Smart working e dispositivi IoT di casa: problematiche di sicurezza e soluzioni

L’ondata di smart working forzato a causa del Coronavirus può essere una buona occasione per rivedere le policy aziendali e, soprattutto, porre l’accento su un problema ancora “in potenza” come quello della cyber security del lavoro agile, soprattutto quando lo smart worker usa i dispositivi IoT di casa.

La peculiare situazione che stiamo vivendo in queste settimane a causa del Coronavirus (o COVID-19) ha costretto tantissimi lavoratori a passare in regime di smart working pur di mantenere un livello di Business Continuity adeguato: una decisione forzata che potrebbe, però, avere conseguenze veramente sfavorevoli dal punto di vista della cyber security, soprattutto quando il lavoro agile lo si compie utilizzando i dispositivi IoT di casa.

C’è infatti un grande errore di fondo quando si valuta l’impatto e i potenziali rischi che la smobilitazione fuori dal perimetro aziendale di tantissimi device: troppo spesso, infatti, si legge della necessità di rendere sicura la connessione verso gli asset aziendali, attraverso applicativi in cloud o VPN, di evitare l’utilizzo di device personali per svolgere le mansioni lavorative e via discorrendo.

Suggerimenti validi, anzi vere e proprie best practice che sempre più aziende stanno facendo parte integrante delle proprie policy, ma non stiamo forse ignorando l’elefante nella stanza?

Tante aziende piccole o grandi che siano oramai forniscono una dotazione aziendale, quasi sempre un laptop. Il problema dell’utilizzo dei device personali è sicuramente presente, ma probabilmente meno diffuso di quanto si possa preventivare.

La società “IoT centrica” non aiuta

Cosa significa? Che l’attenzione non deve essere più focalizzata sulle connessioni verso gli asset aziendali o verso gli applicativi in cloud già più o meno sicuri, ma su quanto ci circonda quando lavoriamo da casa.

Viviamo in una società che sta diventando IoT centrica, non solo lato Enterprise e azienda, ma in particolare nell’ambito della domotica e degli oggetti di uso quotidiano. Basti pensare che entro il 2025 è stato stimato che il numero di questi dispositivi contemporaneamente connessi a Internet supererà i 75 miliardi di unità.

Questo significa che, a differenza dell’infrastruttura aziendale, standardizzata e controllata, il lavoratore “tipo” si troverà a condividere la rete con questa miriade di dispositivi, provenienti da produttori differenti, non necessariamente aggiornati o magari con password ancora “factory set”.

Ciò moltiplica, di fatto, il perimetro e le possibilità di attacco per un criminal hacker di arrivare al computer della vittima, non solo per sottrarre informazioni o dati sensibili, ma anche solo per depositare – per esempio – il payload di un malware con la previsione che questo poi si possa diffondere nell’azienda bersaglio una volta terminata la fase di smart working.

Smart working e dispositivi IoT di casa: questione di valutazione

Certo, tutti gli animali sono uguali, ma alcuni sono più uguali degli altri. Quindi quando si valuta la potenziale minaccia rappresentata dagli oggetti che ci mettiamo in casa, cosa determina il rischio?

Le domande chiave sono principalmente due, qual è il danno potenziale posto dal dispositivo e qual è la relativa sofisticazione del dispositivo in termini di:

• connettività/accesso (sia come può essere infiltrato sia se nel caso in cui venisse compromesso a cos’altro potrebbe accedere?);
• le sue capacità funzionali (che male potrebbe fare se fosse compromesso, direttamente o indirettamente?);
• la sua cyber-anatomia (ha un sistema operativo completo – Windows, Android, Automotive Linux, ha un filesystem e impostazioni di configurazione?)

Ci deve essere anche una misura di quanta considerazione è stata applicata alla messa in sicurezza del dispositivo durante la sua progettazione e produzione. Alcune marche ben note possono – anche se non i tutti i casi – fornire una certa sicurezza “built-in” a differenza di produttori low-cost che vendono unicamente sulle piattaforme e-commerce.

Quindi il rischio presentato da un dispositivo IoT dipende da diversi fattori relativi sia alla progettazione che a come il dispositivo viene utilizzato e dove viene distribuito.

L’ondata di smart working forzato di migliaia di lavoratori può essere sì una buona occasione per rivedere le policy aziendali, ma è doppiamente utile per porre l’accento su un problema ancora “in potenza”, ma che nel breve potrebbe rivelarsi endemico (proprio come il COVID-19): quello della cyber security.

 

Fonte: CyberSecurity360