Da sempre considerati un anello debole della sicurezza informatica, i dispositivi IoT sono al centro di un avanzato e ambizioso programma di “etichettatura” finalizzato a garantirne la sicurezza. Si tratta di una novità che non riguarda solo le aziende, anzi. L’intenzione è infatti quella di far compiere un passo in avanti al mondo consumer, quello in cui dispositivi del genere stanno spopolando, per certi versi in modo fuori controllo. Basti pensare all’ampia diffusione che si può oggi registrare di fitness tracker, baby monitor e frigoriferi intelligenti… tanto per citare qualche esempio.
Cyber Trust Mark: uno scudo contro i crimini informatici
Tutto ciò sta accadendo dall’altra parte dell’oceano, negli Stati Uniti. Il governo a stelle e strisce ha infatti annunciato a luglio la realizzazione di un “Cyber Trust Mark”. Una mossa indotta dalla consapevolezza che molti dispositivi IoT vengono forniti con password predefinite facili da individuare e non offrono aggiornamenti regolari della sicurezza.
Per evitare di “abbandonare” i consumatori al rischio di hacking, la Casa Bianca ha quindi lanciato un programma ufficiale e articolato per supportarli. L’obiettivo è quello di fornire loro tutti gli strumenti e le informazioni perché possano autonomamente assicurarsi di acquistare dispositivi connessi a Internet che includano solide protezioni di sicurezza informatica contro gli attacchi informatici.
Per prendere decisioni più consapevoli e prudenti, basterà cercare un logo a scudo. È il marchio scelto per per l’U.S. Cyber Trust e apparirà solo sui prodotti che soddisfano i criteri di sicurezza informatica stabiliti dal National Institute of Standards and Technology (NIST).
Si tratta di criteri più o meno scontati ma che, messi nero su bianco e in fila, promettono un aumento del livello di sicurezza medio del settore. Ogni dispositivo, per esempio, dovrà richiedere password predefinite uniche e forti. I dati memorizzati e trasmessi dovranno essere protetti e non potranno mancare aggiornamenti regolari e funzionalità di rilevamento degli incidenti.
L’elenco completo degli standard è ancora in fase di definizione, ma la Casa Bianca non ha perso tempo. Si è già mossa incoraggiando i rivenditori a dare priorità ai prodotti etichettati. Amazon e Best Buy si sono mostrati collaborativi come anche, lato “etichettatori”, grandi aziende tecnologiche come Cisco, Google, LG, Qualcomm e Samsung. Un esordio “sponsorizzato” che fa ben sperare in merito alle sorti dell’iniziativa.
UE Cybersecurity Resilience Act da aggiornare
Le mire di sicurezza IoT statunitensi non finiscono qui: l’etichetta a scudo è solo l’inizio. Un inizio ben visibile e diffuso, preludio di un lavoro di definizione di standard di sicurezza informatica per router di fascia consumer “a più alto rischio”, complesso ma necessario. Gli aggressori, infatti, prendono spesso di mira proprio questi dispositivi per rubare le password e creare botnet che possono essere utilizzate per lanciare attacchi DDoS (distributed denial-of-service). L’obiettivo è quello di metterli in sicurezza entro il 2024.
Per dare continuità all’iniziativa, evitando resti un intervento “spot” solo dimostrativo, il governo ha previsto la realizzazione di un codice QR per collegarsi a un registro nazionale dei dispositivi certificati. Diventerà lo strumento per fornire informazioni aggiornate sulla sicurezza, partendo dalle politiche di aggiornamento del software, fino ad arrivare agli standard di crittografia dei dati e alla correzione delle vulnerabilità.
Una volta protetti i dispositivi di consumo ad alto rischio, il Dipartimento dell’Energia passerà a occuparsi anche dei contatori intelligenti e degli inverter. L’intenzione è quella di sviluppare requisiti di etichettatura di cybersicurezza, stavolta direttamente in collaborazione con partner industriali. Un approccio di ecosistema che assomiglia a quello che vorrebbe intraprendere l’Unione Europea, sullo stesso tema. Per ora, però, c’è solo una richiesta di modifica al Cybersecurity Resilience Act risalente allo scorso febbraio, con cui si vorrebbe migliorare la categorizzazione dei prodotti nell’ambito del Cyber Resilience Act e stabilire parametri per la cybersicurezza dei dispositivi connessi.
Tale intento riguarderebbe solo i prodotti considerati “critici”, che svolgono funzioni chiave per la sicurezza, come l’autenticazione, la prevenzione delle intrusioni o la protezione della rete. Oppure quelli “altamente critici”, che hanno un’importante funzione di sicurezza e sono centrali in un ambiente IoT esteso.