La principale falla nella sicurezza dell'IoT

La sicurezza di una rete è forte quanto il suo anello più debole. Per molte applicazioni, la vulnerabilità maggiore non è un algoritmo o un protocollo. Sempre più spesso, almeno in termini di sicurezza, si tratta dell'utente finale.

In genere, gli utenti non desiderano creare problemi o esporre la rete a hacker esterni, ma lo fanno in modo del tutto accidentale, cioè con azioni che involontariamente eludono le misure di sicurezza adottate. Una porta blindata, ad esempio, non ferma chi desidera entrare se ci si dimentica di chiuderla.

C'è una massima da tenere a mente quando si ha a che fare con la gente e la sicurezza: se esiste un modo per fare danni, verrà usato. Inoltre, più alto è il numero degli utenti, maggiore è la possibilità (e la frequenza) che qualcuno trovi questo modo.

Provate a pensare a quanti tipi di violazioni di rete iniziano dalle telecamere a circuito chiuso. Se alcune violazioni fanno leva sui difetti progettuali (cioè se prevedete un modo per aggirare la sicurezza, potreste non essere gli unici a utilizzarlo), la maggior parte di esse dipendono dall'utente. E questo porta direttamente alla regola successiva: non date agli utenti la possibilità di fare danni.

È particolarmente importante nel caso dell'IoT, una realtà a cui si affacciano miliardi di nuovi dispositivi. Non tutti coloro che li installano sono esperti. Per questo motivo, i migliori progettisti presumono che chi usa le loro apparecchiature non sia un esperto. In effetti, se progettate un sistema affinché sia sicuro anche se chi lo installa tenta di fare danni, avrete un sistema sicuro. Alcuni sviluppatori potrebbero persino argomentare che sia l'unico modo per ottenere un sistema sicuro.

Per i progettisti IoT tutto questo significa implementare la sicurezza a un livello fondamentale, in cui l'utente sia coinvolto il meno possibile. Tutto parte dalla connettività. Ad esempio "Proteggere IoT con LoRaWAN" spiega che, con il protocollo LoRaWAN a basso consumo, la protezione dei dati è una parte fondamentale della creazione e gestione delle comunicazioni wireless. Discute diversi strumenti: la scheda STM32 LoRaWAN Discovery di STMicroelectronics, il kit di valutazione SAM R34 Xplained Pro di Microchip e il kit di prototipazione rapida IoT di Renesas, tutti pensati per semplificare la vita agli sviluppatori in materia di sicurezza IoT.

Scheda STM32 LoRaWAN Discovery di STMicroelectronics (Immagine per gentile concessione di STMicroelectronics)

Pensate ad esempio a un semplice nodo di sensori. Un impiantista potrebbe dover installare centinaia di questi sensori in una determinata posizione. Per garantire la sicurezza della rete IoT, il processo di installazione non deve presentare falle. Dopotutto, basta un solo nodo vulnerabile per mettere a repentaglio l'intera rete. Usando un protocollo come LoRaWAN, è possibile escludere completamente l'utente dal processo di installazione. I nodi, ad esempio, possono essere programmati in fabbrica con le informazioni di autenticazione necessarie per unirsi a una determinata rete. Ed è già una cosa in meno a cui l'impiantista deve pensare e dove può fare danni.

Naturalmente, nel momento in cui i dati arrivano nel cloud, le cose si fanno più complicate. La sicurezza però inizia dai livelli più bassi della rete, con nodi che si limitano a raccogliere pochi dati e ad inviarli in rete. Limitare le vulnerabilità a livello dei nodi di sensori, escludendo il più possibile gli utenti, permette di migliorare non solo la sicurezza globale, ma anche la robustezza del sistema IoT.