News

Gli USA etichettano gli IoT più sicuri

Con il Cyber Trust Mark annunciato in piena estate, la Casa Bianca vuole proteggere i consumatori dai rischi legati ai dispositivi connessi, aiutandoli a prendere decisioni informate. L’iniziativa è ben vista perfino dai maggiori rivenditori e dalle big tech, che avranno l’onere e “l’onore” di etichettare i propri prodotti sicuri con uno scudo stilizzato

Pubblicato il 11 Set 2023

Immagine di BeeBright su Shutterstock

Da sempre considerati un anello debole della sicurezza informatica, i dispositivi IoT sono al centro di un avanzato e ambizioso programma di “etichettatura” finalizzato a garantirne la sicurezza. Si tratta di una novità che non riguarda solo le aziende, anzi. L’intenzione è infatti quella di far compiere un passo in avanti al mondo consumer, quello in cui dispositivi del genere stanno spopolando, per certi versi in modo fuori controllo. Basti pensare all’ampia diffusione che si può oggi registrare di fitness tracker, baby monitor e frigoriferi intelligenti… tanto per citare qualche esempio.

Cyber Trust Mark: uno scudo contro i crimini informatici

Tutto ciò sta accadendo dall’altra parte dell’oceano, negli Stati Uniti. Il governo a stelle e strisce ha infatti annunciato a luglio la realizzazione di un “Cyber Trust Mark”. Una mossa indotta dalla consapevolezza che molti dispositivi IoT vengono forniti con password predefinite facili da individuare e non offrono aggiornamenti regolari della sicurezza.

Per evitare di “abbandonare” i consumatori al rischio di hacking, la Casa Bianca ha quindi lanciato un programma ufficiale e articolato per supportarli. L’obiettivo è quello di fornire loro tutti gli strumenti e le informazioni perché possano autonomamente assicurarsi di acquistare dispositivi connessi a Internet che includano solide protezioni di sicurezza informatica contro gli attacchi informatici.

Per prendere decisioni più consapevoli e prudenti, basterà cercare un logo a scudo. È il marchio scelto per per l’U.S. Cyber Trust e apparirà solo sui prodotti che soddisfano i criteri di sicurezza informatica stabiliti dal National Institute of Standards and Technology (NIST).

Si tratta di criteri più o meno scontati ma che, messi nero su bianco e in fila, promettono un aumento del livello di sicurezza medio del settore. Ogni dispositivo, per esempio, dovrà richiedere password predefinite uniche e forti. I dati memorizzati e trasmessi dovranno essere protetti e non potranno mancare aggiornamenti regolari e funzionalità di rilevamento degli incidenti.

L’elenco completo degli standard è ancora in fase di definizione, ma la Casa Bianca non ha perso tempo. Si è già mossa incoraggiando i rivenditori a dare priorità ai prodotti etichettati. Amazon e Best Buy si sono mostrati collaborativi come anche, lato “etichettatori”, grandi aziende tecnologiche come Cisco, Google, LG, Qualcomm e Samsung. Un esordio “sponsorizzato” che fa ben sperare in merito alle sorti dell’iniziativa.

UE Cybersecurity Resilience Act da aggiornare

Le mire di sicurezza IoT statunitensi non finiscono qui: l’etichetta a scudo è solo l’inizio. Un inizio ben visibile e diffuso, preludio di un lavoro di definizione di standard di sicurezza informatica per router di fascia consumer “a più alto rischio”, complesso ma necessario. Gli aggressori, infatti, prendono spesso di mira proprio questi dispositivi per rubare le password e creare botnet che possono essere utilizzate per lanciare attacchi DDoS (distributed denial-of-service). L’obiettivo è quello di metterli in sicurezza entro il 2024.

Per dare continuità all’iniziativa, evitando resti un intervento “spot” solo dimostrativo, il governo ha previsto la realizzazione di un codice QR per collegarsi a un registro nazionale dei dispositivi certificati. Diventerà lo strumento per fornire informazioni aggiornate sulla sicurezza, partendo dalle politiche di aggiornamento del software, fino ad arrivare agli standard di crittografia dei dati e alla correzione delle vulnerabilità.

Una volta protetti i dispositivi di consumo ad alto rischio, il Dipartimento dell’Energia passerà a occuparsi anche dei contatori intelligenti e degli inverter. L’intenzione è quella di sviluppare requisiti di etichettatura di cybersicurezza, stavolta direttamente in collaborazione con partner industriali. Un approccio di ecosistema che assomiglia a quello che vorrebbe intraprendere l’Unione Europea, sullo stesso tema. Per ora, però, c’è solo una richiesta di modifica al Cybersecurity Resilience Act risalente allo scorso febbraio, con cui si vorrebbe migliorare la categorizzazione dei prodotti nell’ambito del Cyber Resilience Act e stabilire parametri per la cybersicurezza dei dispositivi connessi.

Tale intento riguarderebbe solo i prodotti considerati “critici”, che svolgono funzioni chiave per la sicurezza, come l’autenticazione, la prevenzione delle intrusioni o la protezione della rete. Oppure quelli “altamente critici”, che hanno un’importante funzione di sicurezza e sono centrali in un ambiente IoT esteso.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!


Argomenti


Canali

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4