di Smart&Safe&Green Research Team
Poiché gli oggetti connessi inviano in rete una gran mole di dati, dati finanziari, ma anche dati sensibili, il primo problema posto da questo continuo scambio informativo è quello della privacy e della sicurezza informatica per il corretto utilizzo dei dati. Sussistono due reali timori, il primo è che i dati conservarti nei dispositivi possano essere trasferiti all’esterno, il secondo che vi possa essere una intrusione dall’esterno.
Riguardo al tema della privacy, si noti come sempre più frequentemente oggetti di uso quotidiano raccolgano e scambino informazioni su come vengono utilizzati, sulle nostre abitudini e sul nostro stato di salute, pertanto l’utente medio corre il rischio di perdere il controllo di ciò che comunica sulla Rete e di come tali dati possano essere utilizzati da terzi a fini di lucro. Ad esempio si consideri il caso in cui l’utilizzatore di uno dei comuni bracciali per il fitness, che, a seguito dell’abbassamento delle prestazioni, diventi bersaglio di pubblicità di integratori alimentari o prodotti dietetici, o i cui dati, reperiti in Rete in maniera più o meno lecita da un ente finanziario, decida di utilizzare tali dati sanitari raccolti per verificare lo stato di salute del potenziale cliente e decidere se concedergli o meno un mutuo o prestito.
Si pensi poi a device come i termostati “Google Nest Learning Thermostat, dotati si sensori di movimento che contano le persone che passano davanti (quante e quando) e imparano dalle loro abitudini, programmandosi da soli in una settimana. Il fatto che le informazioni entrino a far parte del mondo di Google genera anche il timore che esse possano essere utilizzate per raccogliere informazioni sulle abitudini casalinghe e creare dei “profili” da vendere ai pubblicitari.
Quindi quello della privacy e della tutela dei dati personali e sensibili è un punto importante dell’internet delle cose e serve una legge che stabilisca con chiarezza la titolarità delle informazioni raccolte dalle “things” e trasmesse sulla “Internet” e i diritti e i doveri di tutte le parte coinvolte. Il governo americano ha già elaborato una sua posizione ufficiale e sul sito del Federal Trade Commission è presente un documento su “Internet of Things: Privacy & Security in a connected World“. In Italia, il garante della privacy ha avviato una consultazione per definire regole e tutele in merito all’internet delle cose anche in vista della “possibilità che fin dalla fase di progettazione dei servizi e dei prodotti gli operatori coinvolti adottino soluzioni tecnologiche a garanzia della privacy degli utenti (la cosiddetta “privacy by design”), con ricorso a tecniche di cifratura e anonimizzazione delle informazioni, ecc.” L’Unione Europea già nel 2014 e 2015 ha riunito dei gruppi di lavoro ed emesso dei pareri in merito a queste tematiche ( https://edps.europa.eu/sites/edp/files/publication/15-09-11_data_ethics_it.pdf).
La società di ricerca Gartner nello studio “Worldwide IoT security spending forecast 2018-2021 per segment” in relazione ai rischi correlati alla diffusione dell’Internet delle cose, denuncia che negli ultimi tre anni circa un’azienda su 5 ha subito almeno un attacco ai propri ambienti Internet of Things. Gli hackers sono ormai in grado di bloccare uno stabilimento produttivo o violare accessi e sistemi di sicurezza di una serie di edifici. Questi cybercriminali non puntano soltanto a sottrarre dati e informazioni, magari da rivendere a terzi, in alcuni casi la strategia nel lungo termine potrebbe essere simile a quella portata avanti anni fa dai cryptolocker, ovvero quella del cosiddetto “pizzo elettronico”, rivolta però non ai Pc ma ai dispositivi IoT. Si porta ad esempio un noto avvenimento di qualche anno fa: degli hacker sono stati capaci di bloccare le porte delle camere del Romantik Seehotel Jaegerwirt, un hotel austriaco, e di chiedere un sostanzioso riscatto in Bitcoin per la loro riapertura. In assenza di adeguata protezione, potrebbero costituirsi gruppi di hacker capaci di prendere il controllo dei nostri apparati IoT domestici o delle nostre smart car, sfruttando le vulnerabilità della Rete.
Le modalità di difesa consistono anche nello scegliere prodotti affidabili, dotati di protezioni specifiche e di curarne le configurazioni, usando credenziali di autenticazione (password) più sicure e assicurando l’applicazione delle patch, aggiornando sistemi operativi, driver e programmi di gestione. Protezioni efficaci possono essere implementate a livello della rete, limitando allo stretto necessario banda e altri servizi accessibili ai dispositivi, quindi rilevando e segnalando agli amministratori le anomalie associabili con possibili infezioni.