Sicurezza nell’IoT, la regolamentazione federale degli Stati Uniti: i primi tasselli - Cyber Security 360

TECNOLOGIA E SICUREZZA

Sicurezza nell’IoT, la regolamentazione federale degli Stati Uniti: i primi tasselli

Con l’Internet of Things Cybersecurity Improvement Act of 2020 gli Stati Uniti pongono i primi tasselli per una regolamentazione a livello federale della sicurezza informatica dei dispositivi IoT. Ecco tutti i dettagli

12 Gen 2021
M
Marco Martorana

Avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

S
Roberta Savella

Avvocato praticante presso Studio Legale Martorana

L’Internet of Things Cybersecurity Improvement Act of 2020, firmato lo scorso 4 dicembre 2020 dal Presidente Trump, rappresenta il primo tassello di una più ampia regolamentazione federale degli Stati Uniti in ambito di sicurezza nell’IoT.

Negli USA erano già presenti normative statali per disciplinare la sicurezza nell’IoT (in particolare quelle entrate in vigore nel gennaio 2020 in California e in Oregon), ma l’atto firmato da Trump è il primo passo verso una regolamentazione a livello federale di questo settore; anche se, come vedremo, ancora in maniera parziale e generica.

Si tratta, in ogni caso, di un documento particolarmente significativo, adottato unanimemente da tutte le parti politiche e che potrebbe potenzialmente influenzare le scelte di sicurezza delle imprese produttrici di dispositivi IoT anche oltre il limitato ambito di applicazione della nuova normativa.

Il contenuto dell’IoT Cybersecurity Improvement Act of 2020

La nuova legge statunitense prevede dei meccanismi di emanazione di standard, linee guida e di controlli relativi agli oggetti IoT utilizzati dalle agenzie governative.

La definizione di “Internet of Things devices” riprende quella fornita nel gennaio 2020 dal National Institute for Standards and Technology (NIST) nel Report 8259 intitolato “Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline”, in base alla quale si tratta di dispositivi che:

  1. hanno almeno un trasduttore per interagire direttamente con il mondo fisico, almeno una interfaccia di rete e non sono dispositivi convenzionali IT come gli smartphone o i computer portatili;
  2. possono funzionare autonomamente e non soltanto quando sono componenti di un altro dispositivo.

L’IoT Cybersecurity Improvement Act of 2020 è volto ad assicurare la sicurezza informatica di questo tipo di strumenti nel contesto dell’attività delle agenzie governative.

Sicurezza nell’IoT: gli adempimenti dell’IoT Cybersecurity Improvement Act

Innanzitutto, la Sezione 4 impone al Direttore del NIST di pubblicare entro 90 giorni dall’entrata in vigore dell’Atto degli standard e delle linee guida per il governo federale riguardanti l’uso e la gestione appropriata da parte delle agenzie governative dei dispositivi IoT di proprietà o sotto il controllo di un’agenzia; tali standard e linee guida dovranno includere dei requisiti minimi di sicurezza per affrontare i rischi di cybersecurity associati ai dispositivi.

Inoltre, sempre con riferimento ai contenuti, il Direttore del NIST dovrà assicurarsi che i nuovi documenti si pongano in continuità con le precedenti elaborazioni dell’Institute riguardanti gli esempi di possibili punti deboli nella sicurezza dei dispositivi IoT e le considerazioni su come superarli, tenendo presenti le esigenze di sicurezza nello sviluppo dell’Internet of Things, nell’autenticazione, negli aggiornamenti e nella gestione delle configurazioni.

Entro 180 giorni dalla fine della stesura degli standard e delle linee guida previsti dalla Sezione 4, il Direttore dell’Office of Management and Budget (OMB) dovrà revisionare ed eventualmente aggiornare le policy e i principi sulla sicurezza informatica dell’agenzia governativa, sulla base dei suddetti nuovi documenti. In questa attività egli dovrà consultarsi con il Direttore del Cybersecurity and Infrastructure Security Agency del Dipartimento di Homeland Security.

Gli standard e le linee guida emanati dal Direttore del NIST ai sensi della Sezione 4 verranno poi riesaminati ogni cinque anni e, se necessario, modificati; conseguentemente, anche il Direttore dell’OMB aggiornerà policy e principi dell’agenzia, sempre coordinandosi con il Dipartimento di Homeland Security.

Nella Sezione 5 dell’IoT Cybersecurity Improvement Act of 2020 viene prevista, inoltre, la procedura per l’emanazione di ulteriori linee guida riguardanti due aree:

  1. la segnalazione, la coordinazione, la pubblicazione e la ricezione di informazioni relative a vulnerabilità relative a sistemi informatici di proprietà o sotto il controllo di un’agenzia governativa e la risoluzione di tali punti deboli;
  2. le procedure che le compagnie che forniscono alle agenzie governative sistemi informatici (inclusi dispositivi IoT) e ogni altro soggetto facente parte di tale catena di approvvigionamento devono seguire per la ricezione di informazioni riguardanti una vulnerabilità potenziale nella sicurezza dei sistemi e la diffusione di informazioni relative alla risoluzione di tali problemi.

Queste linee guida dovranno essere pubblicate dal Direttore del NIST entro 180 giorni dall’entrata in vigore dell’Atto, a seguito di consultazioni con i privati esperti del settore e ricercatori di cybersecurity e con il Segretario del Dipartimento di Homeland Security. Dovranno essere il più possibile allineate con gli standard per la divulgazione e gestione delle vulnerabilità (previsti, rispettivamente, negli standard ISO 29147 e ISO 30111).

