IoT e sicurezza: regole di base da rispettare

Abbiamo parlato diverse volte dei rischi di sicurezza in cui si può incorrere sviluppando applicazioni e device IoT. Questo settore ha infatti un potenziale incredibile ma senza implementare le necessarie contromisure ci si espone a seri rischi di furto dei dati sensibili per l'intera rete di utenti connessi.

Esistono tre aree in particolare dove è necessario focalizzare la nostra attenzione durante lo sviluppo di soluzioni IoT, infatti sono disponibili una miriade di protocolli e standard che possono essere sfruttati da un'attaccante per penetrare la nostra rete.

Network security

Si dovrebbe implementare un sistema di Endpoint security (o endpoint protection), ovvero quell'approccio alla protezione delle reti che presuppone la creazione di vari Endpoint di sicurezza sparsi per la rete a cui sono connessi i vari terminali.

Le connessioni wireless sono delle potenziali piattaforme d'attacco che, in alcuni casi, permettono di creare delle vie d'accesso non controllate. Inserendo degli endpoint nella rete ci si assicura che tali dispositivi seguano delle regole ben definite, dunque una buona strategia di sicurezza passa anche per l'implementazione di un sistema simile visto che i device IoT basano tutte le loro operazioni sui collegamenti wireless.

Oltre a questo è sempre bene usare un buon firewall che filtra le varie richieste interne ed esterne verso e da i vari device e client connessi alla rete. Un buon sistema di regole firewall permette di vivere non solo più sereni, ma anche di evitare che la propria connessione di rete sia costantemente stressata da richieste esterne non desiderate.

Device security

Un buon modo per mettere in sicurezza a livello hardware è l'uso degli Hardware security modules, ovvero un device fisico che una volta collegato alla rete o al device si occupa di salvaguardare la sua sicurezza sfruttando le chiavi digitali per l'autenticazione o usando tecniche di cryptoprocessing. Assieme a questi device aggiuntivi è possibile anche installare un gestore di chiavi d'accesso per autenticarsi in modo sicuro quando ci si connette al proprio device IoT.

Communication security

Anche i protocolli di comunicazione possono sfruttare le tecniche di criptazione. Il più diffuso è l'end-to-end encryption, ovvero quel sistema di comunicazione cifrata dove solo le persone che stanno comunicando possono leggere i messaggi. La end-to-end encryption evita che soggetti terzi, compresi gli Internet Service Provider e i gestori delle reti di telecomunicazione, possano intercettare i messaggi e i dati scambiati tra gli utenti usando chiavi di cifratura rubate o già note.

Tale tipo di cifratura delle comunicazioni permette non solo che i messaggi non vengano intercettati o modificati, ma anche delle stesse agenzie di pubblica sicurezza. Infatti le aziende che usano la end-to-end encryption non sono in grado di rilasciare alle autorità i testi decifrati delle comunicazioni che avvengono tra i loro utenti.

Anche le tecniche di machine-to-machine authentication sono consigliate per aumentare gli strati di sicurezza per le comunicazioni tra i vari device IoT. Sostanzialmente è possibile dotare alcuni device di certificati di autenticazione cosi da poter eseguire le comunicazioni o i login su altri device senza bisogno dell'intervento umano. Questo sistema potrebbe però andare in contrasto con le regole di moltissime aziende, dove è necessario che sia un umano ad immettere direttamente le sue credenziali, ma per una rete privata potrebbe anche andare bene.

In linea di massima però è un bene assicurarsi che le applicazioni che si usano o si sviluppano sfruttino gli standard più aggiornati delle RESTful API. Un sistema di API robusto assicura non solo l'integrità del sistema, ma anche dei dati scambiati e contenuti nelle applicazioni.

Oltre ad un buon sistema di API non deve comunque mancare un sistema Cloud sicuro. Infatti un ecosistema Cloud non sicuro mette a rischio la sicurezza non solo dei contenuti online ma anche dei device ad esso connessi che possono essere aggrediti mediate le falle di sicurezza delle applicazioni cloud. Quindi l'azienda che fornisce tali servizi deve porre molta attenzione sul fattore sicurezza, per evitare il furto dei dati degli utenti e le conseguenti ripercussioni legali.

Via Jaxenter