IIoT
Fino a quando la vostra rete è formata esclusivamente da server e postazioni di lavoro, le soluzioni di cybersecurity standard sono sufficienti per garantire la giusta protezione. Quando passiamo all’Internet delle Cose (IoT), il panorama cambia. Si tratta di un settore che in generale non ha standard di sicurezza definiti e gli sviluppatori spesso mettono da parte completamente il fattore sicurezza. Il risultato è che i dispositivi IoT spesso contengono vulnerabilità o aspetti ancora da definire. Inoltre, in alcuni casi si tratta di dispositivi non configurati correttamente o che si connettono a Internet, il che se è un punto a sfavore in ufficio o a casa, nel mondo degli impianti industriali rende il tutto ancora meno sicuro.
Il caso
Siamo circondati da esempi. Sul nostro sito Securelist potete leggere l’articolo “Gas is too expensive? Let’s make it cheap!” di Ido Nor, ricercatore senior per la sicurezza del nostro Global Research and Analysis Team (GReAT) in collaborazione con il collega Amihai Neiderman di Azimuth Security, che parla delle vulnerabilità riscontrate nel dispositivo automatico delle stazioni di servizio. Il dispositivo in questione si connette a Internet e si occupa di gestire ogni componente della stazione di servizio, dalle pompe di benzina ai terminali di pagamento.
L’aspetto più preoccupante è che si accedeva all’interfaccia Web del dispositivo mediante credenziali di default. I ricercatori sono arrivati fino al software e hanno scoperto vari modi per chiudere tutte le pompe di benzina, a tagliare il rifornimento delle pompe, modificare i prezzi, raggirare il sistema di pagamento (per rubare denaro), appropriarsi di numeri di patente e targhe dei veicoli, eseguire il codice nell’unità di controllo e muoversi liberamente all’interno della rete della stazione di servizio.
I ricercatori hanno informato las casa produttrice del dispositivo delle vulnerabilità e alla MITRE affinché venissero incluse nel dizionario CVE (Vulnerabilità ed esposizioni comuni). Non ci sono prove di tentativi da parte dei cybercriminali di sfruttare tali vulnerabilità prima che fossero scoperte dai ricercatori. In ogni caso, dando un’occhiata alle statistiche che riguardano gli incidenti informatici dal maggiore impatto economico, tra i primi tre in classifica ci sono quelli che coinvolgono i dispositivi connessi a Internet ma che non sono computer, con un danno economico medio di 114 mila dollari.
Come risolvere il problema
È evidente che è ormai urgente e necessario definire degli standard di sicurezza informatici per l’Internet delle Cose; andrebbero identificati i principali problemi in cui potrebbero incorrere tali dispositivi, esaminare le potenziali minacce e determinare in che modo le misure di protezione possano garantirne un uso sicuro. Una risposta a queste esigenze è la Raccomandazione ITU-T Y.4806, “Security capabilities supporting safety of the Internet of Things,” sviluppata da Study Group 20 dell’ITU-T (International Telecommunication Union — Telecommunication sector).
Kaspersky Lab, in quanto membro dello Study Group 20 dell’ITU-T, ha avuto un ruolo fondamentale nella stesura della Raccomandazione ITU-T Y.4806. I nostri esperti dell’ICS CERT hanno messo a disposizione la propria esperienza e hanno redatto una serie di punti che dovrebbero aiutare a creare un livello di protezione affidabile da applicare. Qui potete trovare il testo integrale e anche altre raccomandazioni.
La Raccomandazione ITU-T Y.4806 può essere applicata alla maggior parte dei sistemi IoT che potrebbero essere critici dal punto di vista della sicurezza informatica: automazione industriale, sistemi automotive, trasporti, smart city, apparati medicali wereable e standalone.
