Lo scorso giugno l’International Organization for Standardization ha pubblicato ISO 27400:2022, uno standard internazionale che va ad integrare il complesso impianto degli standard della famiglia ISO/IEC 2700 e fornisce linee guida su rischi, principi e controlli per la sicurezza informatica e la privacy delle soluzioni IoT (Internet of Things).

La sicurezza delle informazioni è una delle principali preoccupazioni di qualsiasi sistema di tecnologia dell’informazione e della comunicazione (ICT) e i sistemi Internet of Things non fanno eccezione.

I sistemi IoT, infatti, presentano pressioni particolari per la sicurezza delle informazioni poiché sono altamente distribuiti e coinvolgono un gran numero di entità diverse. Ciò implica una superficie di attacco molto ampia e una sfida significativa per l’Information Security Management System (ISMS) nell’applicare e mantenere controlli di sicurezza appropriati nell’intero sistema.

Un altro aspetto fondamentale è la protezione della privacy o delle informazioni di identificazione personale (Privacy or personally identifiable information-PII), una preoccupazione importante perché la gestione delle PII da parte di un sistema IoT impatta sulla reputazione delle organizzazioni coinvolte. Ad esempio, se le PII vengono rubate o utilizzate in modo improprio possono potenzialmente causare qualche forma di danno alle persone identificate dalle informazioni, con conseguenze negative sulla fiducia da parte degli utenti verso questa tecnologia.

Quali sono i sistemi IoT?

Il capitolo 5 delle linee guida incluse nella ISO 27400:2022, dal titolo IoT concepts, introduce i concetti e i modelli di riferimento dell’IoT utili nel contesto della sicurezza e della privacy.

Le applicazioni dei sistemi Internet of Things sono diverse, il che rende impraticabile la definizione di un insieme di caratteristiche generalmente applicabili per ogni sistema IoT. In genere, per descrivere gli attributi di tali sistemi, è possibile identificare “caratteristiche comuni” e “caratteristiche specifiche per aree di applicazione”.

Le caratteristiche comuni sono le seguenti:

  • I sistemi IoT comprendono i dispositivi IoT, ovvero apparecchiature hardware e software specifiche utilizzate in combinazione o collegate a oggetti o materiali fisici;
  • I dispositivi IoT sono collegati alle reti e hanno la capacità di trasmettere e ricevere dati. Possono essere utilizzate sia reti cablate che wireless;
  • I dispositivi IoT hanno solitamente capacità di rilevamento, ad esempio per rilevare gli stati o i movimenti dell’ambiente;
  • I dispositivi IoT possono avere capacità di attuazione, ad esempio ricevere dati di controllo per avviare azioni fisiche;
  • I sistemi IoT includono applicazioni IoT per elaborare i dati provenienti dai dispositivi IoT, generare e inviare dati di controllo e consentire l’integrazione con altri sistemi;
  • I sistemi IoT comprendono componenti operativi che consentono la configurazione e il funzionamento dei dispositivi e delle applicazioni IoT;
  • I sistemi IoT supportano utenti umani o digitali (norma ISO/IEC 30141).

A seconda del settore o dello scopo per cui vengono utilizzati i sistemi IoT devono rispondere a requisiti specifici. Ad esempio:

  • Per i sistemi IoT consumer il prezzo è molto sensibile, il che rende importante il basso costo di produzione e gestione dei dispositivi IoT. A seconda dei dati elaborati, anche la privacy dei dati può essere molto importante;
  • I sistemi IoT industriali possono sostituire o essere utilizzati insieme a impianti e sistemi di controllo industriali e, pertanto, sono soggetti a requisiti simili, come l’alta disponibilità o la sicurezza. La sicurezza dei processi che utilizzano sistemi IoT può dipendere dalle caratteristiche di sicurezza di un dispositivo IoT;
  • I sistemi IoT utilizzati nei veicoli sono impiegati nel contesto di funzionalità rilevanti per l’affidabilità o la sicurezza. Mentre nel caso d’uso relativo all’affidabilità i requisiti di privacy possono essere importanti da considerare, un caso d’uso relativo alla sicurezza può imporre requisiti elevati di integrità e disponibilità.

