Gli Smart building offrono numerosi vantaggi e servizi innovativi rispetto agli edifici meno evoluti, ma proprio perché sono un concentrato di tecnologie e applicazioni in rete possono presentare anche diverse vulnerabilità dal punto di vista della Cybersecurity. In sostanza, un immobile non è davvero Smart e ‘intelligente’ se non è anche sicuro e a prova di cyber-attacchi.
Un rapporto realizzato negli Stati Uniti ha rilevato che nel 2019 quasi il 40% di 40mila edifici intelligenti è stato colpito da un attacco informatico. Ed emerge che uno dei modi più semplici con cui gli aggressori compromettono un dispositivo IoT è collegato alle sue password deboli, intuibili o predefinite. In effetti, risulta che il 70% dei dispositivi IoT utilizza ancora le password predefinite di fabbrica.
La sicurezza informatica applicata agli edifici tecnologici e, allo stesso tempo, lo sviluppo degli Smart building integrato alle protezioni e tutele Hi-tech, sono ancora ai primi passi in un mercato destinato a crescere notevolmente nei prossimi anni.
Un ambito quindi la cybersecurity che non può essere trascurato o sottovalutato da chi si occupa di PropTech, dato che innovazione e sicurezza devono necessariamente procedere allineati in ogni settore di attività, anche in quello dell’edilizia e degli immobili.
Indice degli argomenti
La vulnerabilità dei Sistemi domotici
Gli edifici intelligenti di oggi si basano su tantissimi sensori IoT e computer collegati a server locali e Internet per automatizzare funzionalità come il controllo dell’illuminazione, del clima e degli ascensori, il rilevamento degli incendi, la videosorveglianza e l’accesso tramite badge.
Questi sensori, utilizzati insieme al Building Automation System (BAS), forniscono una quantità di informazioni preziose e dati utilizzabili sulle condizioni e le prestazioni dell’edificio. Tuttavia, spesso mancano delle funzionalità di sicurezza informatica di base, il che li rende vulnerabili agli attacchi informatici. Ad esempio, BACnet, il protocollo di comunicazione dati per il controllo HVAC, è distribuito in un formato non crittografato, il che lo rende permeabile alle intrusioni da parte di malintenzionati.
Anche i Building Automation System sono in genere gestiti da ingegneri e società di gestione degli edifici, non da dipartimenti IT o società di sicurezza, e ciò può essere un aspetto critico, soprattutto se il sistema BAS viene violato.
Gli hacker e gli edifici smart
Ogni sensore IoT ha un indirizzo IP univoco, che può rappresentare anche il potenziale punto di accesso per gli hacker. Con il numero crescente di dispositivi IoT in ogni ambiente interconnesso, i punti di ingresso (anche) per uno Smart building aumentano in modo esponenziale così come le sue superfici di attacco per le cyber-minacce: con un singolo dispositivo IoT compromesso e violato, se le difese informatiche non sono adeguate un utente malintenzionato può accedere a una rete online molto più ampia e anche all’intera rete IoT.
Con un punto d’ingresso nella rete, i criminali informatici possono sabotare i servizi critici di un edificio in diversi modi: attaccando le centraline per togliere l’energia elettrica e lasciare tutto al buio e bloccare gli ascensori; oppure bloccando l’acqua corrente o attivando allarmi antincendio, impedendo a un hotel ad esempio di rilasciare chiavi magnetiche agli ospiti al ckeck in oppure mandando in tilt i computer e i database che governano le strutture.
Cybersicurezza: i punti critici degli Smart building
Proprio perché uno Smart building è un concentrato di tecnologie, dispositivi e connessioni, le potenziali minacce informatiche possono arrivare da un mix di apparecchi e sistemi. Hacker e cyber-banditi dove e come possono penetrare in uno Smart building per compiere, ad esempio, furti di dati, sabotaggi, estorsioni?
I punti critici di possibile accesso e intrusione sono, tanto per cominciare, i prodotti e le soluzioni di domotica – sistemi di videosorveglianza, cancelli e porte, gestione dei dispositivi domestici, riscaldamento e condizionamento, e tutto ciò che è connesso e manovrabile online –; le piattaforme dei fornitori di tecnologie; componenti hardware, software e applicativi; sistemi di back-end in Cloud; fino ai singoli apparecchi, tablet e smartphone degli utenti finali. Più aumenta la complessità tecnologica di un edificio o di una struttura di immobili, più aumentano le potenziali vulnerabilità informatiche e le necessarie contromisure da prendere.
