di Giulio Coraggio

Nessun software è sicuro al 100%, e le tecnologie dell’Internet of Things non rappresentano un’eccezione. E’ necessario identificare degli standard di sicurezza e organizzativi “adeguati” al fine di soddisfare le esigenze di business e tutelare gli utenti.

Durante le discussioni che sto avendo in questi giorni con i membri del panel dedicato all’Internet of Things al DLA Piper European Technology Summit, uno dei dibattiti più animati è stato in relazione al bisogno di garantire la cybersecurity dei dispositivi IoT e alla possibile confusione circa la capacità di creare sistemi che siano totalmente sicuri.

I recenti eventi relativi alle auto Chrysler e Tesla che sono state hackerate non hanno contributo a creare una pubblicità positiva intorno alle tecnologie dell’Internet of Things. Ma la cybersecurity è un problema unicamente dell’IoT, o è un problema più ampio?

Non ci sono software totalmente sicuri

Sulla base di un report pubblicato da Symantec, ci sono stati 430 milioni di variazioni di malware nel 2015 con ben 318 data breach totali che hanno esposto a cyber attacchi 429 milioni di persone. 

Nonostante i notevoli investimenti in cybersecurity sostenuti da gran parte delle società, ci saranno sempre “bug” nei software che rappresentano una possibile fonte di cyber attacchi. Inoltre, la maggior parte dei cyber attacchi sono dovuti ad un errore umano. Di conseguenza, le misure di sicurezza non saranno mai essere sufficienti, se non accompagnate da policy adeguate interne che impediscano possibili comportamenti errati.

Non si possono richiedere standard di sicurezza eccessivi per i dispositivi IoT

Sulla base dei dati sopra indicati, il rischio di un cyber attacco

is not about IF, but WHEN

per qualsiasi società. La pubblicità negativa intorno all’Internet of Things potrebbe essere dovuta a problemi culturali piuttosto che a rischi più elevati. Ma tali problemi culturali non devono diventare un conto troppo salato per le società che investono nell’IoT.

Qualora le misure di sicurezza richieste fossero eccessive in termini di investimenti necessari al fine di soddisfarle, diventeranno una barriera all’ingresso nel mercato e impedirebbero ad alcune società dell’Internet of Things di lanciare i propri prodotti. E, in ogni caso, anche notevoli investimenti potrebbero non essere in gradi di evitare un cyber attacco come indicato in precedenza.

La possibile soluzione potrebbe essere che i produttori offriranno – o saranno obbligati a fornire – una copertura assicurativa ai propri client come alcuni produttori di auto stanno pianificando con riferimento alle self-driving car. Ma chi dovrebbe pagare per questo costo aggiuntivo?

Gli standard di sicurezza devono essere adeguati e certi

Il Regolamento europeo sul trattamento dei dati personali obbliga le società ad adottare standard di sicurezza “adeguati” al rischio derivante dai dati trattati. E con le sanzioni per la violazione degli obblighi in materia di privacy che saranno aumentate fino al 4% del fatturato del soggetto che commette la violazione, il problema è

cosa è uno standard di sicurezza adeguato?

Uno standard di sicurezza potrebbe non essere più adeguato semplicemente perchè ci sono hacker molto “brillanti” in grado di attaccarli. Allo stesso modo, il mercato non può permettersi tale incertezza e neanche costi eccessivi.

L’Internet of Things ha bisogno di certezze. Queste certezze possono derivare da standard di sicurezza e di organizzazione interna che siano approvati da autorità pubbliche e divengano un requisito di certificazione per le società che operano nell’Internet of Things.

La conformità con la certificazione richiesta rappresenterebbe una protezione considerevole per le società dell’Internet of Things contro possibili contestazioni, anche in caso di accesso abusivo ai loro sistemi. Allo stesso tempo, diventerà più facile identificare i soggetti che non si conformano con tali standard che saranno sanzionati senza dover attendere il prossimo hacker “smart”…