La definizione formulata da ISO e dalla Commissione elettrotecnica internazionale (IEC) descrive l’IoT come “un’infrastruttura di entità, persone, sistemi e risorse di informazione interconnesse insieme a servizi che elaborano e reagiscono alle informazioni dal mondo fisico e dal mondo virtuale”.

Chi sono gli stakeholder dei sistemi IoT?

Per poter implementare la sicurezza e la privacy di un sistema IoT, è importante conoscere gli stakeholder del sistema. A seconda del loro ruolo, essi stabiliscono il livello di sicurezza e privacy richiesto per il sistema in base alla loro propensione al rischio, oppure contribuiscono a controlli efficaci per il raggiungimento di questi requisiti.

Ecco quali sono le principali parti interessate, e indicate nel paragrafo 5.3 Stakeholders of IoT system, per le quali sono definiti controlli specifici che esse devono mettere in atto:

  • IoT Service Provider (ISP): sono i responsabili della fornitura di servizi che permettono al sistema IoT di funzionare;
  • IoT Service Developer (ISD): sono i responsabili di sviluppo, progettazione, implementazione, produzione, configurazione, assistenza ed integrazione dei servizi IoT;
  • IoT Device Developer (IDD): chi crea un dispositivo IoT finale assemblato;
  • IoT User (IU): sono gli utenti umani e digitali di un sistema o di un servizio IoT.

Lo standard identifica anche le componenti che sono riconducibili all’IoT, fornendo un framework basato sui Domini (paragrafo 5.6 – Domain based reference model):

  • User Domain (UD): s’intende il dominio degli utenti digitali ed umani che configurano, gestiscono, usano i dispositivi IoT ed i servizi associati;
  • Physical Entity Domain (PED): include le entità fisiche in un sistema IoT;
  • Sensing and Controlling Domain (SCD): include dispositivi IoT e i sistemi di comunicazione tra i dispositivi ed altri componenti, come apparecchiature, sensori, attuatori, cloud, ecc. (gateway);
  • Operations and Management Domain (OMD): s’intende il sistema di supporto operativo e gestionale, incluse le organizzazioni addette allo sviluppo e alla produzione, la configurazione oppure l’assistenza;
  • Resource Access and Interchange Domain (RAID): considera le risorse che forniscono i sistemi attraverso i quali entità esterne possono accedere ai sistemi IoT, compresa l’infrastruttura di rete;
  • Application and Service Domain (ASD): include le applicazioni e i servizi offerti dai fornitori di servizi IoT.

Cybersecurity: quali sono i rischi legati ai sistemi IoT?

Lo standard ISO 27400 identifica alcune fonti di rischio, ovvero quegli elementi che da soli o in combinazione hanno il potenziale intrinseco di dare origine a un rischio. Esistono diverse categorie di fonti di rischio, tra cui, a titolo esemplificativo, le seguenti:

  • Vulnerabilità del sistema, dell’applicazione o del servizio IoT;
  • Mancanza di conoscenze e competenze delle persone che hanno un ruolo nella fornitura o nell’utilizzo del sistema, dell’applicazione o del servizio IoT;
  • Errore umano delle persone che hanno ruoli nella fornitura o nell’utilizzo del sistema, dell’applicazione o del servizio IoT;
  • Esistenza di persone che hanno l’intento malevolo di attaccare il sistema, l’applicazione o il servizio IoT;
  • Qualità del sistema, dell’applicazione o del servizio IoT e dei suoi componenti;
  • Esistenza di sistemi e dispositivi esterni che possono essere utilizzati per generare attacchi al sistema, all’applicazione o al servizio IoT;
  • Esistenza di fenomeni naturali, come fulmini, inondazioni e terremoti;
  • Mancanza di una governance organizzativa all’interno degli stakeholder dei sistemi IoT.

