NIST: Linee guida per la sicurezza dei sistemi RFID (parte seconda)

Sintesi dell’Executive Summary delle “Guidelines for Securing Radio Frequency Identification (RFID) Systems” (pdf   1,5 M) del NIST . I rischi connessi all’utilizzo di questa tecnologia.

Executive Summary

Cos’è la tecnologia RFID

Come tutte le tecnologie, anche i sistemi RFID (Radio Frequency Identification) comportano rischi per la sicurezza e la privacy, rischi che devono essere gestiti e mitigati con controlli di tipo gestionale, operativi e tecnici. (…)
RFID è una tecnologia per identificazione e cattura dei dati (Automatic Identification and Data Capture - AIDC) che usa campi magnetici od elettrici per trasmettere i dati via radio.
Un sistema RFID può essere usato per identificare e tenere sotto controllo sia oggetti, ad esempio beni in un magazzino, sia esseri viventi come animali e persone. Ogni oggetto o essere vivente deve essere identificato mediante un cosiddetto “RFID tag” attaccato o inserito internamente all’oggetto (o essere umano).Tale tag ha un identificatore unico e può, opzionalmente, contenere ulteriori informazioni sull’oggetto (o essere vivente) che lo trasporta (…)

Sicurezza degli RFID

I sistemi RFID possono esser usati in una grande varietà di applicazioni ciascuna delle quali soggetti a rischi diversi; dunque la sicurezza può essere garantita solo a partire da specifici controlli di sicurezza adatti (e progettati) per la specifica applicazione.
I fattori da prendere in considerazione sono d seguito sintetizzati.

  • L’obiettivo funzionale dell’applicazione; si vuole localizzare il portatore di tag, autenticare una persona, effettuare una transazione finanziaria o garantire che certe componenti non siano separate?
  • La natura delle informazioni gestite e generate dai sistemi RFID. Si tratta, inoltre, di informazioni sensibili?
  • L’ambiente fisico e tecnologico dove avviene la transazione RFID.
  • Gli aspetti economici dei processi di business e dei sistemi RFID coinvolti. Molti tag RFID non hanno nessuna funzione di sicurezza innata; dunque prevedere funzionalità come la cifratura delle informazioni gestite.

(…)

Rischi

I rischi principali associati ai sistemi RFID sono i seguenti.

  • Business process risk. Attacchi diretti alle componenti dei sistemi RFID possono potenzialmente rendere non più operativi i processi di business nei quali sono impiegati tali sistemi. Per esempio un magazzino che utilizza esclusivamente un tracking con RFID per la movimentazione delle parti potrebbe non essere più in grado di processare gli ordini in modo tempestivo se il sistema RFID non fosse più disponibile.
  • Business intelligence risk. Un competitor ostile potrebbe ottenere un accesso non autorizzato alle informazioni generate dagli RFID ed usarle in maniera illegale. Ad esempio si potrebbe usare le informazioni RFID per determinare se un particolare container contiene componenti elettronici costosi per rubarli.
  • Privacy risk. Il diritto alla privacy può essere compromesso o indebolito dal trattamento di dati RFID per finalità diverse da quelle previste in origine. Le persone saranno sempre più identificabili dai propri tag per cui certe organizzazioni potrebbero ottenere profilazioni non autorizzate ad esempio sulle abitudini di consumo o gli spostamenti delle persone semplicemente combinando le informazioni provenienti da tag diversi.
  • Externality risk. La tecnologia RFID può rappresentare un potenziale minaccia per i sistemi di networking, per gli asset e per le persone. Per esempio si potrebbe ottenere un accesso non autorizzato alla rete ed ai sistemi IT di una azienda sfruttando un lettore RFID che usa l’Internet Protocol (IP) se il lettore non è progettato e configurato in maniera appropriata.

(…)

Ciclo di vita

Per essere veramente efficaci, i controlli di sicurezza RFID devono tener conto dell’intero ciclo di vita dei sistemi RIFID: dalla politiche di sviluppo, alle progettazione, al ritiro dal mercato. Al momento molti prodotti RFID supportano solo una piccola parte dei possibili meccanismi di protezione. I tag, in particolare, utilizzati per le applicazioni di asset management non supportano l’autenticazione, il controllo accessi, la cifratura e molte delle misure di sicurezza che viceversa sono ormai standard negli altri sistemi IT di business.

Fine seconda parte

Leggi prima parte  

AG-Vocabolario: