7 motivi per cui gli attacchi ai dispositivi IoT continuano ad accadere

Privacy, Sicurezza

Tralasciamo la discussione su quanti dispositivi IoT stravaganti avremo fra 5 anni. Possiamo anche tralasciare discorsi legati ai vantaggi di questi dispositivi. Diciamolo, li amiamo e continueremo ad acquistarli. Lo facciamo perché crediamo in un futuro connesso.

Ma alcuni di noi sono un po’ preoccupati circa i rischi potenziali legati a sicurezza e privacy di questi dispositivi connessi. Gli attacchi accadono quasi ogni giorno. Infatti pare che ogni azienda tra le Fortune 500 sia stata attaccata. Ma con l’IoT, questi attacchi diventeranno molto ‘personali’: qualcuno potrà attaccarti mentre sei nel tuo salotto, qualcun altro attaccherà il baby monitor di tuo figlio, e altri ancora lo faranno attraverso la tua smart TV. Qui trovi alcuni esempi di attacchi IoT.

Perché questi dispositivi connessi vengono attaccati e continuano ad esserlo?

La lista qui sotto, sebbene non sia esaustiva, speiga alcuni dei motivi per cui questi nuovi dispositivi connessi siano così semplici da attaccare e perché vedremo più attacchi anche in futuro.

  1. Mentalità MVP
  2. Usabilità > sicurezza
  3. Mancanza di competenze e risorse
  4. Mentalità ‘spedisci e dimentica’
  5. Tu (l’utente)
  6. Catena di fornitura complessa
  7. Cybercrime come servizio

MVP sta per Minimum Viable Product (prodotto minimo funzionante). Il punto di un MVP è costruire qualcosa velocemente e immetterlo sul mercato per vedere la reazione del cliente. Quando raccogli abbastanza feedback, prosegui o cambi direzione. Non c’è che dire, c’è una pressione tremenda nel rilasciare MVP prima possibile. Poiché i team stanno spendendo tutto il loro tempo disponibile perché il prodotto venga rilasciato prima possibile, credi che la sicurezza e la privacy vengano prese nella giusta considerazione? Ci sono numerosi esempi che indicano che la risposta è no.

La facilità d’uso e la bellezza battono la sicurezza. Un altro problema è che la sicurezza perde contro l’usabilità e la bellezza fin dal momento in cui i nuovi prodotti vengono progettati. Nella maggior parte dei casi stiamo parlando di semplici cambi: chiedi all’utente, per esempio, di creare una password forte durante il processo di setup? Saltando questo passaggio, il processo di setup sarà più corto e più lineare. Spesso l’esperienza iniziale del cliente è più importante della sicurezza e della privacy.

Esperti di sicurezza possono essere difficili da trovare. Prendiamo un’azienda consolidata che produce, per esempio, termostati da 50 anni. Nel vecchio mondo, il termostato non era connesso a Internet e i clienti non lo controllavano con un’app. Sicurezza e privacy non erano un problema. Il nuovo mondo è ovviamente differente e i termostati moderni sono connessi a Internet, magari a un hub IoT, e possono essere controllati da uno smartphone. Chiaramente i team di progettazione hanno bisogno di nuovi talenti con un focus sulla sicurezza informatica e su come gestire i dati dei clienti. Ma queste competenze non possono costare poco e potrebbero non essere subito disponibili.

Spediscilo velocemente (e dimenticatelo). Chiunque abbia lavorato in un’azienda che produce prodotti conosce la felicità (e la pressione) nel rilasciare prodotti velocemente. Subito dopo che il primo prodotto è stato rilasciato, si inizia a lavorare sul prossimo e poi su quello ancora successivo. I clienti tuttavia non comprano tutti gli ultimi e più innovativi modelli (anche se vorremmo farlo). I clienti probabilmente si aspettano che un termostato connesso, per esempio, duri 3 anni, 5anni o addirittura anche più di 10 anni. La domanda è: il produttore continuerà ad aggiornare il software della prima generazione del suo termostato? Oppure le sue risorse migliori e più brillanti si concentreranno nel lavorare sull’11° generazione di quel prodotto? La mentalità “spedisci e dimentica” lascia i clienti con dispositivi che operano per anni con vecchio software che non è mai stato aggiornato e quindi questi dispositivi potrebbero avere serie falle di sicurezza.

Il cliente come l’anello più debole. Anche se un aggiornamento fosse disponibile il tuo cliente tipico affronterebbe la scocciatura di aggiornare i suoi dispositivi IoT? Ne avrebbe l’energia? Le competenze? Si preoccuperebbe di cambiare le password fornite di default sui suoi nuovi gadget? Non importa cosa fanno i produttori, il cliente potrebbe essere ancora l’anello più debole quando si tratta di proteggere i vari dispositivi ioT.

Catena di fornitura complessa. Il peggio riguarda solo i produttori di dispositivi? Purtroppo anche fornitori e partner possono danneggiarti! E’ molto semplice: tu costruisci un grande prodotto e sì ti preoccupi di sicurezza e privacy… solo per scoprire che il tuo produttore è stato attaccato molti anni fa e ogni dispisitivo che ha lasciato la fabbrica era già compromesso. O magari il vendor cloud che hai usato per archiviare dati importanti dei clienti non si è preoccupato di proteggere il suo cloud. Scegli i tuoi partner con attenzione: non puoi mai sapere chi mette a repentaglio il tuo brand.

Cybercrime come servizio. Ora stai per arrivare al punto. Proteggere i dispositivi IoT può essere abbastanza complicato. Aggiungiamo un altro fattore: oggi quasi ognuno può diventare un hacker. Basta guardare video su Youtube per acquisire le competenze base. Per chi vuole salire di livello, c’è il web oscuro (dark web). Ognuno può acquistare exploit kit sul dark web, pagare con bitcoin, e il customer service è persino migliore di quello della maggior parte di fornitori di servizi TV a pagamento! Perchè qualcuno dovrebbe preoccuparsi? Per soldi. C’è chi ritiene che il ransomware si sposterà dai computer ai dispositivi ioT.

Ciò significa che siamo condannati? La gente dovrebbe attendere nell’acquistare dispositivi ioT? Non credo. Ma gli utenti dovrebbero porre maggiore attenzione quando comprano dispositivi e li collegano a Internet? Sì, certo. Gli utenti dovrebbero affrontare la scocciatura di usare password univoche e accertarsi di aggiornare il software sui loro differenti dispositivi? Sì assolutamente.

 

Articolo tratto da “7 reasons why IoT device hacks keep happening” di Mika Majapuro, Product Marketing Director, F-Secure Corporation.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: