La DPIA nell’IoT

L'internet of Things (IoT) è un insieme, in rapida evoluzione ed espansione, di diverse tecnologie che interagiscono con il mondo fisico e rappresenta uno dei cardini principali della trasformazione digitale in atto in questo periodo.

Le tecnologie e i sistemi IoT permettono di avere una sempre maggiore digitalizzazione e automazione dei processi e di sfruttare le funzionalità di machine learning e intelligenza artificiale per creare nuove opportunità di business e di servizi a valore per clienti e consumatori.

In questo contesto l’IoT offre una serie di opportunità, altresì comportando notevoli rischi per i diritti e le libertà degli interessati i cui dati sono trattati.

È necessario che siano adottate adeguate misure di sicurezza organizzative, procedurali e tecnologiche, a partire da una valutazione dei rischi relativi ai trattamenti che avvengono tramite le tecnologie e i sistemi IoT.

I sistemi IoT possono influenzare i rischi per la sicurezza delle informazioni e la privacy in modo diverso rispetto ai sistemi dell’information technology tradizionale.

Le caratteristiche principali di un sistema IoT sono la numerosità e l’eterogeneità dei componenti, l’elevata quantità di dati trattati e la sicurezza dei dispositivi limitata da vincoli hardware e software.

I dispositivi intelligenti possono essere di vario tipo: quelli che comportano i maggiori rischi relativi alla sicurezza delle informazioni e alla privacy sono relativi ai dispositivi medicali, alle videocamere, ai sensori di prossimità ambientale e agli oggetti da indossare (ad esempio i braccialetti e gli orologi).

I principali ambiti di applicazione dell’IoT (sia per i consumatori finali che per le aziende) sono rappresentati da quei contesti nei quali sono presenti dispositivi che possono “parlare” e generare nuove informazioni come ad esempio:

• Smart building e building automation;
• Smart Manufacturing (Industry 4.0);
• Industria automobilistica, automotive, self driving car;
• Smart health, sanità, mondo biomedicale;
• Telemetria;
• Sorveglianza e sicurezza;
• Smart city e smart mobility;
• Smart Agriculture, precision farming, sensori di fields.

I principali rischi nell’utilizzo di tecnologie e sistemi IoT sono:

• Attacchi informatici: DDoS, malware, manipolazione e perdita di informazioni, manipolazione delle componenti hardware, software, dei sensori, ecc.
• Interruzioni del servizio: indisponibilità e interruzione della rete informatica e dei service provider, perdita dei servizi di comunicazione, malfunzionamento dei sistemi e dei sensori, ecc.
• Attacchi fisici: modifica o distruzione delle reti di comunicazioni in seguito a sabotaggi o disastri naturali e ambientali, ecc.
• Malfunzionamenti software: errori di configurazione e di progettazione del software dei sensori, vulnerabilità di autenticazione, debolezze dei protocolli di comunicazione, ecc.
• Intercettazioni: tecniche di attacco quali «man in the middle», modifica del protocollo di comunicazione dei sensori, information gathering, intercettazioni dei messaggi di scambio tra i sensori e il sistema centrale, ecc.
• Attacchi alla privacy delle persone: abuso di dati personali, furto di identità, accessi non autorizzati ai sistemi e ai sensori, compromissione di dati personali, social engineering, ecc..

Costruisci la tua roadmap IoT end-to-end

Il Regolamento europeo sul trattamento dei dati personali 679/2016 (General Data Protection Regulation – GDPR) prevede all’art. 35 che il Titolare del trattamento dei dati personali debba effettuare un DPIA (Data Protection Impact Assessment), prima di procedere ai trattamenti che prevedano l’uso di nuove tecnologie e possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Le principali tipologie di trattamenti relativi all’IoT per cui il Garante della Privacy prevede una valutazione d’impatto (DPIA), preventivamente alla loro effettuazione, sono le seguenti:

• Trattamenti sistematici di dati genetici (es. dispositivi medicali);
• Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati (es. videosorveglianza, geolocalizzazione);
• Trattamenti effettuati attraverso l’uso di tecnologie innovative (es. sensori di prossimità ambientale, dispositivi wearable).

È importante svolgere la DPIA analizzando tutta una serie di aspetti essenziali, quali:

• Il trattamento oggetto dell’analisi.
• Le finalità del trattamento.
• Le basi giuridiche del trattamento.
• I dati trattati.
• Le funzioni aziendali coinvolte.
• L’informativa e la raccolta del consenso degli interessati.
• La formazione del personale coinvolto.
• Le risorse informatiche a supporto del trattamento.
• Le misure implementate per la tutela dei diritti degli interessati.
• Le misure di sicurezza organizzative, fisiche e logiche implementate per la salvaguardia dei dati trattati.
• Le possibili minacce, gli impatti e i rischi che possono incombere sui dati.
• Il periodo di conservazione dei dati.
• Il possibile trasferimento dei dati.

Il team Advisory del Gruppo Lutech svolge presso i propri clienti un’attività consulenziale sulle criticità che l’utilizzo di tecnologie e sistemi IoT può comportare, sia in termini organizzativi e procedurali che tecnologici e sulle adeguate azioni correttive per mitigare i rischi evidenziati.

L’approccio metodologico che Lutech utilizza per indirizzare correttamente i rischi per la sicurezza delle informazioni nell’IoT, conformemente a quanto suggerito dal NIST (Considerations for Managing IoT Cybersecurity and Privacy Risks - 2018) e dall’Enisa (Baseline Security Recommenations for IoT – 2017), è il seguente:

1. Assessment e Remediation plan: analizzare e capire le minacce, gli impatti e i rischi a cui possono essere soggetti i dispositivi e i dati trattati, e definire le azioni necessarie da adottare per mitigare tali minacce e rischi.
2. Strategie di Governance: rivedere ed aggiornare le politiche e i processi organizzativi a livello strategico è essenziale per governare i rischi per sicurezza delle informazioni e la privacy lungo tutto il ciclo di vita dei dispositivi.
3. Build: implementare le azioni di correzione e mitigazione definite al fine di correggere o ridurre le minacce e i rischi individuati.