I controlli di security e privacy dello standard ISO 27400

Uno dei principali elementi dello standard è il set di controlli che coprono l’intero ciclo di vita del sistema IoT e sono identificati in relazione al dominio o alle competenze delle parti interessate.

ISO 27400 individua 45 controlli di sicurezza e privacy, per i quali sono definiti, in modo analogo ad altri standard della famiglia ISO/IEC 27000, lo scopo, le parti interessate responsabili, il dominio IoT e la guida per implementare le soluzioni IoT in modo sicuro:

  1. Politica per la sicurezza IoT – ISD/ISP;
  2. Responsabilità per la sicurezza IoT in un’organizzazione – ISD/ISP;
  3. Gestione delle risorse – ISP;
  4. Attrezzature e beni siti al di fuori di aree fisicamente protette – ISP;
  5. Smaltimento o riutilizzo sicuro delle apparecchiature – ISP;
  6. Lesson learned dagli incidenti di sicurezza – ISD/ISP;
  7. Principi di ingegneria del sistema IoT sicuro – ISD;
  8. Ambiente e procedure di sviluppo sicuri – ISD;
  9. Sicurezza dei sistemi IoT a supporto della sicurezza – ISD/ISP;
  10. Sicurezza nella connessione dei vari dispositivi IoT – ISD/ISP;
  11. Verifica della progettazione dei dispositivi e sistemi IoT – ISD/ISP;
  12. Monitoraggio dei log – ISD/ISP;
  13. Protezione dei log – ISD/ISP;
  14. Utilizzo di reti adeguate per i sistemi IoT – ISD/ISP;
  15. Impostazioni e configurazioni sicure nella fornitura di dispositivi e servizi IoT – ISD/ISP;
  16. Autenticazione utente e dispositivo – ISD/ISP;
  17. Fornitura di aggiornamenti software e firmware – ISD/ISP;
  18. Condivisione delle informazioni sulla vulnerabilità dei sistemi – ISD/ISP;
  19. Misure di sicurezza adeguate al ciclo di vita dei sistemi e servizi IoT – ISD/ISP;
  20. Linee guida per gli utenti IoT sull’uso corretto di dispositivi e servizi IoT -ISD/ISP;
  21. Determinazione dei ruoli di sicurezza per gli stakeholder – ISD/ISP;
  22. Gestione dei dispositivi vulnerabili – ISP;
  23. Gestione dei rapporti con i fornitori in sicurezza IoT – ISD/ISP;
  24. Divulgazione sicura delle informazioni relative alla sicurezza dei dispositivi IoT – ISD;
  25. Contatti e servizio di supporto – IU;
  26. Impostazioni iniziali del dispositivo e del servizio IoT – IU;
  27. Disattivazione dei dispositivi non utilizzati – IU;
  28. Smaltimento o riutilizzo sicuro del dispositivo IoT – IU;
  29. Prevenzione di eventi invasivi per la privacy – ISD/ISP;
  30. Privacy by default dei dispositivi IoT – ISD/ISP;
  31. Fornitura dell’informativa sulla privacy – ISP;
  32. Verifica della funzionalità dei dispositivi IoT – ISD/ISP;
  33. Considerazione sugli utenti IoT – ISD/ISP;
  34. Gestione dei controlli sulla privacy dell’IoT – ISP;
  35. Identità univoca del dispositivo IoT – ISD;
  36. Autenticazione “a prova di errore” – ISD/ISP;
  37. Minimizzazione della raccolta indiretta di dati – Privacy by default – ISP;
  38. Comunicazione delle preferenze sulla privacy – ISP;
  39. Verifica delle decisioni automatizzata – ISP;
  40. Accountabilty degli stakeholder – ISD/ISP;
  41. Unlinkability di PII* – ISD/ISP;
  42. Condivisione di informazioni sulle misure di protezione PII dei dispositivi IoT – IDD;
  43. Controlli sulla privacy per l’utente IoT – IU;
  44. Uso mirato per la connessione con altri dispositivi e servizi – UI/ISP/ISD;
  45. Certificazione/convalida della protezione PII – IU.