Technology Advisory
Multicloud, Cyber security, Governance e Compliance per il business dei nostri Clienti
L'internet of Things (IoT) è un insieme, in rapida evoluzione ed espansione, di diverse tecnologie che interagiscono con il mondo fisico e rappresenta uno dei cardini principali della trasformazione digitale in atto in questo periodo.
Le tecnologie e i sistemi IoT permettono di avere una sempre maggiore digitalizzazione e automazione dei processi e di sfruttare le funzionalità di machine learning e intelligenza artificiale per creare nuove opportunità di business e di servizi a valore per clienti e consumatori.
In questo contesto l’IoT offre una serie di opportunità, altresì comportando notevoli rischi per i diritti e le libertà degli interessati i cui dati sono trattati.
È necessario che siano adottate adeguate misure di sicurezza organizzative, procedurali e tecnologiche, a partire da una valutazione dei rischi relativi ai trattamenti che avvengono tramite le tecnologie e i sistemi IoT.
Internet of Things
I sistemi IoT possono influenzare i rischi per la sicurezza delle informazioni e la privacy in modo diverso rispetto ai sistemi dell’information technology tradizionale.
Le caratteristiche principali di un sistema IoT sono la numerosità e l’eterogeneità dei componenti, l’elevata quantità di dati trattati e la sicurezza dei dispositivi limitata da vincoli hardware e software.
I dispositivi intelligenti possono essere di vario tipo: quelli che comportano i maggiori rischi relativi alla sicurezza delle informazioni e alla privacy sono relativi ai dispositivi medicali, alle videocamere, ai sensori di prossimità ambientale e agli oggetti da indossare (ad esempio i braccialetti e gli orologi).
I principali ambiti di applicazione dell’IoT (sia per i consumatori finali che per le aziende) sono rappresentati da quei contesti nei quali sono presenti dispositivi che possono “parlare” e generare nuove informazioni come ad esempio:
- Smart building e building automation;
- Smart Manufacturing (Industry 4.0);
- Industria automobilistica, automotive, self driving car;
- Smart health, sanità, mondo biomedicale;
- Telemetria;
- Sorveglianza e sicurezza;
- Smart city e smart mobility;
- Smart Agriculture, precision farming, sensori di fields.
I principali rischi nell’utilizzo di tecnologie e sistemi IoT sono:
- Attacchi informatici: DDoS, malware, manipolazione e perdita di informazioni, manipolazione delle componenti hardware, software, dei sensori, ecc.
- Interruzioni del servizio: indisponibilità e interruzione della rete informatica e dei service provider, perdita dei servizi di comunicazione, malfunzionamento dei sistemi e dei sensori, ecc.
- Attacchi fisici: modifica o distruzione delle reti di comunicazioni in seguito a sabotaggi o disastri naturali e ambientali, ecc.
- Malfunzionamenti software: errori di configurazione e di progettazione del software dei sensori, vulnerabilità di autenticazione, debolezze dei protocolli di comunicazione, ecc.
- Intercettazioni: tecniche di attacco quali «man in the middle», modifica del protocollo di comunicazione dei sensori, information gathering, intercettazioni dei messaggi di scambio tra i sensori e il sistema centrale, ecc.
- Attacchi alla privacy delle persone: abuso di dati personali, furto di identità, accessi non autorizzati ai sistemi e ai sensori, compromissione di dati personali, social engineering, ecc..
Kill Chain Mitre Att&ck
Come rispondere efficacemente agli attacchi e configurare gli strumenti di prevenzione
e monitoraggio
La valutazione dell’impatto sui dati personali (DPIA)
Ideas
Ransomware e Cyber DEFCON: Come prevenire i cyber attacchi e garantire l'operatività aziendale
Il Regolamento europeo sul trattamento dei dati personali 679/2016 (General Data Protection Regulation – GDPR) prevede all’art. 35 che il Titolare del trattamento dei dati personali debba effettuare un DPIA (Data Protection Impact Assessment), prima di procedere ai trattamenti che prevedano l’uso di nuove tecnologie e possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Le principali tipologie di trattamenti relativi all’IoT per cui il Garante della Privacy prevede una valutazione d’impatto (DPIA), preventivamente alla loro effettuazione, sono le seguenti:
- Trattamenti sistematici di dati genetici (es. dispositivi medicali);
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati (es. videosorveglianza, geolocalizzazione);
- Trattamenti effettuati attraverso l’uso di tecnologie innovative (es. sensori di prossimità ambientale, dispositivi wearable).
È importante svolgere la DPIA analizzando tutta una serie di aspetti essenziali, quali:
- Il trattamento oggetto dell’analisi.
- Le finalità del trattamento.
- Le basi giuridiche del trattamento.
- I dati trattati.
- Le funzioni aziendali coinvolte.
- L’informativa e la raccolta del consenso degli interessati.
- La formazione del personale coinvolto.
- Le risorse informatiche a supporto del trattamento.
- Le misure implementate per la tutela dei diritti degli interessati.
- Le misure di sicurezza organizzative, fisiche e logiche implementate per la salvaguardia dei dati trattati.
- Le possibili minacce, gli impatti e i rischi che possono incombere sui dati.
- Il periodo di conservazione dei dati.
- Il possibile trasferimento dei dati.
Certificazioni Privacy per le imprese
Un’overview delle certificazioni ai sensi dell’art. 42 del GDPR
L’approccio Lutech
Operation Technology Managed Services
Gestire la sicurezza informatica dei Sistemi Industriali
Il team Advisory del Gruppo Lutech svolge presso i propri clienti un’attività consulenziale sulle criticità che l’utilizzo di tecnologie e sistemi IoT può comportare, sia in termini organizzativi e procedurali che tecnologici e sulle adeguate azioni correttive per mitigare i rischi evidenziati.
L’approccio metodologico che Lutech utilizza per indirizzare correttamente i rischi per la sicurezza delle informazioni nell’IoT, conformemente a quanto suggerito dal NIST (Considerations for Managing IoT Cybersecurity and Privacy Risks - 2018) e dall’Enisa (Baseline Security Recommenations for IoT – 2017), è il seguente:
- Assessment e Remediation plan: analizzare e capire le minacce, gli impatti e i rischi a cui possono essere soggetti i dispositivi e i dati trattati, e definire le azioni necessarie da adottare per mitigare tali minacce e rischi.
- Strategie di Governance: rivedere ed aggiornare le politiche e i processi organizzativi a livello strategico è essenziale per governare i rischi per sicurezza delle informazioni e la privacy lungo tutto il ciclo di vita dei dispositivi.
- Build: implementare le azioni di correzione e mitigazione definite al fine di correggere o ridurre le minacce e i rischi individuati.
Data Breach: i nuovi scenari
Come reagire correttamente e tempestivamente alla violazione della sicurezza in azienda?
Grazie per il tuo interesse
Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.