Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

security by design

Sicurezza dei dispositivi smart, il Regno Unito detta le regole: ecco gli effetti

Una nuova legge appena presentata dal Governo inglese costringerà i produttori di dispositivi smart ad adottare lo sviluppo basato sul principio di security by design, con standard di sicurezza più elevati utili a proteggere milioni di dispositivi smart (domestici e non) dai cyber attacchi. Ecco i dettagli

28 Gen 2020
V
Nicola Vanin

Data Governance & Information Security Senior Manager


Il Governo inglese ha presentato una nuova legge per aiutare a proteggere milioni di dispositivi smart (domestici e non) connessi a Internet dalla minaccia di attacchi informatici.

Lo shake-up imposto dal governo è una spinta per migliorare le protezioni digitali e stabilire standard di sicurezza più elevati nel numero crescente di articoli “intelligenti” per la casa.

Le misure indicano che tutti i dispositivi smart di consumo venduti nel Regno Unito dovranno rispettare tre requisiti di sicurezza:

  1. avere password univoche e nessuna opzione di “ripristino delle impostazioni di fabbrica”;
  2. le funzioni di segnalazione per le vulnerabilità devono essere create da tutti i produttori;
  3. i consumatori devono essere informati del tempo minimo in cui gli aggiornamenti di sicurezza saranno ricevuti per i prodotti nel punto vendita.

La security by design per proteggere i dispositivi smart

Questa nuova proposta di legge costringe di fatto le aziende che producono e vendono dispositivi connessi a Internet ad adottare tutte le necessarie policy di cyber security utili per impedire ai criminal hacker di minacciare la privacy e la sicurezza delle persone.

Significa che standard di sicurezza robusti sono integrati nella fase di progettazione, secondo il principio della security by design, e non sono aggiustamenti post produzione.

Troppo spesso i produttori non indicano il periodo di tempo minimo durante il quale il dispositivo riceverà aggiornamenti di sicurezza nel punto vendita, sia in negozio che online, il che significa che i dispositivi delle persone potrebbero non essere sicuri.

Le nuove regole vogliono rendere questa situazione un ricordo del passato.

Prima d’ora, i cyber attacchi hanno sfruttato le password predefinite e facili da indovinare sui dispositivi connessi in rete presenti in milioni di case e uffici, mettendo molti a rischio di essere hackerati e potenzialmente spiati.

Molti produttori utilizzano spesso una singola password perché è più semplice nel processo di installazione iniziale.

Tuttavia, molti consumatori non si preoccupano di cambiare questa password o crearne una propria, diventando vulnerabili agli attacchi informatici.

Dalle lavatrici e dai giocattoli per bambini agli assistenti personali, assistiamo sempre più alla nostra vita quotidiana connessa a Internet. Le principali ricerche di settore suggeriscono che entro il 2025 ci saranno 75 miliardi di dispositivi connessi a Internet nelle case di tutto il mondo.

Tuttavia, gli attuali standard di sicurezza di molti di questi dispositivi sono bassi e i rischi per la sicurezza e la privacy sono troppo grandi.

Pochi giorni fa, ad esempio, sono stati resi disponibili online i nomi utente per più di 500.000 dispositivi Internet of Things (IoT).

Le altre normative in materia

Il Regno Unito in precedenza aveva solo un “Codice di pratica di security by design” volontario per la sicurezza dell’IoT dei consumatori, adottato nel 2018. Tuttavia, questa è stata una guida e non ha comportato sanzioni per i produttori che non si sono conformati.

C’è da dire, per completezza di informazione, che esistono molti altri tentativi consolidati di regolamentazione della sicurezza IoT a livello globale.

Il più vicino di questi per diventare legge negli Stati Uniti è la proposta del Senato della California 327 (SB-327) che, dal primo gennaio 2020, richiede “caratteristiche di sicurezza ragionevoli o caratteristiche appropriate alla natura e alla funzione del dispositivo”. Il disegno di legge SB-327, proposto per la prima volta il 28 settembre 2018, ha attirato la reazione della comunità della sicurezza, che ha affermato che si trattava di un buon primo passo ma non è andato abbastanza lontano nella regolamentazione della sicurezza dell’IoT.

Nel vecchio Continente, oltre al GDPR che impone ai produttori dei dispositivi di concentrarsi sugli aspetti relativi alla sicurezza già in fase di progettazione e realizzazione e non in seguito alla loro commercializzazione, l’Unione Europea ha alzato una nuova linea di difesa con il Cybersecurity Act. Ossia, il regolamento che assegna all’agenzia comunitaria per la sicurezza informatica, l’ENISA, nuovi compiti e risorse per proteggere il vecchio continente dagli attacchi hacker e che metterà nero su bianco l’introduzione di una certificazione per gli oggetti connessi.

Le aziende di elettronica dovranno passare i test europei prima di poter vendere un apparecchio smart, dalla telecamera al frigorifero, e garantire la sicurezza dei dati raccolti e trasmessi.

Esiste poi una pletora di raccomandazioni, programmi e progetti mirati a sensibilizzare il tema della sicurezza nell’uso dei dispositivi IoT. Fra questi si può annoverare il lavoro dell’ENISA dedicato alla realizzazione di linee guida in tema di sicurezza di infrastrutture critiche basate su tecnologie IoT nel settore automobilistico, nelle case e nelle smart city.

Infine, nell’ambito dei progetti di ricerca, la Commissione Europea ha finanziato il progetto USEIT finalizzato allo sviluppo di nuovi algoritmi di crittografia, linguaggi di policy e strumenti di sicurezza a tutela dell’utente dei dispositivi IoT con l’obiettivo di garantire ad esso un accesso riservato e sicuro.

Conclusioni

La domanda, a questo punto, è se le nuove leggi proposte dal governo inglese rappresentino davvero l’approccio migliore per garantire la sicurezza informatica dei dispositivi smart.

Lo spazio IoT del consumatore è un ecosistema incredibilmente frammentato ed embrionale. Ci sono un numero enorme di inventori che tentano di creare la prossima grande cosa e aziende che tentano di integrare la connettività in tutto o in qualsiasi cosa. Sono molte le parti in movimento e particolarmente elevate le probabilità che qualcosa vada storto.

Alcune aziende potrebbero smettere di offrire aggiornamenti di sicurezza. Nella folle corsa alla commercializzazione dei prodotti, alcuni elementi potrebbero essere trascurati. E, naturalmente, ci sono quelli che semplicemente ignoreranno le regole.

Potrebbe sembrare una visione negativa, ma è la realtà. Il governo inglese sta facendo qualcosa di importante suggerendo questa nuova legge, è certamente un progresso per creare un mercato di prodotti smart più attenti alla sicurezza, ma ovviamente ci sono anche sfide da tenere presente.

Nel creare queste nuove regole, l’ecosistema viene costretto a seguire la strada giusta, mentre promuove il concetto di sicurezza informatica anche nelle menti del consumatore. Più il consumatore è consapevole e impaurito dei pericoli di una società digitale, più è probabile che spenda soldi per l’acquisto di prodotti sicuri.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5