di Giulio Coraggio

L’elemento di forza dell’Internet of Things (IoT) è nella propria abilità di creare un ecosistema connesso composto da diversi fornitori. Ma le partnership nell’IoT non possono ignorare i possibili rischi.

Durante un recente evento di IoTItaly, in una presentazione molto interessante di Maurizio Griva di Reply (disponibile qui) è stato menzionato che il leitmotiv dell’ultima IoT Week è stato

You can’t do I(o)T alone

Le società hanno ora compreso che l’Internet of Things non è soltanto nella creazione di sensori, tecnologie capaci di collegare oggetti o una nuova tipologia di oggetto. Ma è nella creazione di un ecosistema connesso nel quale l’obiettivo è di rivolgersi a società che fanno business con l’obiettivo di creare un valore ricordando che la peculiarità dell’IoT sta nell’abilità di collegare diverse componenti.

Il valore aggiunto derivante dall’Internet of Things non è nelle sue singole componenti, ma nel renderle parte di un’unica soluzione e poichè nessuna società può costruire tutte le componenti di una soluzione IoT

L’IoT ha bisogno di partnership!

sizing-up-the-internet-of-things-7-638Per questo motive le più grandi aspettative di guadagno nell’Internet of Things sono per i solution provider, gli integrator e gli operatori di telecomunicazioni. Al contrario i fornitori di piattaforme hanno le più basse aspettative di guadagno sulla base dei dati raccolti da CompTia.

E questo rappresenta un notevole cambiamento di prospettiva per l’IoT. L’approccio fino ad ora è stato di creare una piattaforma al fine di ottenere un totale controllo dell’Internet of Things. Questo approccio ha portato alla creazione di oltre 360 piattaforme IoT e oltre 100 diversi protocolli di comunicazione tra piattaforme il che rende l’interoperabilità e quindi le partnership molto più complesse. Ci sono soluzioni tecniche in grado tra “tradurre” il linguaggio dei diversi protocolli, ma certamente la proliferazione dei protocolli e piattaforme non aiuta.

Ma se l’Internet of Things ha bisogno di partnership e le partnership hanno bisogno dell’interoperabilità tra i sistemi/le componenti di diversi fornitori e l’interoperabilità comporta la comunicazione di dati tra i sistemi di diversi fornitori

L’interoperabilità è incompatibile con la cyber security?

Si tratta di un argomento che ho discusso di frequente. Il sistema del proprio partner potrebbe essere la “backdoor” d’accesso ad un sistema IoT che potrebbe compromettere la propria sicurezza e non può essere controllato dagli altri partner che sono parte dello stesso ecosistema IoT….

Ma questa argomentazione è difficilmente sostenibile se è vero che l’80% del codice nelle applicazioni che utilizziamo viene da software open source le cui vulnerabilità sono spesso ignorate del tutto.

L’IoT ha bisogno di policy e procedure

Perché le società sono pronte ad utilizzare il software open source, mentre preferiscono non entrare in partnership con terzi al fine di creare soluzioni IoT migliori? Può essere che l’obiettivo iniziale almeno delle società di maggiori dimensioni fosse quello di ottenere il totale controllo dell’intero “vertical” al fine di creare una posizione di dominanza nel mercato. Questa soluzione è ora messa in discussione da molti operatori e anche l’approccio adottato da fornitori di dispositivi smart home è stato più di recente di aprire i propri prodotti a più protocolli possibili al fine di trovare una soluzione “win-win“.

Ma se l’apertura a prodotti di altri fornitori è un “must have“, i possibili rischi cyber non possono essere ignorati. L’unica soluzione non può essere di adottare una assicurazione cyber risk. Al contrario, come già avvenuto con riferimento all’utilizzo di software open source, è necessario adottare una policy volta a ridurre i possibili rischi. In particolare, è necessario

  • avere una policy sulla cybersecurity al fine di testare e approvare i prodotti di altri fornitori che saranno integrati in un’unica soluzione;
  • adottare un approccio di privacy by design con riferimento non solo ad una singola componente di un ecosistema IoT, ma con riferimento all’intera soluzione che è poi implementata; e
  • adottare una policy sul cyber risk che consenta di reagire immediatamente ad un cyber attacco e di minimizzare i possibili effetti negativi.

Queste policy e procedure dovranno imporre obblighi anche a carico degli altri fornitori che sono parte della medesima soluzione al fine di imporgli l’adozione di policy e procedure volte a minimizzare i possibili cyber risk e data breach poiché la maggior parte degli cyber attacchi derivano da un errore umano.

Security is a business issue, not a technical issue

La sicurezza in un mondo connesso non può essere può essere gestita unicamente da tecnici. Le violazioni delle misure di sicurezza possono derivare da fonti imprevedibili. Inoltre poiché oltre 480 milioni di cyber attacchi si sono verificati nel 2015, il verificarsi di un cyber attacco

is not if but when

Quando si verifica un cyber attacco una società dovrebbe essere pronta a

  • reagire al cyber attacco al fine di minimizzare i danni per il proprio business e per quello dei propri clienti; e
  • provare di aver adottato ogni possibile misura per evitare il cyber attacco il che è fondamentale non solo per evitare danni reputazionali, ma anche le possibili responsabilità nei confronti di terzi e nei confronti delle autorità specialmente ora che con il nuovo regolamento privacy europeo saranno introdotte sanzioni fino al 4% del fatturato mondiale del soggetto che commette la violazione.

L’Internet of Things ha bisogno di partnership, ma le partnership hanno bisogno di policy e procedure volte a ridurre i possibili rischi.