni vulnerabilità. Pensalo come un ladro che attraversa un quartiere provando ogni porta per vedere quale è aperta. È a basso costo e sanno che possono avere fortuna in qualsiasi momento, trovando una grande quantità di informazioni. Cosa facciano con queste informazioni è un’incognita. D’altra parte, gli hacker che compiono attacchi mirati non giocano sulle probabilità. Vogliono accedere a sistemi specifici e stanno lavorando su un livello di coinvolgimento molto più elevato. Un attacco mirato richiede più lavoro per entrare in un sistema specifico: gli hacker devono trovarlo e sapere cosa farne. È molto più difficile difendersi da un attacco mirato semplicemente perché questi tipi di attaccanti saranno molto più persistenti.

Se stai usando un dispositivo di tracciamento, idealmente ti verrà chiesto di aggiornare il software, ma mentre il telefono, il tablet o il laptop ti invieranno notifiche push per aggiornare, la maggior parte dei dispositivi IoT non è abbastanza intelligente da auto-aggiornarsi, quindi potresti doverlo fare manualmente.

A volte, però, non è possibile aggiornare i tuoi dispositivi IoT, il che significa che dovrai sostituirli per aggiornare il sistema. Questo è un aspetto importante da considerare nella scelta della soluzione IoT.

A mobile network system makes it difficult to go from one device to another, so someone who compromises one device will have a tough time accessing the rest. This reduces the ability of attacks/infections spreading.

Ovviamente, non c’è nulla che impedisca di mettere i dispositivi su Internet pubblico. Con un APN privato i tuoi dispositivi non sono mai esposti a Internet (pubblico), quindi non appariranno mai nei motori di ricerca. Ma tieni presente che anche se togli un dispositivo compromesso da Internet e lo metti su una rete privata, potrebbe comunque essere compromesso – ma i danni che può causare e il rischio di esposizione saranno ridotti. Inoltre, i tuoi dispositivi saranno isolati non solo l’uno dall’altro ma anche dagli altri clienti, il che alza davvero l’asticella in termini di sicurezza.

Come proteggersi: la checklist per la sicurezza IoT

  • Aggiorna regolarmente il tuo software e puntualmente.
  • Cambia le tue password predefinite.
  • Credenziali di accesso sicura.
  • Limita l’esposizione (firewall, reti private, ecc.).
  • Limitare l’accesso ai sistemi (solo persone e computer che hanno bisogno di accesso).
  • Non mettere il tuo sistema di controllo di fabbrica critico sullo stesso sistema del tuo ufficio aziendale. Includere processi solidi per i dipendenti.
  • Avere un team IT qualificato, informarsi e cercare attivamente le violazioni della sicurezza.
  • Inserisci la sicurezza nel tuo processo di progettazione e strategia IoT.
  • Analisi del rischio – questo ti aiuterà a differenziare i diversi livelli di rischio e a valutare di conseguenza.

Cassetta informativa privata APN

ServizioAPN privatoAPN privato
con IPSec VPN 		APN privato con
Interconnessione privata
Trasferimento di dati in modo sicuro++++++
IndustriaN/A+++++
Scalabilità della capacità di trasferimento dati++++++

Dal punto di vista della sicurezza dovresti avere zero trust e implementare processi solidi, audit, controlli, monitoraggio e valutazioni del rischio. Non è che non ti fidi dei tuoi dipendenti, è che non puoi contare sul fatto che nulla venga compromesso. Il laptop di qualcuno potrebbe essere compromesso senza che lo sappiano e questo potrebbe bastare per far entrare gli hacker in un sistema sicuro. Alla luce di ciò, non dovresti mettere il tuo sistema di controllo di fabbrica critico per l’azienda sullo stesso sistema del tuo ufficio aziendale. Se qualcuno prende un virus sul proprio laptop a casa e poi lo porta in ufficio, non solo può colpire altre macchine da lavoro, ma può anche infettare il piano di fabbrica – e sarà molto difficile eliminare quell’infezione.

Avere un piano di implementazione ben pensato per la tua strategia di sicurezza IoT è importante quanto avere una strategia complessiva IoT: risparmierai denaro e ridurrai potenziali problemi di testa.

Comprendere i rischi e le problematiche che possono sorgere e informarsi su come proteggersi è fondamentale. Così come hai un team IT che si assicura che i tuoi computer siano protetti, dovresti anche avere un team che garantisca che la tua soluzione IoT non sia vulnerabile agli attacchi. Scegliere la tecnologia giusta e poi adottare le misure necessarie per proteggerla aiuterà a mantenere la tua soluzione sicura e anche le tue informazioni e quelle dei tuoi clienti.

Scopri di più sulla sicurezza qui.

Se desideri saperne di più, ti preghiamo di contattarci.

Talk to an IoT expert

Vedi anche