Intervista a Bossardt sulla IoT-Security

Matthias Bossardt (KPMG) parla della IoT-Security

«Per la sicurezza si deve fare di più»


Matthias Bossardt, esperto di Security di KPMG, evidenzia le opportunità dell’IoT, malgrado i timori per la sicurezza e invita le aziende ad abbandonare le mentalità chiuse per IT dell’ufficio e Operational Technology (OT).


Testo: Hansjörg Honegger, Immagini: Daniel Brühlmann, 06 novembre 2017




Lei si occupa della IoT-Security. Dorme ancora sonni tranquilli?


Io continuo a dormire tranquillamente, sono un ottimista! Lo si deve essere, quando ci si occupa di gestione dei rischi. Dove vi sono rischi vi sono anche delle opportunità. Ma è chiaro: i cyber-rischi e i temi della protezione dei dati sono molto importanti e noi arranchiamo nel tenere il passo con lo sviluppo tecnologico.


Perché?


Con l’espressione Internet delle cose definiamo l’interconnessione di tutti gli oggetti della vita quotidiana con dei computer integrati come auto, sensori di temperatura, videocamere, dispositivi medicali ma anche impianti di produzione e controllo industriali. La superficie di attacco si espande massicciamente con l’internet delle cose, per di più a una velocità spaventosa.


«Gli ospedali non potevano operare, i costruttori di auto non potevano produrre e le società di logistica non potevano effettuare consegne.»


In passato si sono verificati degli incidenti la cui eco è giunta fino al pubblico più vasto. Quali sono stati per Lei gli eventi più importanti?


In generale constato un aumento dell’attenzione sui cyber-attacchi. Prenda l’esempio di Wannacry, che non era nulla di nuovo ma che ha destato molta attenzione perché abbiamo potuto assistere quasi plasticamente a quali effetti potrebbero avere su tutti noi degli attacchi cibernetici: gli ospedali non potevano operare, i costruttori di auto non potevano produrre e le società di logistica non potevano effettuare consegne.


Questa attenzione è in realtà molto positiva.


Da un lato lo è. Dall’altro le persone si stancano molto rapidamente quando sentono sempre le stesse cose. Negli Stati Uniti vige l’obbligo di annuncio quando determinati dati personali vanno smarriti. Questi annunci non interessano più nessuno perché la gente si è stancata di sentirli.


Anche l’UE ha introdotto questo obbligo con la GDPR. È stato un errore?


Voglio chiarire: sono convinto che un obbligo di annuncio sia necessario. Al momento, però, su questo manca la trasparenza riguardo al numero reale dei casi e a quali sono i loro effetti. Per comprendere le conseguenze e adottare le giuste misure, è necessaria una maggiore trasparenza. Questa consapevolezza però sta crescendo proprio nell’economia privata. Una migliore trasparenza alla fine porta a contrastare i rischi in modo mirato per poter impiegare così mezzi finanziari e personali più efficientemente.


Wannacry ha danneggiato soprattutto sistemi sui quali non era in esecuzione l’ultima versione software. Manca la comprensione che anche un’infrastruttura IT deve essere modernizzata? Un ponte viene ristrutturato prima di crollare.


Questo è un buon esempio. Nel campo dei cyber-risichi non abbiamo la stessa maturità che vantiamo nell’edilizia o in altre discipline ingegneristiche. D’altro canto i sistemi di controllo dell’industria hanno, ad esempio, un ciclo di vita di 20 e più anni. Se in generale questi sistemi si possono sottoporre a manutenzione, il rischio operativo di un update deve essere messo a confronto con il rischio di sicurezza. Non sono decisioni facili. Inoltre, molti sensori e altri dispositivi dell’IoT semplicemente non sono equipaggiati per supportare l’update dei software. Ciò significa che determinate strategie di sicurezza stabilite non prendono piede nell’IoT.


«Molti sensori e altri dispositivi dell’IoT semplicemente non sono equipaggiati per supportare gli update dei software.»


Che cosa dovrebbe accadere perché la situazione migliori?


Si fa già molto su diversi fronti, tuttavia non sempre con la decisione e la velocità necessarie. La politica si è interessata all’argomento, i servizi aziendali discutono dei rischi cibernetici e i principali produttori iniziano a considerare la cyber-sicurezza una caratteristica distintiva.


Infine, anche i produttori devono adempiere al proprio dovere. Mancano gli standard e la consapevolezza che la sicurezza debba essere una componente integrante di un dispositivo o di una soluzione, sin dalla fase dello sviluppo.


Nello sviluppo dei dispositivi IoT, purtroppo, la sicurezza non riveste alcun ruolo, mentre le Features hanno sempre un peso maggiore, questo però non possiamo proprio permettercelo. Infatti, quando parliamo di IoT è il mondo fisico a essere coinvolto. Gli attacchi possono avere conseguenze fatali sulla vita delle persone.





Quale sarebbe una possibile leva?


Si dovrebbero creare degli incentivi, motivare i produttori e le aziende utilizzatrici a mettere in pratica concetti quali «Privacy by Design», «Security by Design» e «Ethical Design». È fondamentale progettare sistemi resilienti e robusti. Ciò può avvenire ad esempio mediante standard di settore e marchi di qualità, oppure adottando misure di regolazione adatte. In ogni caso, è importante che tutte le aziende possano combattere ad armi pari e che l’innovazione venga limitata il meno possibile. Inoltre, oggi anche gli investitori prestano maggiore attenzione al fatto che le aziende abbiano sotto controllo la sicurezza cibernetica. Le svalutazioni del 7% del valore aziendale basate sugli incidenti cibernetici, come nel caso dell’acquisizione di Yahoo! da parte di Verizon, non lasciano gli investitori indifferenti.


