Il 2019 sarà ricordato come l’anno in cui Internet delle cose, meglio noto come IoT (Internet of things,) ha iniziato a conquistarsi un posto al sole nelle case degli italiani. Sempre più numerose infatti sono le abitazioni dotate di telecomando per l’apertura della serranda del garage, o per l’attivazione dell’allarme domestico, o ancora di un dispositivo a distanza per regolare la temperatura dei termosifoni, per monitorare la scadenza dei cibi nel frigorifero o per contare le calorie che si consumano in una giornata. Avete mai pensato che la compromissione di un telecomando potrebbe garantire l’accesso a dati personali ad ospiti indesiderati? Se ognuno di noi dunque con la tecnologia diventa più vulnerabile, per lo stesso principio anche in ambito industriale la compromissione di macchine o reti porta con sé rischi correlati sia all’operatività stessa dei macchinari, sia di un possibile utilizzo non autorizzato ad informazioni aziendali e di sistema.  In questo articolo Labor Project fornirà le nozioni per aiutare le aziende a superare il problema e a garantire l’applicazione delle norme in materia di GDPR per Internet of things.

 

• Indice:

Internet of things (IoT)

Cybersecurity per IoT, come garantire il rispetto del GDPR?

I principi fondamentali in materia di trattamento dei dati in IoT

Privacy by design e by default

 

 

Internet of things (IoT) 

• Il significato 

L’espressione Internet of things è un neologismo coniato per definire la rete degli oggetti intelligenti che di fatto ha superato il concetto del computer connesso alla rete internet. Stiamo parlando ad esempio dei frigoriferi che segnalano la scadenza dei cibi, dei dispositivi wearable per il fitness o dei dispositivi wireless di telemedicina che segnalano al medico eventuali anomalie corporee o ancora i semafori intelligenti che si adattano alle condizioni del traffico per ridurre code e blocchi. Si tratta dunque di oggetti di uso quotidiano dotati di un collegamento più o meno permanente alla rete internet con sensori o altri apparati in grado di monitorare e registrare le azioni e le abitudini delle persone. Il collegamento di questi oggetti, definiti dispositivi IoT, alla rete internet permette lo scambio, l’archiviazione, la condivisione, l’elaborazione di enormi flussi di informazioni ed in particolare di un numero elevato di dati personali che devono essere tutelati. Non si può dunque fare progetti IoT senza fare riferimento al tema della sicurezza che deve riguardare i dispositivi connessi, ma ancor più i dati che transitano da questi dispositivi.

• I livelli della sicurezza di un sistema IoT

Quando si parla di sicurezza in un sistema IoT bisogna avere un approccio multilivello.

• Percettivo: è il livello base, il più vulnerabile, che permette l’interazione con il mondo fisico attraverso sensori ed attuatori. Tra le tecnologie usate vi sono WSN (Wireless Sensor Network), RFID (Radio- Frequency Identification), GPS.
• Di trasporto: permette il trasferimento delle informazioni ad altri livelli grazie ad internet e con l’ausilio di WIFI e 3G.
• Applicativo: fornisce i servizi finali ai clienti (come smart city, smart heathcare, etc.).

 

 

Cybersecurity per IoT, come garantire il rispetto del GDPR?

Partendo dal presupposto che non è possibile fare progetti IoT senza prendere in considerazione il tema della sicurezza, è altrettanto vero che le aziende di fronte a queste tematiche appaiono ancora impreparate. Così, se da un lato la propensione a muoversi verso i paradigmi dell’industria 4.0 cresce progressivamente, altrettanto non si può dire sulla capacità delle aziende di rispondere all’innalzamento del livello di rischio.  Lo studio Cisco “Security Capabilities benchmark study” su 3600 professionisti della sicurezza (DPO e manager delle operazioni di sicurezza) in 26 paesi, tra cui l’Italia, ha messo in luce proprio la preoccupazione, non solo rispetto alle offensive degli hacker, ma soprattutto rispetto alla carenza di talenti specializzati in cybersecurity.

• Come affrontare dunque i rischi della sicurezza informatica del GDPR?

 Sono sei i punti chiave sui quali impostare l’infrastruttura di rete:

• Occorre essere in grado di autenticare tutti i dispositivi di rete
• Bisogna decidere, sulla base del primo processo, quali saranno le possibilità di accesso alle risorse di rete
• È necessario segmentare la rete in modo che determinati oggetti siano posizionati su una sottorete e separati rispetto ad host critici
• Bisogna stabilire diversi livelli di criticità per i diversi segmenti di rete, introducendo controlli di accesso per passare dall’uno all’altro segmento
• Occorre applicare politiche specifiche per cui dispositivi non autorizzati avranno un accesso parziale alla rete
• È importante fare in modo che tutti i dispositivi connessi, che abbiano necessità di accesso alla rete, siano validati ed autorizzati.