Evoluzione tecnologica, Cybersicurezza e PropTech
I punti deboli di uno Smart building – che gli hacker possono utilizzare per le loro attività illecite, come manomissioni e richieste di ‘riscatto’ – cominciano, ad esempio, dal lato ‘smart’ e tecnologico degli accessi ai vari sistemi di automazione; le automazioni perimetrali come cancelli, porte, tapparelle; elettrodomestici connessi in rete e via App. Ci sono hacker che, violando questi sistemi, riescono a utilizzare le videocamere di sorveglianza per ‘spiare’ case e altri immobili; altri cyber-criminali compiono sabotaggi e bloccano il funzionamento delle apparecchiature per poi chiedere il pagamento di una somma, spesso in qualche criptovaluta, per rimettere in funziona ciò che hanno manomesso.
Ci possono essere poi delle problematiche di Cybersecurity collegate all’evoluzione delle varie tecnologie: non tutti i dispositivi sono stati pensati e progettati in una logica di cyber-sicurezza connessa, l’obsolescenza in questi campi è piuttosto rapida e diversi modelli di domotica e anche di smartphone non sono particolarmente predisposti per eventuali e probabili aggiornamenti software.
L’importanza della consapevolezza di consumatori e utenti finali
La normativa e le leggi – a livello nazionale e sovranazionale – si stanno muovendo per dare regole più precise, certe e uniformi anche in questi ambiti, il Cybersecurity Act europeo, ad esempio, prevede e impone dei requisiti minimi per i livelli di sicurezza, ma le sue disposizioni non sono ancora obbligatorie, lo saranno entro il 2023, a meno che le varie crisi a livello internazionale, dalla guerra in Ucraina allo scenario energetico, non indurranno a spostare più in là certi adeguamenti della produzione industriale.
Molti produttori di tecnologie e domotica, in ogni caso, e senza aspettare obblighi normativi, si stanno attrezzando per progettare e realizzare strumenti e sistemi più robusti e impermeabili dal punto di vista della sicurezza e affidabilità informatica.
E un altro elemento importante, per la maturazione del settore, è anche rappresentato dall’awareness, dalla consapevolezza, del consumatore e utente finale. C’è poi anche un discorso di costi e prezzi: un prodotto domotico e interconnesso più sicuro ha costi diversi e più alti rispetto a una versione basic, anche se la gamma più o meno alta di prezzo non rispecchia necessariamente le performance e le caratteristiche tecniche di un prodotto, anche per ciò che riguarda la Cybersecurity.
Secure Network, per unire Smart building e Cybersicurezza
“Per certi aspetti, per quanto riguarda la Cybersecurity applicata agli Smart building, siamo ancora a uno scenario poco maturo e in fase di evoluzione”, rimarca Alvise Biffi, amministratore delegato di Secure Network, vicepresidente di Assolombarda. “Più aumenterà e si diffonderà il cyber-crimine anche nel mondo delle tecnologie applicate all’edilizia e al Real Estate, più cresceranno minacce e attacchi informatici a case, uffici e immobili, e di pari passo aumenterà la sensibilità verso questi problemi e rischi”, sottolinea Biffi.
Secure Network è una realtà specializzata proprio nell’unire tra loro, e far funzionare insieme, Smart building e Cybersicurezza, e sono un numero ancora piuttosto limitato le società di consulenza e le startup focalizzate su questi ambiti della sicurezza informatica applicata agli edifici tecnologici e al PropTech.
Cosa fare per proteggersi o correre ai ripari
Una maggiore sicurezza informatica per Smart building e domotica va innanzitutto pensata e prevista a livello progettuale e di design, dei singoli prodotti e sistemi in connessione tra loro. Intervenire a livello di progetto è molto più semplice ed efficace rispetto a cercare di mettere poi delle ‘toppe’ alle falle informatiche di ogni apparecchiatura.
Poi, sia a livello di singolo prodotto tecnologico e domotico, sia a livello di progetto specifico, che può riguardare un edifico o un quartiere, è possibile realizzare un’analisi e una ‘mappa’ delle potenziali minacce e intrusioni esterne, per poi prendere delle misure adeguate al livello di sicurezza necessario: inutile allestire super-protezioni se non servono, come allo stesso modo non bisogna invece creare barriere troppo deboli quando invece ci sono in gioco funzioni e servizi importanti, e le conseguenze di un cyber-attacco potrebbero essere molto dolorose.
Per ogni progetto in edifici e Smart building è poi possibile e auspicabile realizzare dei ‘penetration test’, delle simulazioni di attacchi informatici, per mettere alla prova le protezioni esistenti, e dopo questi test è necessario applicare un sistema di monitoraggio e verifica costante, nel corso del tempo, per tenere aggiornato e allineato tutto il sistema domotico e i suoi meccanismi di funzionamento.
