Internet of Things e sicurezza: le 4 sfide aperte

La tecnologia c’è, la (grande) attesa del pubblico pure, e all’orizzonte si apre un mercato che potenzialmente - tra device in sé e nuovi prodotti e servizi abilitati grazie a questa tecnologia - varrà entro il 2025 tra i 3,9 e gli 11,1 trilioni di dollari. A tanto McKinsey stima l’impatto dell’Internet of Things nel prossimo decennio. Ma se le potenzialità e il fascino della “connessione totale” ormai è diventata la nuova frontiera un po’ per tutti i settori del business (anche in Italia, con Industria 4.0, è entrato addirittura nell’agenda governativa), sta emergendo quello che è il vero tallone d’Achille di tutto questo fantastico mondo: la sicurezza (qui l’analisi del Report). Miliardi di device connessi, dall’auto al tostapane (si veda, su questo, la riflessione di Alessandro Livrea di Akamai in occasione del convegno Banche e Sicurezza), aprono al cybercrimine miliardi di potenziali “porte” di accesso alla Rete. È evidente.

Meno evidente, sottolinea McKinsey attraverso una survey svolta a livello mondiale in collaborazione con la Global Semiconductor Alliance (GSA), il consorzio dei produttori di semiconduttori (i “chip” attraverso i quali gli oggetti comunicano e si connettono), a chi spetta il dovere di garantire la sicurezza di ogni device connesso. Spetta a chi produce il device? Spetta allo stesso utente? Spetta – appunto – a chi produce l’hardware di base, microchip ecc.? O spetta a chi sulle sue reti fa circolare il traffico, ovvero agli Internet provider, ai gestori di cloud, alle server farm? Nel mondo della tecnologia si è aperto, senza che ce ne accorgessimo, un grande “vuoto legislativo”, si potrebbe dire usando termini presi da mondi tradizionali, e la corsa alla connessione sempre, dovunque e attraverso qualsiasi oggetto ha lasciato un passo indietro un aspetto fondamentale. «Agli hacker non interessa violare i device per portare un danno al singolo utente, sottraendo dati o altro», osservano gli analisti di McKinsey, «questa è una visione ormai superata della cybercriminalità. Lo scenario ora è molto più ampio: la violazione dei device dei privati cittadini serve a entrare in maniera invisibile nella Rete e, una volta dentro, scatenare attacchi potenzialmente di portata globale, con un potere di ricatto altissimo», come hanno dimostrato lo scorso anno l’attacco Mirai (110 milioni di dollari di danni a livello globale) e, poche settimane fa, Wannacry. «Oltre a rappresentare un rischio, il tema della sicurezza rappresenta anche una grande opportunità di business», osservano da McKinsey, «ma prima è necessario affrontare e vincere 4 grandi sfide che questo nuovo scenario impone, e che richiedono collaborazione tra diverse industry».

Ecco le 4 sfide da affrontare e vincere.

Anche se ogni device è sicuro quando viene usato singolarmente (e su questo, ormai, gli standard dei produttori sono abbastanza rodati), la loro messa in Rete rappresenta una situazione nuova e quindi non ha ancora raggiunto quel grado di sofisticazione tecnica che mette al sicuro tutto il sistema. Se insomma la “filiera” di ogni device è chiara – chi lo produce, chi fornisce l’hardware, chi il software, chi la connessione, chi lo utilizza, resta quell’area grigia, di tutti e di nessuno, della comunicazione macchina-macchina. E nessuno ha per ora la responsabilità di occuparsi della sicurezza di questa zona grigia. In una situazione in cui basta una piccola vulnerabilità per mettere a rischio tutto il sistema. Per questo, tutti gli attori in gioco devono impegnarsi nella definizione di un processo di sicurezza end-to-end: un approccio difficile da sviluppare, ammettono gli analisti di McKinsey, perché non è una logica che ancora deve entrare nelle filosofie e nei processi aziendali.

Lo sviluppo dell’Iot progredisce in ordine sparso, senza che alla base ci siano – tra le diverse aziende – standard condivisi che indichino come i diversi device debbano e possano interagire. Ogni azienda utilizza le proprie soluzioni e, peggio, ogni settore ha propri specifici standard: la domotica parla una lingua, l’automotive un’altra… Questa grande difformità è un limite grosso per chi sta all’origine di tutta la catena, i produttori di semiconduttori appunto, che dovrebbero implementare standard di sicurezza differenti per ciascuna industry, ovvero fare grandi investimenti senza un orizzonte chiaro. È come andare al casinò e mettersi a scommettere, un po’ a caso, su decine di diversi tavoli di roulette, nella speranza che uno di questi produca una vincita utile a coprire i soldi persi su tutti gli altri. Chi – industrialmente – accetterebbe un rischio del genere? Senza la definizione di uno standard comune, il mondo dell’IoT a breve rischia lo stallo.

L’utente tecnologicamente avanzato è un utente sostanzialmente viziato. Considera la sicurezza un elemento fondamentale nella scelta di un device connesso, ma non è disposto a pagare un euro in più garantirsela. «La sicurezza è considerata ormai dall’utente una commodity», osserva McKinsey. Dalla survey emerge che solo il 15% degli utenti è disposto a pagare per avere un grado di sicurezza maggiore. Chi si assorbe quindi i costi di sviluppo e implementazione di nuovi standard di sicurezza adeguati al nuovo scenario di connessione globale che è già realtà? La grande sfida è quindi quella di cambiare la mentalità degli utenti, facendo comprendere loro che l’attenzione alla sicurezza deve essere un sforzo anche per loro.

Conseguenza del punto 3, i produttori di semiconduttori devono decidere se impegnarsi su questo fronte oppure no. Nella survey emerge come per il 38% degli executive delle aziende di semiconduttori rendere profittevole il mercato della sicurezza in ambito IoT è «estremamente difficile». Ma una soluzione va trovata se non si vuole spegnere questo mercato (e questo oggi non conviene a nessuno). Una strada potrebbe essere un’alleanza con i produttori di software, che sul fronte della sicurezza hanno maturato expertise ormai da diversi decenni. È un’alleanza possibile? E, soprattutto, è un’alleanza vantaggiosa per entrambi? Per ora si tratta di una sfida, da affrontare possibilmente in fretta.