 

 

I principi fondamentali del trattamento dei dati in IoT

Nell’Internet of things ci sono sensori che raccolgono, analizzano e comunicano dati. Sulla base di quelle informazioni si innescano poi delle azioni. Questo fa sì che proprio quei dati diventino il principale bersaglio di azioni malevole, studiate con l’obiettivo di entrare in possesso di informazioni sensibili. È evidente dunque che le responsabilità sui dati personali, imposte dal nuovo GDPR, si estendano anche all’internet delle cose.

• Le figure coinvolte nei processi IoT

Occorre pertanto considerare tutte le figure coinvolte nei processi IoT, dai fornitori ai fruitori:

• Produttori dei dispositivi
• Sviluppatori di software
• Gestori di social network
• Fornitori di capacità di archiviazione
• Utenti registrati e non registrati
• Soggetti terzi coinvolti indirettamente

Tutte queste persone coinvolte spesso e volentieri a loro insaputa condividono dati senza neppure conoscere le finalità di questa condivisione.

• Le difficoltà riscontrate

L’impossibilità e l’estrema difficoltà per l’individuo di avere consapevolezza di quanti e quali dati vengono trattati e condivisi da un dispositivo IoT genera ulteriori difficoltà:

• l’impossibilità per l’individuo di prestare un consenso informato al trattamento dei dati personali.
• Il rischio di un uso diverso dei dati rispetto alle finalità note (ad esempio un conta calorie potrebbe raccogliere dati per la rilevazione dei movimenti di una certa persona che elaborati da un soggetto terzo potrebbero servire a monitorare le sue condizioni fisiche o a profilare le sue abitudini di consumo).

• Per non correre questi rischi

• E’ importante ottenere il consenso preventivo ed informato della persona fisica cui si riferiscono i dati personali
• Bisogna raccogliere dati personali nei limiti del consenso prestato e per le finalità indicate dal titolare del trattamento
• E’ fondamentale utilizzare i dati solo per il tempo necessario a raggiungere le finalità per cui sono trattati
• E’ necessario garantire adeguati livelli di sicurezza e commisurare le misure di sicurezza alle caratteristiche tecniche dei dispositivi IoT
• Prima del lancio di un nuovo dispositivo IoT o di una nuova applicazione, è necessario completare un Privacy and data protection Impact Assessment secondo le stesse linee guida adottate dal “gruppo di lavoro art 29” il 11 febbraio 2011 per le applicazioni RFID (Radio Frequency Identification).

Privacy by design e by default

Una recente ricerca ha rivelato che i dispositivi IoT sono diventati i principali obiettivi dei cyber criminali, superando i web and application services e i server di posta elettronica. Questo è dovuto al fatto che essi sono oggetti vulnerabili che permettono ai criminali azioni di sorveglianza e controllo su sistemi aziendali con conseguente compromissione e furto di dati personali. Qualche anno fa, ad esempio, sul mercato tedesco è stata bloccata la diffusione e la vendita di una bambola che era risultata essere vulnerabile e dunque facilmente preda di hacker tale per cui poteva essere usata per spiare i bambini come una sorta di cavallo di Troia.

La principale difficoltà è la gestione nelle interazioni tra dispositivi IoT e le persone con conseguente scambio di flussi automatici di dati personali che l’utente ha difficoltà a gestire. Se l’interessato non ha possibilità di controllare i propri dati personali come può esercitare in modo efficace quei diritti previsti nel GDPR? A questo proposito è fondamentale l’adozione da parte dei produttori dei principi di Privacy by Design e by Default.

• Privacy by Design

Si basa sulla protezione della privacy dei dati personali fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. E’ importante in tal caso tenere conto del tipo di dati trattati, in presenza di un trattamento che coinvolge i minori, ad esempio, gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore. Quando si utilizzano software e applicativi di aziende terze, queste ultime devono fare una valutazione del rischio dell’uso dell’applicativo affinché sia conforme al regolamento. Il titolare dovrà essere in grado di adottare e attuare misure tecniche e organizzative che tutelino i principi di protezione dei dati sin dalla progettazione oltre che in fase di esecuzione del trattamento.

 

• Privacy by default

Tale principio prevede che per impostazione predefinita, le imprese debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tale fine. Occorre quindi progettare il sistema di trattamento dei dati in modo da non eccedere nella raccolta dati.

 L’introduzione di questi due principi obbliga le imprese a predisporre una valutazione di impatto privacy ogni volta che si avvia un progetto che prevede il trattamento dei dati personali.