News

Cyber Security label per IoT in arrivo negli USA. L’esempio è Singapore

Entro il 2023, la Casa Bianca introdurrà delle “etichette” per garantire la sicurezza degli smart device, prendendo spunto da quanto già fatto nel 2020 dalla città-stato, leader dell’IoT consumer. L’obiettivo immediato è proteggere gli utenti, quello principale e strategico favorire l’innovazione sviluppando standard condivisi. Finlandia e Germania sono i primi e unici Paesi dell’UE che, prima degli USA, si sono mossi analogamente, per evitare frammentazioni normative “rischiose”. 

Pubblicato il 15 Nov 2022

cybersecurity label IoT

Compagni di vita quotidiani di un crescente numero di cittadini, “colleghi” utili e collaboranti nelle aziende, i device IoT potrebbero avere presto una cybersecurity label negli Stati Uniti. Non sono il primo Paese ad avere questa idea, infatti l’intenzione della Casa Bianca è quella di “copiare” il pioniere della sicurezza degli smart device: Singapore.

Già oltre 12 miliardi nel 2021, nonostante il chip shortage i dispositivi IoT saranno sempre più numerosi. Una conferma del fatto che device di questo tipo stanno diventando in molti casi essenziali nella vita privata e lavorativa degli abitanti di quasi tutti i Paesi del globo, più o meno sviluppati. Secondo le stime di IoT Analytics, nel 2023 gli IoT raggiungeranno la cifra di 14,4 miliardi (+18% rispetto al 2021) e, nel 2027, quella di 27 miliardi. Eppure, il settore non dispone ancora di alcun metodo condiviso a livello globale per misurare la qualità della sicurezza dei prodotti.

Questo “buco” normativo lascia spazio ai criminali informatici, mettendo a rischio gli utenti o inducendoli a un atteggiamento diffidente e sospettoso. Senza standard condivisi, infatti, è e resterebbe non garantito il diritto di sapere se e come questi dispositivi connessi proteggono i loro dati, automaticamente raccolti o consapevolmente trasmessi.

Entro il 2023 etichette per smart device più sicuri, ma ad adesione volontaria

Governi e aziende, più consapevoli di questa prospettiva rispetto alla maggior parte dei cittadini, si stanno muovendo per rimediare. Gli Stati Uniti sono un esempio, un esempio che, mediaticamente e strategicamente, potrà in futuro avere un notevole peso.

Il loro impegno per le IoT cybersecurity label è iniziato nel 2021, grazie a un ordine esecutivo del presidente Joe Biden. Negli scorsi giorni il governo statunitense ha discusso di questo con la Federal Communications Commission (FCC) e i rappresentanti di aziende tech e telco Google, AT&T, Cisco, Intel, Samsung e altri. Una tappa intermedia per aggiornarsi sullo status di definizione delle modalità di progettazione e di utilizzo delle label.

Il progetto è ancora in evoluzione, gli standard USA dovrebbero essere introdotti entro la primavera del 2023 e, inizialmente, l’adesione sarà volontaria. Le prime informazioni incluse saranno relative a quantità di dati raccolti, esposizione alle più comuni vulnerabilità, crittografia dei dati e interoperabilità. Tale sistema è liberamente ed esplicitamente ispirato a quanto già realizzato sull’etichettatura da Singapore. Non è una scelta casuale: questo Paese è considerato un leader mondiale nell’IoT, un pioniere, non solo a livello normativo.

Nel 2014, ha lanciato l’iniziativa Smart Nation per la raccolta dati e la digitalizzazione dei servizi pubblici. Un programma che ha permesso di incorporare l’IoT interoperabile e l’automazione in tutti gli aspetti della vita, compresi i trasporti, la sanità, la ristorazione e la logistica. Questa accelerazione nella diffusione di smart device ha reso necessaria, se non inevitabile, la realizzazione del Cybersecurity Labelling Scheme (CLS), lanciato nell’ottobre 2020.

Verso l’Universal Cybersecurity Labelling Framework (UCLF) per l’IoT

Lo schema introdotto da Singapore, anch’esso per ora in gran parte volontario, prevede quattro livelli. Una scelta compiuta pensando soprattutto a sviluppatori e produttori che, adeguandosi gradualmente, possono “risalire” la scala di sicurezza senza subire impatti economici negativi. Il sistema si basa su un numero di asterischi, assegnati a seconda dei test e delle valutazioni a cui il prodotto è stato sottoposto. Si parte dal livello uno, per prodotti che soddisfano i requisiti di sicurezza di base (garanzia di password predefinite univoche, fornitura di aggiornamenti software) fino ad arrivare al quarto e ultimo livello. In questo caso si hanno solo prodotti approvati in laboratori di terze parti e che soddisfano i requisiti del livello tre.

Prima degli Stati Uniti, altri Paesi hanno ritenuto questo schema un utile esempio per implementare cybersecurity label nel proprio contesto. Nell’Unione Europea la prima è stata la Finlandia, seguita questo autunno dalla Germania. Entrambe hanno firmato un accordo di mutuo riconoscimento dei rispettivi meccanismi di classificazione della sicurezza per smart device, soprattutto per il mercato consumer. Dagli altoparlanti intelligenti fino ai robot domestici, ma anche hub di automazione domestica o dispositivi medici. I vantaggi principali sono di tipo economico, e sono anche i più immediati ed evidenti. Da un lato si risparmiano tempo e risorse evitando duplicazioni di test, dall’altro si abbattono le barriere di accesso a nuovi potenziali mercati.

Con la diffusione di sistemi di etichettatura simili tra loro, si incoraggiano anche i produttori a tener conto della sicurezza nel progettare device IoT. Un effetto positivo di breve-lungo termine da non trascurare, anche se il vero obiettivo comune è quello di evitare la frammentazione degli standard IoT. Un obiettivo oggi sempre più urgente, sia per difendere i consumatori da attacchi cyber condotti attraverso dispositivi IoT non testati, sia per favorire l’innovazione. Senza standard condivisi a livello globale, le possibilità di evoluzione tecnologica e commerciale, infatti, crollano.

Anche in questo contesto, è stato Singapore a fare il primo passo ed è quasi pronta la sua proposta: l’ISO 27404 per definire un Universal Cybersecurity Labelling Framework (UCLF) dedicato all’IoT per il B2C. Si avrebbe così una guida a disposizione di tutti i Paesi che in futuro intendono seguire le orme di Finlandia, Germania e USA.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3