È l’altra faccia dell’Internet delle cose. Un mondo di oggetti connessi e, per questo, vulnerabili. Come ci si difende? Al Ghislieri di Pavia e al BiS Lab della Bicocca si discute di sicurezza.
La sicurezza informatica è sempre in primo piano. E l’evoluzione dell’ecosistema digitale pone, da questo punto di vista, una serie di sfide inedite. Nelle scorse settimane abbiamo seguito due importanti eventi in cui di queste sfide si è parlato molto. Il primo è il convegno annuale di informatica giuridica, che si è svolto presso il Collegio Ghislieri di Pavia e che era interamente dedicato ai problemi giuridici legati all’Internet delle cose. Il secondo appuntamento si è svolto pochi giorni dopo presso l’Università Bicocca di Milano, la quale ha presentato il Bicocca Security Lab. Di seguito forniamo una prima sintesi di quanto emerso nel corso di questi incontri, riservandoci di tornare sul tema presto con ulteriori approfondimenti.
L’IoT alla sbarra
“Vostro Onore, sono il frigo! L’IoT alla sbarra”: questo il titolo del convegno che si è svolto nelle austere sale del Collegio Ghislieri di Pavia, dove tradizione e innovazione convivono da cinquecento anni in nome della ricerca scientifica. Al Ghislieri si sono dati appuntamento docenti e professionisti di giurisprudenza e informatica. Insieme i due mondi, in apparenza tanto lontani, hanno provato a dare risposta alle numerose e sempre maggiori perplessità che accompagnano lo sviluppo della grande famiglia dell’Internet of Things. Certo, a uno primo sguardo essere riusciti a creare frigoriferi intelligenti e smart car appare una grande conquista dell’umanità. Tuttavia un occhio attento non si lascia sfuggire le imperfezioni di un mondo iperconnesso.
Permettere agli oggetti fisici di comunicare attraverso reti wireless, offrendo servizi contestuali e conquistando un ruolo attivo nella nostra quotidianità offre numerosi vantaggi. Ma il rischio che i nostri dati – quanto di più sensibile ci sia nella vita di ognuno di noi – finiscano nelle mani sbagliate è più elevato di quanto si potrebbe immaginare. Internet of Things significa infatti una famiglia di oggetti in grado di registrare una serie di informazioni su di noi e di trasferirle in grande quantità e velocità, ovunque nel mondo. In genere ci preoccupiamo poco di sapere chi gestirà tali informazioni. Ancor meno ci preoccupiamo dell’eventualità che di esse si impossessino soggetti con intenzioni malevoli. Eppure si tratta di una possibilità tutt’altro che remota.
Per questo è importante affrontare il problema della sicurezza partendo dal livello di consapevolezza dei rischi che certe innovazioni comportano. Tanto più che il mondo degli oggetti connessi si sta ampliando a dismisura. In un paper di Daniela Popescul e Mircea Georgescu del 2013 si citava una previsione del Business Insider secondo il quale nel 2020 l’IoT conterà più di 75 miliardi di oggetti. D’altra parte Internet of Things non significa soltanto oggetti che comunicano, ma anche relazioni tra oggetti che circondano persone, come sostiene Gerald Santucci. Per questo Santucci – European Commission Directorate General for Communications Networks, Content and Technology – si domanda: che ruolo avrà l’uomo in un mondo in cui 7 miliardi di persone vivranno insieme a 70 miliardi di macchine e poche migliaia di miliardi di oggetti connessi a un’infrastruttura di rete globale?
Un laboratorio permanente sulla cybersecurity
Come dicevamo, di sicurezza si è discusso anche a Milano, in occasione della inaugurazione del BiS Lab, Bicocca Security Lab. Si tratta di un’iniziativa di grande rilevanza, soprattutto per i soggetti coinvolti e per il suo spirito interdisciplinare. Di fatto il BiS Lab è il primo laboratorio universitario organizzato dalla Bicocca per l’Ordine dei Giornalisti della Lombardia, con la partecipazione di istituzioni e autorità, con l’obiettivo di studiare e proporre soluzioni sicure in materia di cybersecurity.
Che i riscaldamenti si attivino autonomamente per allietare il nostro rientro a casa o che le luci si spengano da sole quando stiamo uscendo dal nostro appartamento per evitare consumi superflui, sono tutte innovazioni più che utili. E si tratta di scenari a cui Spindox dedica grande attenzione, sia nell’ambito di alcuni progetti in corso sia a livello di ricerca e sviluppo. Non a caso di Smart Home, Smart Building o Building Automation abbiamo parlato spesso. Ma, ancora una volta, il problema della sicurezza non può essere trascurato. Che cosa accadrebbe se qualcuno riuscisse a entrare nei sistemi che governano la casa intelligente? Il rischio è che altri prendano il controllo della nostra abitazione e più concretamente della nostra vita.
Bisogna trovare dunque una risposta veloce ed efficace alle nuove sfide della rete.
Non è fantascienza, è reale
Certo l’immagine della casa “hackerata”, per quanto evocativa, porta sicuramente agli estremi lo scenario descritto. Ma sono numerosi i casi, più o meno noti, di appropriazione di dati e di controllo abusivo di sistemi intelligenti. E quando non è la casa, si tratta dell’auto (circostanza per certi versi ancora più pericolosa). Malware che spiano e derubano gli individui per poterli ricattare o essere usati come proxy per il cybercrime. Non è fantascienza, è reale.
Come si reagisce in una situazione simile? Pagare il riscatto, il ransomware, significa finanziare la criminalità organizzata. E tutto ciò rende il business dell’estorsione ancora più forte. Cosa fare allora? Perdere tutti i dati o pagare un bitcoin? Lasciare che qualcuno controlli il termostato della nostra abitazione o assecondare le richieste degli specialisti del crimine cibernetico?
Dal Clusit – Rapporto 2016 sulla sicurezza ICT in Italia – emerge che nell’ultimo anno il cybercrime è cresciuto del 30%, l’espionage del 40%. Gli attacchi sono aumentati dell’81% rispetto al 2014 nei settori dei servizi cloud, dei siti e-commerce e delle piattaforme di cloud pubbliche. Aumentano anche nei settori Entertainment e News (79%), Research ed Educational (50%) e infrastrutture critiche (150%). Un altro osservatorio, l’European Cybercrime Center, cita uno studio McAfee nel quale si stima che la richiesta di servizi e prodotti illegali on-line è aumentata, producendo un giro d’affari di 750 miliardi di euro di profitti nel 2013.
Insomma, tutti concordano su un punto: il cybercrime è in crescita, come dimostrano anche i dati appena riportati. Eppure, al contrario di quanto si potrebbe immaginare, non si investe in sicurezza. Sì perché, mentre la tecnologia avanza, la consapevolezza di questi rischi da parte degli utenti non accenna a crescere. Secondo Davide Gabrini, docente di sicurezza informatica e digital forensics intervenuto al convegno a Pavia, la sicurezza costa, non facilita l’uso e non viene riconosciuta come una priorità da parte dei costruttori.