Standard

Sicurezza IoT: entro la primavera una etichetta per i dispositivi consumer?

Gli Stati Uniti intenzionati ad accelerare sulla definizione di uno standard per corredare i dispositivi IoT destinati al mercato consumer di etichette, che informino sulle caratteristiche di sicurezza: aggiornamenti del firmware, dati raccolti, condivisione dei dati, modalità di accesso

Pubblicato il 05 Gen 2023

Immagine fornita da Shutterstock

Non v’è dubbio che lo scorso anno uno dei temi più dibattuti in relazione all’Internet of Things e alle sue applicazioni sia stata la sicurezza.
Sicurezza dei dispositivi, sicurezza delle piattaforme, vulnerabilità e rischi sono stati al centro dell’attenzione, anche a causa del crescente numero di attacchi mirati proprio ai dispositivi connessi che sono al cuore di molte soluzioni destinate al mondo industriale, alle famiglie, alle città.
Non stupisce dunque la scelta del National Security Council (NSC) della Casa Bianca, che ha annunciato di essere al lavoro per mettere a punto già entro la primavera di quest’anno una sorta di sistema di etichettatura standard e convenzionale, che aiuti da un lato i consumatori a una maggiore consapevolezza e dall’altro incoraggi le imprese che operano nel settore a investire per rendere i propri prodotti più sicuri.

Etichette per i dispositivi IoT: focus sul mercato consumer

Al centro dell’attenzione, in questa fase, sono soprattutto i dispositivi destinati al mercato consumer, dagli elettrodomestici ai dispositivi personali, spesso acquistati senza prestare la dovuta attenzione non solo alle caratteristiche tecniche o alle funzionalità ma anche agli aspetti di sicurezza.
Soprattutto, ed è qui che l’Amministrazione USA sembra sollevare un punto di riflessione, la percezione è che i produttori di queste tipologie di dispositivi, dalle lampadine intelligenti ai rilevatori di fumo domestici, siano i primi a non prestare la dovuta attenzione al tema.
In realtà, come abbiamo avuto più volte modo di evidenziare su queste pagine, in uno scenario in cui i perimetri sono sempre meno definiti, i dispositivi IoT rappresentano potenziali rischi per la sicurezza.
E i dispositivi destinati all’utenza consumer spesso non offrono funzionalità importanti come regolari aggiornamenti del firmware, men che meno un approccio Zero Trust.

Non solo USA: al lavoro anche l’Europa. Gli apripista Finlandia e Singapore

Va detto che gli Stati Uniti stanno lavorando di stretto concerto con gli enti preposti dell’Unione Europea, che da tempo è al lavoro su questo stesso tema e su questi stessi obiettivi.
Sistemi di etichettatura sono stati messi a punto anche in Finlandia e a Singapore, Paese che ha già avanzato una proposta per uno standard internazionale, ISO 27404, che definisce un Universal Cybersecurity Labelling Framework (UCLF) per l’IoT consumer.
L’obiettivo “urgente” è arrivare alla definizione di uno standard che possa essere adottato e applicato a livello globale.

I fattori di rischio: quali informazioni sulle etichette

La base dei lavori in corso, ai quali partecipano, va detto, aziende private ed enti e associazioni americane ed europee, è rappresentata da uno studio della Carnegie Mellon University nel quale sono evidenziati i 47 fattori di rischio per la privacy e la sicurezza, raggruppati in cinque categorie chiave:

  • 1. Aggiornamenti di sicurezza
  • 2. Controllo degli accessi
  • 3. Tipologia di sensori
  • 4. Posizioni di archiviazione dei dati
  • 5. Condivisione dei dati.

Queste informazioni – è l’idea alla base del sistema di etichettatura – dovrebbero essere chiaramente visualizzate sulla confezione di ciascun dispositivo, insieme a un codice QR che possa dare accesso a informazioni aggiuntive anche in relazione alla politica sulla privacy dell’azienda produttrice.
Il consumatore dovrebbe poter sapere in modo chiaro e semplice con quale frequenza i produttori implementano le patch; dovrebbe capire se il dispositivo acquistato si connette a Internet senza richiedere una password o se supporta; dovrebbe avere evidenza di quali sono i sensori integrati nel dispositivo e quali sono i dati che possono acquisire; ancor di più dovrebbe sapere qual è la destinazione dei dati raccolti, chi vi può avere accesso e con quali finalità, dove vengono archiviati i dati e come vengono utilizzati.

Chi sta partecipando ai lavori di definizione dello standard

Lo scorso mese di ottobre, una nota della Casa Bianca, a firma di Adrienne Watson, portavoce del Nation Security Council, aveva paragonato il programma di etichettatura come una iniziativa simile a quanto già fatto con il programma Energy Star per migliorare l’efficienza energetica dei prodotti destinati al mercato consumer.
Nella nota, per altro, Watson aveva reso noti i nomi delle aziende e degli enti con cui l’amministrazione Usa sta lavorando. Oltre ad Amazon, AT&T, Cisco Systems, Comcast, Google, Intel, ioXt, LG, Samsung, Sony e UL Solutions, troviamo l’American National Standards Institute, la Consumer Technology Association, la Connectivity Standards Alliance, la CTIA,la  National Retail Federation, così come la Federal Trade Commission e la Commissione Europea.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3