Dispositivi connessi, servono standard comuni di sicurezza informatica: ecco le priorità - Cyber Security 360

L'APPROFONDIMENTO

Dispositivi connessi, servono standard comuni di sicurezza informatica: ecco le priorità

La sempre maggiore diffusione delle connessioni IoT offre enormi vantaggi all’industria digitale in termini di riduzione dei costi e miglioramento della safety, ma al tempo stesso rende necessaria l’adozione di standard comuni di sicurezza informatica per i dispositivi connessi e i servizi associati. Il quadro

07 Ott 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Saranno 83 miliardi le connessioni IoT esistenti entro i prossimi tre anni, con il settore industriale a rappresentarne oltre il 70%: sono i numeri impressionanti del recente rapporto di Juniper Research che, di fatto, sanciscono la centralità della sicurezza informatica dei dispositivi connessi: un tema che occorre affrontare e approfondire sia a livello tecnico sia a livello normativo.

D’altronde, il processo di convergenza tra IT e OT è ormai inarrestabile e la sempre maggiore diffusione del 5G non farà altro che moltiplicare le connessioni IoT con un conseguente notevole aumento della possibile superficie di attacco.

5G, il ruolo della nuova Agenzia per la cybersecurity nello sviluppo tecnologico

Dispositivi connessi: la posizione dell’Europa

In tal senso è importante l’annuncio della presidente della Commissione europea Ursula von der Leyen relativo proprio all’introduzione di una legge dell’Unione Europea sulla sicurezza informatica per i dispositivi connessi.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Nel suo discorso sullo Stato dell’Unione pronunciato alla plenaria del Parlamento europeo a Strasburgo lo scorso 15 settembre, la von der Leyen ha dichiarato che la rapida diffusione delle tecnologie digitali “è stato un grande equalizzatore nel modo, ma il suo potere può essere usato oggi da stati o gruppi non statali per attaccare le infrastrutture critiche, come le pubbliche amministrazioni o gli ospedali, Poiché le risorse sono scarse, occorre unire le forze nel cercare non solo di affrontare ogni minaccia, ma diventare leader nella sicurezza informatica. Se tutto è connesso, tutto può essere violato”.

Come parte della strategia di sicurezza informatica dell’UE, la Commissione ha annunciato l’intenzione di introdurre norme finalizzate a stabilire standard comuni di sicurezza informatica per i dispositivi connessi e i servizi associati.

L’Internet delle cose (IoT) sia con riferimento ai risvolti nei confronti dei consumatori, sia nel mondo industriale, sarà una delle future aree per la certificazione europea della sicurezza informatica ai sensi del Cybersecurity Act.

L’istituzione di un quadro comune di certificazione favorirebbe la sicurezza informatica by design dei prodotti informatici, inclusi i dispositivi IoT.

L’ENISA definisce l’Internet delle cose (IoT) come “un ecosistema cyber-fisico di sensori e attuatori interconnessi, che permettono di prendere decisioni intelligenti”. È l’evoluzione naturale dell’informatica, ma le minacce e i rischi legati ai dispositivi, ai sistemi e ai servizi IoT sono molteplici e si evolvono velocemente, con un enorme impatto sulla sicurezza dei cittadini e la privacy.

Dispositivi connessi: servono specifiche misure di sicurezza

Risulta, quindi, estremamente importante capire cosa deve essere protetto e sviluppare misure di sicurezza specifiche per proteggere l’Internet delle cose dalle minacce informatiche.

Una grande sfida nel definire le misure di sicurezza per l’IoT è la complessità che comportano l’ampiezza e la diversità delle aree di applicazione.

L’iniziativa della Commissione con il Cyber Resilience Act, si aggiunge alla proposta di direttiva sulla sicurezza dei sistemi di rete e di informazione, c.d. NIS2, allo scopo di espandere l’ambito di applicazione della direttiva NIS vigente aggiungendo nuovi settori, rafforzare gli obblighi delle imprese in materia di sicurezza e comunicazione, aumentare i requisiti di sicurezza informatica per i servizi digitali impiegati in settori critici dell’economia e della società.

Direttiva NIS 2, le raccomandazioni dell’EDPS: focus su crittografia end-to-end e cooperazione tra autorità

Nell’intervista rilasciata a Euractiv, Bart Groothuis, il legislatore responsabile del dossier NIS2 al Parlamento europeo ha dichiarato: “L’internet delle cose porterà sul mercato molti prodotti non sicuri perché la sicurezza spesso non è nella mente dei produttori di queste macchine. E non c’è ancora uno standard europeo da mantenere. È bello avere una macchina per il caffè intelligente, ma è anche un modo per gli hacker di entrare nei sistemi informatici di casa”.

Il Gruppo Euroconsumers, membro di ICRT (International Consumer Research and Testing – un’organizzazione indipendente impegnata nello sviluppo di un protocollo di test IoT per valutare la sicurezza dei prodotti dal cyberattacco), ha valutato i rischi cyber dei dispositivi connessi usando metodi di hacking etico per dimostrare che la maggior parte dei dispositivi domestici intelligenti mancava di standard basici di sicurezza informatica. Els Bruggeman, portavoce di Euroconsumers ha affermato: “Se la Commissione vuole diventare un leader nella sicurezza informatica, deve lavorare su un approccio comune dell’UE alle minacce informatiche che consenta ai consumatori di avere fiducia nell’IoT”.

Preoccupazioni e richieste dell’industria digitale

Preoccupazioni simili sulla necessità di definire i requisiti di base della sicurezza informatica sono state sollevate anche da DigitalEurope, l’associazione europea di categoria delle industrie digitali.

In un recente rapporto, l’associazione di categoria ha avvertito che i regolamenti esistenti sulla sicurezza dei prodotti non sono riusciti a stabilire obblighi di sicurezza informatica per i dispositivi connessi. Il Direttore Generale di DigitalEurope Cecilia Bonefeld-Dahl ha accolto con favore il Cyber Resilience Act, ma ha messo in guardia sulla eccessiva proliferazione di proposte dell’UE per regolare l’ambiente informatico.

Infatti, sul tavolo restano diverse proposte, oltre alla direttiva NIS2, tra cui una direttiva sulla resilienza delle entità critiche che forniscono servizi essenziali in UE, la direttiva Digital Operational Resilience Act sulla resilienza operativa digitale più settoriale che affronta il tema della cyber-resilienza del settore finanziario, e diversi regolamenti sulla sicurezza dei prodotti.

“Abbiamo bisogno di obiettivi più armonizzati e regole facilmente attuabili se vogliamo ottenere la giusta protezione per i cittadini europei e aiutare l’industria europea a costruire capacità di sicurezza informatica su scala”, ha detto Bonefeld-Dahl.

Il deputato Groothuis, ha chiesto un sistema di nomi di dominio (DNS) a livello europeo. I DNS sono infrastrutture critiche per la governance globale di Internet e sono gestiti da una manciata di entità non europee, il che rende difficile per i paesi dell’UE affrontare attacchi informatici su larga scala o vulnerabili alle tensioni geopolitiche.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5