Un recente studio internazionale The Internet of Things (IOT): Today and Tomorrow pubblicato da Aruba ha evidenziato che su 3100 decision maker intervistati sia IT sia business a livello mondiale molti di questo sono incerti sulla esatta definizione di IoT, sebbene praticamente dichiarino di comprendere cosa sia a livello generale tale fenomeno.
Definizioni ed applicazioni pratiche
L’Internet of Things (IoT) è un neologismo riferito all’estensione di Internet al mondo degli oggetti e dei luoghi concreti. Attraverso chip e sensori inseriti al loro interno, gli oggetti sono in grado di interagire tra loro e con la realtà circostante. Così il mondo fisico può essere (quasi) interamente digitalizzato, monitorato e in molti casi virtualizzato.
Uno dei principali sviluppi specifici dell’IoT è rappresentato dalla domotica: pensiamo a lampadine, frigoriferi che segnalano la scadenza dei cibi, impianti di riscaldamento che si accendono da remoto con lo smartphone, termostati, stazioni di fumo, stazioni meteorologiche, lavatrici, forni connessi e controllabili a distanza tramite Internet.
Ma non solo. La sanità ha introdotto l’Iot per migliorare il monitoraggio dei pazienti e ridurre i costi connessi alle prestazioni mediche effettuate. Allo stesso modo il settore del retailer per migliorare la customer experience. In fondo alla classifica – nell’implementazione dell’IOT – troviamo il settore pubblico dove i pochi decision maker che approcciano a queste tematiche (non più) innovative hanno comunque evidenziato un maggior risparmio di costi e di tempo.
Ma il settore che più utilizza l’IoT è il comparto industriale per monitorare e mantenere funzioni industriali essenziali. L’83% riporta un aumento dell’efficienza di business e un altro 80% ha ottenuto una visibilità superiore attraverso la propria organizzazione.
I rischi dell’IoT in azienda
Gli aspetti problematici legati all’Iot vanno dall’utilizzo dei dati per fini diversi da quelli per i quali sono stati in origine raccolti, alla profilazione, fino alla gestione della sicurezza informatica. E’ proprio quest’ultima a spaventare le aziende coinvolte e a frenare elevati investimenti in materia.
In molti deployment IoT sono state poi rilevate falle di sicurezza. Lo studio ha scoperto che l’84% delle aziende mondiali e l’81% in Italia hanno sperimentato una violazione di sicurezza relativa alla IoT. Attesa la grande mole di dati raccolti dagli strumenti e gli investimenti che questi comportano come posso in quanto azienda ridurre i rischi derivanti da oramai consueti ed inevitabili cyber attacchi?
Cosa fare e secondo quali priorità
Uno dei principali fattori paralizzanti di tale tecnologia era rappresentato dalla mancanza di una normativa nazionale ed europea specificamente rivolta al tema. Tal gap normativo è stato in parte superato dal Regolamento europeo per la protezione dei dati personali il quale introduce anche per tale particolare settore una serie di accorgimenti documentali e tecnici volti alla prevenzione di possibili conseguenze dannose per gli interessati i cui dati personali sono trattati da tali strumenti.
Mappatura in ottica PbD
Gli strumenti di IoT utilizzati dalle aziende dovranno subire un’analisi rispetto al principio di privacy by design e by default, così come previsto dal testo della Regulation europea. Tale valutazione è utile a sensibilizzare i ruoli aziendali decisori in termini di investimenti di business.
Ciò a significare, che gli strumenti di IoT dovranno permettere all’utente, ad esempio, di disabilitare le funzionalità di connessione dello strumento che consentono la raccolta dei dati, permettendo all’oggetto di funzionare come l’articolo originale non connesso. Altresì prevedere la riduzione al minimo dei dati: limitando al minimo necessario il trattamento dei dati personali, è possibile ottenere una riduzione delle vulnerabilità connesse a detti sistemi.
I contratti
Qualora lo strumento di IoT sia tecnicamente gestito o implementato in outsourcing da un fornitore terzo, le aziende dovranno predisporre dei contratti con i fornitori che siano privacy oriented. Sarà assolutamente indefettibile predisporre modelli contrattuali che impongano elevati standard di sicurezza a presidio dei dati personali trattati da terze parti, le responsabilità con i providers coinvolti, precisi obblighi per i subfornitori, privacy level agreement strutturati.
Data Breach
Le aziende dovranno implementare apposite procedure a gestione delle violazioni di dati personali che prevedano la notifica all’autorità di controllo competente, entro 72 ore, decorrenti dal momento in cui se ne è venuti a conoscenza. Tali obblighi di comunicazioni dovranno poi essere parallelamente riportati nei contratti con i provider esterni di sistemi di IoT i quali dovranno pertanto attivarsi nel brevissimo periodo per andare a segnalare alle aziende le violazioni e gli attacchi subiti.
Quando poi la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche – se pensiamo alla circostanza per cui gli strumenti di IoT interagiscono con altri dispositivi o sistemi che sfruttano le capacità di collegamento in rete – il Data Controller dovrà notificare l’avvenuta violazione anche direttamente all’interessato i cui dati sono stati violati.
PIA
Per i trattamenti di dati personali effettuati con nuove tecnologie – dunque i sistemi IoT – il Regolamento europeo prescrive ai titolari del trattamento la previsione di Privacy Impact Assessment, ossia valutazioni concrete di determinati trattamenti, a definizione i rischi e le misure tecniche di sicurezza adottate in relazione a detti trattamenti, dei soggetti coinvolti nel trattamento. Tale documento dovrà individuare i soggetti coinvolti nella definizione del trattamento e, ancora, le funzioni aziendali da coinvolgere, qualora venga modificato l’assetto del trattamento (comparto IT, Marketing, HR). Tale valutazione dovrà essere preventiva rispetto all’inizio del trattamento e rappresenta – di fatto – la messa in pratica dei principi di privacy by design e by default suindicati.
A maggior ragione quando il trattamento comporti il trasferimento di dati personali verso territori extra UE (India, Cina, USA), per la cui legittimità il Regolamento Europeo prevede appositi standard contrattuali.
Infine, un ruolo importante nella partita di prevenzione dei rischi derivanti dal trattamento dei dati personali è giocata dal Data Protection Officer (DPO). Il DPO nominato, rispondendo direttamente all’alta dirigenza e dotato di proprie risorse umane ed economiche, coadiuverà gli operatori tecnologici nell’adozione degli adempimenti tecnici e documentali richiesti dal Regolamento, attuando funzioni di vigilanza e sull’applicazione delle politiche inerenti alla protezione dei dati personali.
Tenendo conto che il mancato adeguamento di quelle che sono le regole previste potrebbe comportare in capo alle aziende sanzioni da 10 mil a 20 mil ovvero dal 2% al 4% del fatturato mondiale annuo, stante la vacatio di due anni, è importante che gli attori coinvolti inizino il loro percorso di adeguamento nella prospettiva di impostare strumenti di IoT conformi al nuovo assetto normativo.
L'articolo IoT in azienda: quali rischi e come mitigarli sembra essere il primo su Colin.