Smart device, chi non ne possiede almeno uno? I dispositivi intelligenti, insieme a cloud e analytics, sono i principali ingredienti di quel mix di tecnologie e servizi che caratterizzano le applicazioni IoT. Una rivoluzione digitale fatta di opportunità di business, da un lato, ma anche di pericoli, per la privacy e la sicurezza degli utenti, dall’altro.
Da questi fondati timori, e dal ruolo di spicco dell’Internet of Things in una corretta “lettura” del nuovo GDPR, muove la riflessione sulla privacy nell’era dell’IoT proposta da Domenico Laforenza, direttore dell’Istituto Informatica e Telematica (IIT) del CNR al pubblico di SecSolutionForum.
“Quando parliamo di Internet, facciamo oggi riferimento a un’entità che accoglie oggetti connessi di vario genere, dal super computer che vanta pochi esemplari al mondo ai più comuni smart device quali cellulari, termostati ed elettrodomestici, tutti interconnessi tramite protocolli di comunicazione standard (es. TCP/IP), a partire dagli indirizzi univoci di ciascun dispositivo” premette il relatore.
Questa crescente “nuvola” di prodotti, soluzioni e impianti collegati in wireless ad applicazioni IoT e la relativa mole di dati, che Laforenza definisce “il petrolio dei nostri giorni”, pongono al settore della sicurezza e a noi consumatori sfide dai contorni ancora difficili da definire.
La vulnerabilità delle piattaforme IoT affonda le proprie radici nella natura tecnologica degli smart device, definiti tali in virtù di quattro caratteristiche:
La combinazione di queste potenzialità è alla base di un’architettura IoT che dal primo livello dei dispositivi smart “senzienti” passa alla loro interconnessione, per poi approdare all’information processing e alle vere e proprie applicazioni IoT.
Fin qui, niente di preoccupante. Ma cosa accade ai dispositivi intelligenti installati nelle nostre smart home, smart car o smart city, una volta in rete? “Pochi sanno dell’esistenza di motori di ricerca dedicati agli oggetti connessi che, come Google con i contenuti, rilevano la presenza intorno a noi di apparecchi come smartphone, telecamere, webcam e altri dispositivi – spiega Laforenza portando alcuni esempi -. Questi portali offrono informazioni sul device e spesso anche suggerimenti sulle password standard mai modificate dagli utenti dopo la configurazione dei dispositivi, come la classica “1234”, schiudendo scenari di certo poco rassicuranti”.
In un mondo dedito alla connessione “sfrenata”, quando Cisco prevede 50 miliardi di dispositivi connessi a livello globale entro il 2020, a minare privacy e sicurezza degli utenti sono proprio le quattro caratteristiche degli smart device, che possono arrecare danni a consumatori e aziende anche a loro insaputa.
Per limitare i rischi connessi all’IoT, serve innanzitutto ridurre la superficie di attacco, ovvero la quantità e la qualità dei dati esposti; questo dipende da chi sviluppa le applicazioni, dalle reti utilizzate per la connessione e, soprattutto, dal comportamento dei consumatori, chiamati ad acquisire più consapevolezza sui rischi connessi alla condivisione di informazioni in rete e sul trattamento riservato da ciascuna piattaforma ai propri dati.
Il cosiddetto approccio “by laws”, ovvero la scrupolosa applicazione di norme come il GDPR (General Data Protection Regulation) in Europa o il COPPA (Children’s Online Privacy Protection Act) statunitense, aiuta ad arginare il problema ma non basta se non viene accompagnato da altrettanta attenzione da parte dei destinatari dei servizi digitali.
“Ci sono una marea di applicazioni che raccolgono i dati, li analizzano, generano azioni dirette o mettono le informazioni a disposizione di altri database e di analisti senza scrupoli – evidenzia il direttore dell’IIT -. Identificazione, localizzazione, tracciamento e profilazione rappresentano i principali rischi per la privacy di chi connette smart device in rete. I suggerimenti pubblicitari particolarmente mirati che riceviamo ne sono la prova”.
Siamo inesorabilmente destinati a essere monitorati? Sostanzialmente sì, ma con più consapevolezza. Sebbene, infatti, gli enti di controllo infliggano pesanti sanzioni alle aziende che violano le norme sulla privacy, nell’attesa che una massiccia applicazione del GDPR dia i suoi frutti, la migliore arma rimane la sensibilità dell’utente, con la creazione di una consapevolezza che parta dai bambini, dalle famiglie e dalle scuole, per ottenere una collettiva presa di coscienza sull’importanza di termini e condizioni di ogni contratto sottoscritto, dei potenziali rischi derivati dall’assenso al trattamento e delle best practice da seguire.
La migliore arma contro il “furto” da dati personali e informazioni sensibili condivise in rete rimane la consapevolezza dell’utente
