Nell'IoT Security Report 2022, gli esperti IT richiedono una distinta base (SBOM) per il software dei dispositivi: i controlli industriali, la produzione e la casa intelligente sono spesso "insufficientemente" protetti dagli hacker. Gli esperti richiedono una prova di tutti i componenti software utilizzati.
Shampoo, biscotti, zuppa in scatola e medicinali hanno una cosa in comune: l'elenco di tutti gli ingredienti sulla confezione e la loro tracciabilità dal produttore al produttore del singolo ingrediente. Importanti controlli industriali intelligenti, sistemi di produzione intelligenti e dispositivi come router, telecamere di rete, stampanti e molti altri portano il loro firmware direttamente con il sistema operativo e le applicazioni, senza una prova precisa dei componenti software contenuti. Questo spesso significa immensi rischi di attacco da parte di hacker e ladri di dati nelle aziende che utilizzano questi controlli e dispositivi.
Cosa c'è dentro router, reti & Co?
Nell'ambito dello studio "IoT Security Report 2022", il 75 percento dei 318 specialisti e manager del settore IT intervistati è favorevole a una verifica precisa di tutti i componenti software, la cosiddetta "Software Bill of Materials" (SBOM) per tutti i componenti, incluso tutto il software incluso di un endpoint. "Nell'ambito delle nostre indagini degli ultimi anni, praticamente tutti i dispositivi connessi a una rete hanno difetti nascosti nel firmware e nelle applicazioni, in misura maggiore o minore, motivo per cui una descrizione precisa dei componenti software è estremamente importante per un dell'IT dell'azienda per controllare e mantenere il livello di sicurezza", afferma Jan Wendenburg, CEO di ONEKEY (ex IoT Inspector). L'azienda ha sviluppato un'analisi di sicurezza e conformità completamente automatica per il software dei controlli, dei sistemi di produzione e dei dispositivi intelligenti e la rende disponibile come piattaforma di facile integrazione per aziende e produttori di hardware.
I produttori trascurano la sicurezza
Non c'è quindi molta fiducia nella protezione dei dispositivi IoT da parte dei produttori: il 24 per cento delle 318 persone intervistate la considera "insufficiente", un altro 54 per cento al massimo "parzialmente sufficiente". Gli hacker hanno quindi tenuto d'occhio i dispositivi vulnerabili per molto tempo e la tendenza è in aumento. Il 63% degli esperti IT conferma che gli hacker utilizzano già i dispositivi IoT come gateway per le reti. Nelle aziende, in particolare, la fiducia nelle misure di sicurezza relative all'IoT è bassa: solo un quarto dei 318 intervistati vede la sicurezza completa garantita dal proprio reparto IT, mentre il 49 per cento la vede solo “parzialmente sufficiente”. E il 37% dei professionisti IT intervistati per l'IoT Security Report 2022 ha già avuto incidenti relativi alla sicurezza con endpoint che non sono normali client PC.
La produzione connessa aumenta i rischi
“Il rischio aumenta ulteriormente poiché la produzione in rete continua ad espandersi. In generale, si può prevedere che il numero di dispositivi collegati in rete raddoppierà in pochi anni", afferma Jan Wendenburg di ONEKEY. Oltre alla piattaforma di analisi automatica per il controllo del firmware del dispositivo, l'azienda gestisce anche un proprio laboratorio di prova, in cui viene testato l'hardware dei principali produttori e vengono pubblicati regolarmente rapporti di vulnerabilità, i cosiddetti avvisi.
Responsabilità poco chiare nelle aziende
Un altro rischio: il controllo industriale, i sistemi di produzione e altri endpoint di infrastrutture intelligenti sono spesso in uso da più di dieci anni. Senza strategie di conformità, tuttavia, di solito non ci sono linee guida di aggiornamento in azienda. Inoltre, c'è spesso una situazione molto poco chiara per quanto riguarda la responsabilità: tra i 318 rappresentanti aziendali intervistati, un'ampia varietà di persone e dipartimenti è responsabile della sicurezza IoT. Lo spettro va dal CTO (16 percento) al CIO (21 percento) al Risk & Compliance Manager (22 percento) all'IT Purchasing Manager (26 percento). Nel 21% delle aziende, i consulenti esterni si occupano persino dell'acquisto di dispositivi e sistemi IoT.
D'altra parte, solo il 23 percento esegue il controllo di sicurezza più semplice: un'analisi e un test del firmware incluso per le lacune di sicurezza. "Questo è negligenza. Un esame del software del dispositivo richiede pochi minuti, il risultato fornisce informazioni chiare sui rischi e sulla loro classificazione in livelli di rischio. Questo processo dovrebbe far parte del programma obbligatorio prima e durante l'utilizzo degli endpoint, dal router alla macchina di produzione", riassume Jan Wendenburg di ONEKEY.
Altro su Onekey.com[UNA CHIAVE]