Se non si sa chi è responsabile non si sa chi assicurare
È quanto è emerso nel corso del Security Summit di Milano, alla tavola rotonda “Cyber Risk Insurance: come tutelo la mia attività nel mondo IoT”. L’industria assicurativa sta lavorando a delle coperture ma i dubbi sul soggetto realmente responsabile frenano il mercato. Chi si assicura? Chi ha costruito la tecnologia nella quale si sono infiltrati gli hacker, chi l’ha messa in commercio, oppure il consumatore che non ha seguito attentamente le istruzioni di sicurezza?
L’intera Supply Chain può essere responsabile
In realtà difficilmente il cliente ha qualche colpa: spesso è poco informato e non conosce i rischi a cui va incontro. Ma il peso dell’attacco potrebbe ripercuotersi sull’intera filiera dell’IoT, che per di più deve gestire le conseguenze dell’hackeraggio. Produttori e distributori di dispositivi connessi, ad esempio, possono andare incontro a danni materiali, violazione di proprietà individuali, interruzione dell’attività, data breach e danno reputazionale. È bene quindi aprire un confronto prima dell’incidente sia con i CIO e i CEO delle aziende, sia con i CFO: non si può infatti parlare di cybersecurity senza considerare anche gli impatti finanziari. Ma anche con un avvocato, oltre all’intermediario assicurativo.
Il nodo legale: più complicazioni con il GDPR
Che sia un problema anche legale non ci sono dubbi. «Solo con le competenze di professionisti specializzati si può entrare negli ambiti dei singoli casi – afferma Chiara Magalini, avvocato – ma le difficoltà non sono poche. L’arrivo del GDPR nel 2018 potrebbe per di più complicare ulteriormente il discorso. Con l’obbligo legale per le aziende di notificare entro 72 ore una breccia nella sicurezza entra in gioco anche una questione di compliance: un’azienda colpita da un attacco che non avrà rispettato la nuova normativa sarà ancora di più sotto accusa».
L’IoT sotto attacco cyber
Non serve dire che il mondo IoT non può però trascurare il rischio cyber. «Webcam, termostati connessi ed elettrodomestici intelligenti sono ogni anno che passa sempre di più nel mirino dei cybercriminali – afferma Davide Cervi, perito assicurativo». Un caso recente è l’attacco DDoS a Dyn, fornitore di servizi DNS, che tramite l’hackeraggio di smart devices, come le webcam, ha causato il blocco momentaneo di diversi siti, tra cui PayPal, Spotify e Twitter. Ma anche il caso della bambola Cayla, “accusata” di spiare e registrare le conversazioni che le bambine facevano con lei. Un gruppo di cybercriminali aveva cioè preso il controllo del software interno e pubblicato l’audio registrato in rete. Il modello è stato quindi ritirato dal commercio e da tutti i negozi. O ancora il caso di un hotel in Finlandia dove, a causa di un attacco hacker all’infrastruttura informatica, le porte automatiche a un tratto si sono chiuse da sole, bloccando gli ospiti fuori o dentro la struttura. Si è trattato di un ransomware: gli ospiti erano praticamente in ostaggio e in cambio della loro liberazione è stato richiesto un riscatto.
Mirai: il peggior nemico dell’IoT
Minimo comune denominatore di tutti questi esempi è il malware Mirai. Arma preferita dai cybercriminali dell’IoT, si tratta di un eseguibile per Linux che riesce a prendere il controllo di dispositivi connessi poco protetti per utilizzarli con secondi fini. I sistemi più colpiti sono set-top boxes, smart TV, digital video recorder e webcam.
