Internet of things, magnifica preda per gli attacchi informatici

È il momento dell'Internet of Things (IoT). Secondo lo studio rilasciato nel luglio 2022 da Statista, compagnia specializzata in dati di mercato e di consumo, si prevede che il numero di dispositivi IoT connessi in tutto il mondo passerà dai 9,7 miliardi del 2020 agli oltre 29 miliardi nel 2030 (di cui la maggior parte in Cina, con circa 5 miliardi di device). In Italia, secondo la ricerca dello scorso aprile dell'Osservatorio “Internet of Things” della School of Management del Politecnico di Milano, gli oggetti connessi attivi in Italia sono 110 milioni, poco più di 1,8 per abitante. A fine 2021 il report registra 37 milioni di connessioni IoT cellulari (+9% rispetto al 2020) e 74 milioni di connessioni abilitate da altre tecnologie di comunicazione (+25%). Si parla perciò di un mercato globale dell'IoT che, in base ai dati di ottobre 2022 di The Business Research Company, società di ricerche di mercato e intelligence, sale dai 326,9 miliardi di dollari del 2021 ai 396,34 miliardi di dollari nel 2022 con un tasso di crescita annuale composto (CAGR) del 21,2%. In particolare, la società inglese rileva che l'applicazione dell'IoT in vari settori, come l'industria automobilistica, stia guidando la crescita del mercato. Infatti, l'introduzione dell'Internet delle cose nel comparto automotive ha aperto nuove opportunità per le aziende automobilistiche e i consumatori di tutto il mondo.

IoT e sicurezza informatica

Sulla crescita del settore IoT incombe la preoccupazione per la sicurezza dei dati. Da un punto di vista della cybersecurity, l'aumento dei dispositivi IoT implica la conseguente crescita di vulnerabilità, poiché l'enorme quantitativo di questi sistemi collegati in rete è difficile da controllare. Perciò, quale migliore obiettivo per gli attacchi informatici se non questi dispositivi che, peraltro, ogni giorno accompagnano i professionisti, entrano negli studi e nelle imprese?

I rischi coinvolgono ovviamente il patrimonio aziendale, in termini di possibile danneggiamento di dati e/o di macchine, la conseguente interruzione delle attività lavorative che implica una perdita economica, i danni fisici ai dipendenti (nel caso, ad esempio, di un macchinario automatizzato) senza contare, infine, gli inevitabili danni d'immagine.

ENISA, l'Agenzia Europea per la cybersecurity, nella sua relazione annuale sullo stato delle minacce informatiche individua nel ransomware e nel phishing i pericoli principali, così come gli attacchi Denial-of-Service (DoS), sottolineando che le sfide odierne continueranno ad esserlo anche in futuro in quanto si saranno evolute, modificandosi di pari passo con la tecnologia, dato che l'aumento dei servizi e la divulgazione delle nuove tecnologie sono fattori essenziali che guidano i cambiamenti. La posizione di ENISA, riguardo l'ambito IoT, è di comprendere cosa nello specifico debba essere protetto e sviluppare adeguate misure di sicurezza per tutelare l'Internet delle cose, poiché lo spettro dei rischi potenziali che lo interessano è estremamente ampio. Ne consegue che le componenti nei sistemi IoT richiedono una valutazione sulla loro sicurezza per la progettazione, la produzione e la manutenzione. Occorre perciò preoccuparsi di proteggere, ad esempio, un software in tutte le fasi del suo ciclo di vita, dall'idea di partenza allo sviluppo (includendo le misure e gli strumenti impiegati per ridurne vulnerabilità e difetti) fino alla commercializzazione, comprendendo tutti gli attori coinvolti nell'iter produttivo dei sistemi IoT (dagli sviluppatori di software agli utenti finali).

Precauzioni d'uso

Ai fini della sicurezza, gli esperti del settore concordano nel raccomandare di affidarsi innanzitutto a sistemi IoT sicuri e sempre aggiornati, cercando di evitare sistemi operativi obsoleti. Scegliere, poi, sistemi IoT con connessioni sicure cifrate quando comunicano con l'utente, in modo da impedire l'accesso a terzi ai propri dati, e che permettano la loro cancellazione sicura quando si termina definitivamente il loro utilizzo. Importante è poi la doppia autenticazione per accedere al sistema di controllo perché non sia sufficiente conoscere la password o il pin, come pure la possibilità di spegnere il dispositivo per evitare che lo stesso controlli l'ambiente. Infine, gli esperti suggeriscono di prediligere sistemi IoT dotati di “security/privacy by design” ossia sviluppati intorno al concetto di cybersecurity (anche se più costosi).

L'evoluzione del comparto automotive

Tutto ciò è particolarmente vero per il settore automobilistico che sta vivendo un periodo di enormi cambiamenti verso una mobilità sempre più smart, connessa e sostenibile. Grazie all'Internet of Things e ad algoritmi di intelligenza artificiale, le cosiddette “connected car” diventano strumento di analisi e monitoraggio, potranno scambiare e condividere dati e informazioni con altri sistemi e dispositivi esterni, realizzando di fatto una rete stradale intelligente. Secondo lo studio dell'Osservatorio “Connected Car & Mobility” della School of Management del Politecnico di Milano pubblicato lo scorso maggio, il mercato delle connected car in Italia nel 2021 ha raggiunto il valore di 1,92 miliardi di euro (+8% rispetto al 2020), con 18,4 milioni di veicoli a fine 2021, vale a dire quasi la metà del parco circolante. Tra i risultati emersi nella ricerca, è interessante osservare che i box per la registrazione dei parametri di guida con finalità assicurative sono le soluzioni di connettività più diffuse (ben il 54% del totale), mentre le vetture collegate tramite SIM sono il 19% (+10%). Infine, oltre la metà dei proprietari di auto smart dispone di servizi associati alla connettività (assistenza stradale e invio di soccorsi, manutenzione predittiva e call center dedicato). I software di assistenza alla guida rendono i veicoli più sicuri e facili da guidare, ma quando sono connessi, anche più vulnerabili agli attacchi informatici, che possono essere diretti ai sistemi critici dell'auto (frenata, sterzo e motore). Attaccando una singola vettura, si possono poi raggiungere potenziali bersagli come i telefoni cellulari o anche altri veicoli, in quanto spesso le connected car comunicano tra loro.

Per questi motivi, lo scorso luglio è entrata in vigore in tutti i Paesi Ue la normativa R155 Unece (United Nation Economic Council for Europe). Al fine di assicurare la “security by design” (cioè la sicurezza informatica incorporata in tutto il ciclo di vita del veicolo, dal concept alla produzione fino alla rottamazione, coinvolgendo tutta la supply chain), essa prevede obblighi in materia di cybersecurity a tutte le case automobilistiche per i veicoli di nuova omologazione e, da luglio 2024, per tutti gli altri veicoli immatricolati. A questa normativa se ne affianca una seconda, la R156 Unece, che disciplina invece la sicurezza nell'aggiornamento del software dei veicoli in modalità ‘over the air', ovvero da remoto, e che si prevede entrerà in vigore nel 2024 per le omologazioni e nel 2026 per le immatricolazioni.