Non siamo del tutto pronti per un mondo di oggetti connessi, almeno non dal punto di vista della sicurezza: è il messaggio che arriva dalla conferenza annuale Black Hat di Las Vegas che riunisce esperti di sicurezza del mondo accademico e industriale, analisti e anche hacker. Nell’epoca della Internet of Things che sta già prendendo forma, il rischio di attacchi si allarga una molteplicità di cose e, se sembra banale l’appello a rafforzare i baluardi, non sempre aziende e utenti si mostrano così accorti.
Uno dei settori più a rischio è quello delle auto connesse: ormai tutti i più recenti modelli di automobile sono in qualche modo collegati a Internet e questo apre le porte a nuovi servizi ma anche ad intrusioni. Ancora più alto il rischio cui sono esposti i veicoli completamente autonomi. La cyber security viene considerata l’equivalente odierno di cinture di sicurezza e airbag; siccome la posta in gioco è altissima, non da ultimo il futuro e la credibilità dell’industria automobilistica, la collaborazione con produttori di attrezzature e esperti di sicurezza è (quasi) scontata.
Altro settore caldo – non certo nuovo – è quello del cloud computing che continua a trasformare l’It e il modo stesso di fare business; tuttavia la conferenza Black Hat ha fatto emergere chiaramente la necessità di capirne tutte le implicazioni di sicurezza prima di passare all’adozione e di non perpetuare nel cloud “le cattive abitudini legacy” in fatto di sicurezza.
Questo non vuol dire che il cloud non sia vantaggioso o che non possa essere reso sicuro, ma ne va compresa la specificità e vanno valutate le soluzioni di sicurezza che gli stessi fornitori mettono a disposizione. Di solito le piattaforme cloud offrono robuste caratteristiche di sicurezza ma manca ancora un adeguato numero di best practice.
Anello debole della catena per qualunque sistema resta l’elemento umano: le persone rappresentano il principale vettore degli attacchi e il più facile da sfruttare. Tecnologia e processi non possono funzionare senza le persone: i tre elementi sono pilastri ugualmente importanti delle strategie di sicurezza. Occorreranno formazione da un lato e interfacce utente più sicure.
Quanto alla crescita di oggetti connessi per la vita di tutti i giorni – dagli elettrodomestici ai wearables – la conferenza Black Hat ha rilevato che i prodotti consumer connessi a Internet non sono ancora sufficientemente sicuri, perché è la velocità di arrivo sul mercato (time to market) e non la sicurezza la prima preoccupazione per i vendor. Gli hacker studiano con dedizione le vulnerabilità dei prodotti consumer perché possono essere il trampolino di lancio per attacchi di maggiore portata e gravità.
La conferenza ha anche messo a fuoco alcuni degli strumenti più avanzati che oggi possono aiutare nell’individuare e arginare le cyber minacce. Uno di questi è il machine learning o deep learning: la sua applicazione al settore security è ancora una sperimentale, ma le prospettive appaiono interessanti, se non altro per l’utilità di questi strumenti nello scandagliare minacce e attacchi sempre più numerosi estraendo schemi comuni e isolando gli elementi rilevanti.
Secondo alcuni commentatori, però, gli esperti di sicurezza riuniti per la conferenza Black Hat hanno mostrato con ricchezza di esempi quanta creatività e ingegno possa esistere nel violare la Internet of Things e molto meno quali soluzioni altrettanto creative e ingegnose possano risolvere o prevenire i problemi di sicurezza. La sfida dell’industria sarà creare meno falle nelle “cose” in modo da ridurre le vie di ingresso per gli hacker.