Abbiamo parlato spesso di un’evidenza tenuta in scarsa attenzione sia da utenti che, purtroppo, dai vendor: parliamo del fatto che, al diffondersi sempre più massivo di dispositivi IoT, non è seguito di pari passo un trend di messa in sicurezza degli stessi e non si è visto neppure un aumento generale di consapevolezza, in termini di rischi, dei milioni di utenti che ne fanno uso.
L’avvento dei dispositivi IoT ha determinato un vero e proprio balzo in avanti, ad esempio, del numero di attacchi DDoS registrati rispetto a pochi anni fa e ha ampliato moltissimo i vettori di attacco: i dispositivi IoT mancano di potenza sufficiente per dare vita ad attacchi massivi, ma gli attaccanti hanno semplicemente puntato ad aumentare il numero di quelli infetti. Recentemente abbiamo riproposto il problema, parlando di botnet: lo scorso mese infatti abbiamo parlato della famigerata botnet Mirai, responsabile di migliaia attacchi DDoS e massive campagne di spam. La botnet Mirai, vive esiste e si nutre di bot che altro non sono che centinaia di migliaia di dispositivi IoT vulnerabili o protetti con credenziali deboli.
Insomma, i dispositivi IoT sono diventati l’anello debole della catena della cyber security e ciò è ormai talmente manifesto da aver spinto l’ENISA (European Union Agency for Cybersecurity) ad emanare specifiche linee guida in materia di sicurezza dei dispositivi IoT, allo scopo di sensibilizzare sul problema e fornire utili spunti per minimizzare i rischi.Il report “Guidelines for Securing the Internet of Things” (consultabile qui in lingua inglese) mira a stabilire una catena di distribuzione sicura “attraverso” l’ecosistema IoT, fornendo indicazioni specifiche relative alle principali sfide alla cyber sicurezza riscontrate nel mondo IoT, dalla produzione fino all’utilizzo da parte del cliente finale. Partendo, purtroppo, da due dati di fatto assodati da studi e dati, ovvero la presenza, nella catena di approvvigionamento, di componenti e fornitori di terze parti non attendibili e la difficoltà nella gestione e risoluzione di vulnerabilità che affliggono componenti di terze parti.