Sicurezza nell’IoT: policy, principi, standard e linee guida

Ai sensi della Sezione 6 dell’Atto, entro due anni dalla sua emanazione il Direttore dell’OMB, consultandosi con il Segretario del Dipartimento di Homeland Security, dovrà sviluppare e sovrintendere all’implementazione di policy, principi, standard e linee guida riguardanti i punti deboli di sicurezza dei sistemi informatici, compresi i dispositivi di IoT.

Il Segretario del Dipartimento di Homeland Security, invece, in collaborazione con il Direttore dell’OMB, dovrà fornire alle agenzie governative assistenza nel segnalare, coordinare, pubblicare e ricevere informazioni riguardanti vulnerabilità dei sistemi informatici.

La Sezione 7 dell’IoT Cybersecurity Improvement Act of 2020 pone un divieto ai capi delle agenzie governative di procurare, rinnovare un contratto per ottenerli o utilizzare dei dispositivi di IoT quando il Chief Information Officer di quella agenzia determini, a seguito di una valutazione, che l’uso di tali dispositivi non rispetti gli standard e le linee guida emanati ai sensi dell’Atto. Vi sono, tuttavia, alcuni casi che fanno eccezione a questa regola generale:

  1. quando sia necessario per motivi di sicurezza nazionale;
  2. quando ottenere o utilizzare tali dispositivi sia necessario per scopi di ricerca;
  3. quando tali dispositivi siano messi in sicurezza utilizzando metodi alternativi ed efficaci in base alla loro funzione.

Ogni due anni il Comptroller General degli Stati Uniti dovrà fornire al Congress un report relativo all’utilizzo di tali eccezioni, alle best practice per l’approvvigionamento di dispositivi IoT da parte del governo federale e al numero e tipo di ogni dispositivo di IoT per il quale sarà stata applicata una eccezione, specificando quale autorità governativa se ne sia avvalsa.

Sicurezza nell’IoT: verso standard generali?

Come si è visto, l’IoT Cybersecurity Improvement Act 2020 si limita a dettare procedure per l’emanazione di ulteriori documenti che andranno a dare una regolamentazione tecnica e di dettaglio relativa alla sicurezza dei dispositivi di IoT utilizzati dalle agenzie governative statunitensi.

Non sono presenti indicazioni tecniche specifiche, ma si rimanda all’elaborazione successiva di standard e linee guida da parte di organismi specializzati.

Inoltre, la portata della normativa rimane limitata a organismi federali, senza riguardare almeno in prima battuta l’utilizzo dei dispositivi da parte di privati.

Tuttavia, si può auspicare che le conseguenze del nuovo Atto si estenderanno anche oltre il suo limitato ambito di applicazione.

Le linee guida e gli standard elaborati dal NIST potrebbero infatti influenzare le scelte delle compagnie che producono dispositivi di IoT sia per il settore pubblico che per quello privato, per le quali sarebbe decisamente più oneroso seguire due procedure diverse per i due settori con i quali si interfacciano che fare riferimento in tutti i casi alle direttive previste per i dispositivi utilizzati dalle agenzie governative.

L’IoT nell’Unione Europea

Anche nell’Unione Europea già da alcuni anni si discute delle potenzialità dell’Internet of Things, con la consapevolezza che il valore generato da tali dispositivi sia destinato a crescere esponenzialmente e diventare un pilastro dell’economia digitale.

Nel 2015 è stata istituita l’Alliance of Internet of Things Innovation (AIOTI) in seno alla Commissione Europea per supportare la creazione di nuovi modelli di business e un mercato europeo competitivo in questo settore.

Nel contesto della Digital Single Market Strategy della Commissione, viene dato ampio spazio alle riflessioni sull’IoT e su come promuoverne l’utilizzo, nell’ottica di una digitalizzazione progressiva della società.

I documenti normativi adottati in seno a tale strategia, pur non riguardando specificatamente l’Internet of Things, sono idonei in ogni caso a disciplinare alcuni aspetti essenziali per il suo sviluppo: basti pensare al Regolamento UE 2016/679, il famigerato GDPR che, ponendo delle regole a sostegno della circolazione dei dati personali nel rispetto della privacy degli individui, favorisce la creazione e diffusione di sistemi affidabili per quanto riguarda la gestione dei dati dei soggetti, in questo modo fugando alcune delle preoccupazioni più consistenti riguardanti l’utilizzo di dispositivi connessi nella propria vita privata.

Fondamentale è poi il Cybersecurity Act, che prevede l’emanazione di schemi di certificazione europei nel contesto della sicurezza delle tecnologie dell’informazione e della comunicazione, che ricomprende i dispositivi di IoT.

Conclusioni

L’IoT Cybersecurity Improvement Act of 2020 entrato in vigore negli USA è un esemplare tentativo di disciplinare un settore, quello della sicurezza nell’IoT, particolarmente complesso perché in continua evoluzione: il legislatore statunitense ha preso atto di questa problematica, affidando a organismi specialistici l’onere di emanare e aggiornare costantemente regole di dettaglio riguardanti la sicurezza informatica dei dispositivi di IoT e la gestione delle loro vulnerabilità.

Come si è detto sopra, si tratta di un primo passo verso la creazione di standard condivisi, auspicabilmente applicabili anche nel settore privato.

In ogni caso, è sintomo della crescente attenzione da parte delle istituzioni verso nuove tecnologie che andranno a impattare sempre più nelle attività degli organismi governativi e nella vita quotidiana dei cittadini.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5