Nelle più recenti conferenze sulla sicurezza informatica uno degli argomenti maggiormente trattati è stato quello della sicurezza degli “Smart Building”. Questi ultimi sono gli edifici (di nuova realizzazione, ma non solo) nei quali è stato fatto un uso massiccio di tecnologie informatiche, per integrare o sostituire i vecchi sistemi di controllo delle funzioni vitali degli ambienti. 

Stiamo parlando della gestione dell’energia, illuminazione, riscaldamento, ma anche movimentazione degli ascensori, controllo accessi, videosorveglianza, antincendio, ecc. L’evoluzione tecnologica degli IoT ha permesso, infatti, di arricchire gli edifici con reti di sensori e attuatori al tempo stesso sofisticati ed economici. Queste soluzioni sono sempre più utilizzate dai proprietari degli edifici per conseguire un importante efficientamento in termini di energia e risorse.

Il rovescio della medaglia è costituito dalle potenziali vulnerabilità di queste reti di IoT. Molto spesso i fornitori di tali sistemi non hanno sviluppato questi apparecchi applicando i concetti di “Security-by-design/Security-by-default”, che dovrebbero ormai essere sempre  applicati nei moderni sistemi informatici.

Sono già state individuate moltissime vulnerabilità nei sistemi BAS (Bulding Automation Systems) e sono già noti casi di attacchi (riusciti) contro tali infrastrutture. Lo scenario peggiore è quello di ritrovarsi un edificio “in ostaggio” di cybercriminali che hanno il controllo completo delle sue funzioni vitali e che magari esigono un riscatto per riportare la situazione alla normalità.

Le best practice suggeriscono quindi di effettuare degli assessment di sicurezza dedicati su tali sistemi, che possano comprendere sia l’infrastruttura tecnica che le procedure e le politiche di gestione, esattamente come si deve fare per i sistemi informativi delle aziende.  Metodologie simile, ma strumenti ovviamente differenti e specializzati, per individuare e correggere le vulnerabilità dei BAS.