Non v’è dubbio che lo scorso anno uno dei temi più dibattuti in relazione all’Internet of Things e alle sue applicazioni sia stata la sicurezza.
Sicurezza dei dispositivi, sicurezza delle piattaforme, vulnerabilità e rischi sono stati al centro dell’attenzione, anche a causa del crescente numero di attacchi mirati proprio ai dispositivi connessi che sono al cuore di molte soluzioni destinate al mondo industriale, alle famiglie, alle città.
Non stupisce dunque la scelta del National Security Council (NSC) della Casa Bianca, che ha annunciato di essere al lavoro per mettere a punto già entro la primavera di quest’anno una sorta di sistema di etichettatura standard e convenzionale, che aiuti da un lato i consumatori a una maggiore consapevolezza e dall’altro incoraggi le imprese che operano nel settore a investire per rendere i propri prodotti più sicuri.
Etichette per i dispositivi IoT: focus sul mercato consumer
Al centro dell’attenzione, in questa fase, sono soprattutto i dispositivi destinati al mercato consumer, dagli elettrodomestici ai dispositivi personali, spesso acquistati senza prestare la dovuta attenzione non solo alle caratteristiche tecniche o alle funzionalità ma anche agli aspetti di sicurezza.
Soprattutto, ed è qui che l’Amministrazione USA sembra sollevare un punto di riflessione, la percezione è che i produttori di queste tipologie di dispositivi, dalle lampadine intelligenti ai rilevatori di fumo domestici, siano i primi a non prestare la dovuta attenzione al tema.
In realtà, come abbiamo avuto più volte modo di evidenziare su queste pagine, in uno scenario in cui i perimetri sono sempre meno definiti, i dispositivi IoT rappresentano potenziali rischi per la sicurezza.
E i dispositivi destinati all’utenza consumer spesso non offrono funzionalità importanti come regolari aggiornamenti del firmware, men che meno un approccio Zero Trust.
Non solo USA: al lavoro anche l’Europa. Gli apripista Finlandia e Singapore
Va detto che gli Stati Uniti stanno lavorando di stretto concerto con gli enti preposti dell’Unione Europea, che da tempo è al lavoro su questo stesso tema e su questi stessi obiettivi.
Sistemi di etichettatura sono stati messi a punto anche in Finlandia e a Singapore, Paese che ha già avanzato una proposta per uno standard internazionale, ISO 27404, che definisce un Universal Cybersecurity Labelling Framework (UCLF) per l’IoT consumer.
L’obiettivo “urgente” è arrivare alla definizione di uno standard che possa essere adottato e applicato a livello globale.
I fattori di rischio: quali informazioni sulle etichette
La base dei lavori in corso, ai quali partecipano, va detto, aziende private ed enti e associazioni americane ed europee, è rappresentata da uno studio della Carnegie Mellon University nel quale sono evidenziati i 47 fattori di rischio per la privacy e la sicurezza, raggruppati in cinque categorie chiave:
- 1. Aggiornamenti di sicurezza
- 2. Controllo degli accessi
- 3. Tipologia di sensori
- 4. Posizioni di archiviazione dei dati
- 5. Condivisione dei dati.
Queste informazioni – è l’idea alla base del sistema di etichettatura – dovrebbero essere chiaramente visualizzate sulla confezione di ciascun dispositivo, insieme a un codice QR che possa dare accesso a informazioni aggiuntive anche in relazione alla politica sulla privacy dell’azienda produttrice.
Il consumatore dovrebbe poter sapere in modo chiaro e semplice con quale frequenza i produttori implementano le patch; dovrebbe capire se il dispositivo acquistato si connette a Internet senza richiedere una password o se supporta; dovrebbe avere evidenza di quali sono i sensori integrati nel dispositivo e quali sono i dati che possono acquisire; ancor di più dovrebbe sapere qual è la destinazione dei dati raccolti, chi vi può avere accesso e con quali finalità, dove vengono archiviati i dati e come vengono utilizzati.
Chi sta partecipando ai lavori di definizione dello standard
Lo scorso mese di ottobre, una nota della Casa Bianca, a firma di Adrienne Watson, portavoce del Nation Security Council, aveva paragonato il programma di etichettatura come una iniziativa simile a quanto già fatto con il programma Energy Star per migliorare l’efficienza energetica dei prodotti destinati al mercato consumer.
Nella nota, per altro, Watson aveva reso noti i nomi delle aziende e degli enti con cui l’amministrazione Usa sta lavorando. Oltre ad Amazon, AT&T, Cisco Systems, Comcast, Google, Intel, ioXt, LG, Samsung, Sony e UL Solutions, troviamo l’American National Standards Institute, la Consumer Technology Association, la Connectivity Standards Alliance, la CTIA,la National Retail Federation, così come la Federal Trade Commission e la Commissione Europea.