Che cosa pensa dei regolamenti statali?


Non amo particolarmente i regolamenti, perché spesso questi fanno sì che l’attenzione sia rivolta alla compliance invece che al contenimento dei rischi veri e propri. Ma oggi al settore IoT serve almeno un autoregolamento preciso mediante degli standard. Noto anche che i casi di responsabilità del prodotto e le costose azioni di richiamo nell’IoT contribuiscono proprio come i regolamenti di sicurezza cibernetica e di protezione dei dati (GDPR nell’UE o la nuova legge per la protezione dei dati in Svizzera) a un’adozione maggiore delle misure di cyber-sicurezza.


«Ma oggi al settore IoT serve almeno un autoregolamento preciso mediante degli standard.»


Per molte società utilizzatrici l’IoT offre opportunità redditizie, nonostante tutti i timori circa la sicurezza. I responsabili come trovano il giusto equilibrio tra rischio e sicurezza?


Per trovare questo equilibrio, è necessario conoscere i rischi e gestirli. Secondo un sondaggio da noi condotto, però, meno del 50 per cento dei responsabili dispone di una panoramica di ciò che è interconnesso e come. Meno della metà ha affermato che l’IoT rientra nella strategia di sicurezza.


Per quale motivo?


La complessità è aumentata. I dispositivi IoT spesso sono utilizzati in modo staccato dall’IT tradizionale. Le responsabilità dell’esercizio dei dispositivi IoT e della loro sicurezza pertanto spesso non è regolata in modo chiaro. Anche la sicurezza dei sistemi IoT industriali viene messa in atto come parte dell’Operational Technology (OT) staccata dall’IT dell’ufficio, sebbene questa separazione in realtà quanto più è duratura tanto meno appaia sensata a causa della convergenza delle tecnologie impiegate.


Quindi servono nuove forme di organizzazione. Che cosa consiglia?


Oggi è necessario riflettere molto bene se la sicurezza dell’IT degli uffici e dell’OT, ovvero Operational Technology, debba continuare a essere esercitata come prima a compartimenti stagni. È sempre più importante che la sicurezza venga considerata nel suo complesso. Una vulnerabilità dell’OT può essere utilizzata per attacchi all’IT dell’ufficio e viceversa.


Nessuno cede volentieri la propria influenza.


Ciò si risolve in modo semplice. È più importante la differenza culturale tra IT e OT e il fattore umano in sé. Secondo me, uno dei grandi problemi del settore security è che il fattore umano viene compreso e inserito nei concetti di sicurezza davvero troppo poco. I concetti di sicurezza moderni spesso sono lontani dal tema della facilità di utilizzo. Pensi solo alla laboriosa gestione delle password.


Ma proprio nel settore IoT il fattore umano di fatto ha meno influenza: le macchine comunicano sempre più tra loro, anche i dati sono analizzati in modo automatico. È già troppo tardi per poter intervenire in futuro?


Anche i sistemi IoT alla fin fine sono utilizzati da e per l’uomo. In un modo o nell’altro, non ci possiamo affatto permettere di non fare niente. Ecco perché adesso la sfida consiste nel progettare sistemi resilienti e robusti di per sé.


«Gli sforzi per affrontare questi rischi al momento non sono sufficienti, bisogna accelerare.»


Chi è sollecitato ora?


Tutti: da un lato gli imprenditori/utilizzatori, ma anche i produttori IoT, gli Stati e perfino le comunità.


Tutti dovrebbero, nessuno lo fa…


Su questo io sono ottimista. L’umanità si è sempre comportata in modo pragmatico di fronte a sfide di questo tipo. Ma sono d’accordo con Lei: gli sforzi per affrontare questi rischi al momento non sono sufficienti, bisogna accelerare. E ciò è di enorme importanza soprattutto per lo sviluppo economico della Svizzera.





L’IoT-Security come opportunità e non come un fattore di costo?


Esatto, in Svizzera possiamo contare su un’esclusiva combinazione di competenze software e sulle conoscenze ingegneristiche necessarie nel settore industriale. Questa è la nostra chance, infatti nella Silicon Valley non dispongono di queste competenze in egual misura.


Matthias Bossardt

Partner, Direttore Cyber Security and Technology Risk, KPMG Svizzera


Matthias Bossardt vanta oltre 18 anni di esperienza nei settori specialistici relativi a cyber-rischi, rischi informatici, rischi della protezione dei dati e rischi tecnologici. Inoltre, è membro della Global Cyber Security Leadership di KPMG nonché della Digital Board di KPMG Schweiz. Nell’ottobre 2016 Matthias Bossardt è stato nominato da Bilanz, una delle principali testate economiche svizzere, come uno dei «Digital Shapers» più influenti della Svizzera. Dal suo ingresso in KPMG, Matthias Bossardt ha svolto ricerche sui sistemi di comunicazione e sulla sicurezza cibernetica presso il Politecnico Federale (ETH Zürich) e presso l’Istituto di ricerca del Beckman Institute of Advanced Studies dell’University of Illinois, Urbana-Champaign. Ha iniziato la sua carriera professionale come ingegnere specializzato in microchip nel 1998.





Newsletter

Abbonarsi ora alla newsletter per essere aggiornati su tendenze, news del settore e indici.





Maggiori informazioni