Contesto IoT

I sistemi basati su IoT possono gestire un’enorme quantità di informazioni e possono essere utilizzati per servizi che spaziano dalla gestione industriale al monitoraggio della salute.

Ciò ha reso il paradigma IoT un obiettivo interessante per una moltitudine di aggressori e avversari.

I potenziali aggressori potrebbero essere interessati a rubare informazioni sensibili e/o compromettere i componenti IoT.

È possibile sfruttare i dispositivi infetti per spiare una persona di interesse o per un attacco su larga scala.

Il numero di minacce alla sicurezza che colpiscono i dispositivi IoT è aumentato negli ultimi anni.

Data la penetrazione sempre più ampia dell'IoT nell'intero spettro delle attività quotidiane e delle infrastrutture critiche, gli incidenti di cybersicurezza sono destinati ad avere un tasso di crescita.

Fondamenti di Sicurezza

È importante comprendere le caratteristiche che definiscono la sicurezza. Tradizionalmente, i requisiti di sicurezza vengono suddivisi in tre categorie principali:

La Triade CIA

  1. Confidenzialità: comporta l'applicazione di una serie di regole per limitare l'accesso non autorizzato a determinate informazioni. È fondamentale per i dispositivi IoT perché potrebbero gestire informazioni personali critiche.
  2. Integrità: è necessaria anche per fornire un servizio affidabile. Il dispositivo deve garantire la legittimità dei comandi ricevuti e delle informazioni raccolte.
  3. Disponibilità: è essenziale per fornire un ambiente connesso a Internet pienamente funzionante. Garantisce la disponibilità dei dispositivi per la raccolta dei dati e previene le interruzioni del servizio.

Estensione alla Triade IAS

La triade CIA non copre le nuove minacce che emergono negli ambienti collaborativi de-perimetrati. L'ottava IAS è stata proposta come estensione della triade CIA:

  1. Confidenzialità: garantire che solo gli utenti autorizzati accedano alle informazioni
  2. Integrità: garantire la completezza, l'accuratezza e l'assenza di manipolazioni non autorizzate dei dati
  3. Disponibilità: garantire la disponibilità di tutti i servizi di sistema, quando richiesti da un utente autorizzato
  4. Accountability: capacità di un sistema di ritenere gli utenti responsabili delle loro azioni
  5. Auditability: capacità di un sistema di condurre un monitoraggio persistente di tutte le azioni