La crescente adozione di dispositivi intelligenti, dall’elettronica di consumo agli elettrodomestici, ha portato alla necessità di affrontare seriamente la questione della cyber security. La minaccia di cyber attacchi su questi dispositivi può avere ripercussioni gravi sulla privacy e sulla sicurezza delle famiglie e delle organizzazioni.
Per affrontare questa sfida, l’amministrazione Biden-Harris ha annunciato il Programma US Cyber Trust Mark, un’iniziativa innovativa progettata per fornire ai consumatori maggiore fiducia nella sicurezza dei dispositivi intelligenti che scelgono di utilizzare.
Come creare un ecosistema virtuoso dell’innovazione cyber sicura
Indice degli argomenti
Cos’è l’etichetta cyber per i dispositivi IoT
Questo programma, proposto dalla Federal Communications Commission (FCC) sotto la guida di Jessica Rosenworcel, mira a introdurre un sistema di marchiatura dei dispositivi smart dotati di IoT con l’obiettivo di alzare l’asticella della cyber security per i prodotti comuni, come frigoriferi, microonde, televisori, sistemi di controllo del clima e dispositivi per il monitoraggio delle attività fisiche.
La partecipazione dei principali produttori ed esercenti di elettronica, come Amazon, Best Buy, Google, LG Electronics U.S.A., Logitech e Samsung Electronics, dimostra l’impegno dell’industria nel fornire dispositivi più sicuri e resilienti alle minacce informatiche.
Una caratteristica distintiva del Programma US Cyber Trust Mark è la creazione di un logo apposito, ovvero il “U.S. Cyber Trust Mark”, che sarà applicato ai prodotti che soddisfano i rigorosi criteri di cyber security stabiliti dal National Institute of Standards and Technology (NIST).
I criteri di cyber security definiti dal NIST
Questi criteri includono l’uso di password predefinite uniche e robuste, la protezione dei dati, gli aggiornamenti regolari del software e la capacità di rilevare incidenti di sicurezza.
Il logo sarà un indicatore visibile per i consumatori, permettendo loro di identificare facilmente i prodotti che soddisfano gli standard di sicurezza stabiliti dal governo.
Per rendere il Programma US Cyber Trust Mark ancora più informativo e trasparente per i consumatori, la FCC prevede di implementare codici QR che porteranno a un registro nazionale dei dispositivi certificati. Scansionando questi codici QR, i consumatori avranno accesso a informazioni specifiche sulla sicurezza di ciascun dispositivo, consentendo loro di prendere decisioni informate e consapevoli riguardo ai prodotti che intendono acquistare.
La FCC collaborerà con altre agenzie e il Dipartimento di Giustizia per stabilire norme di vigilanza e applicazione, garantendo che il programma mantenga la fiducia e la sicurezza dei consumatori.
In Europa c’è il Cyber Resilience Act
Tale documento vede la sua contro parte europea nel Cyber Resilience Act, la cui votazione d’approvazione era prevista per il 19 luglio 2023. L’obiettivo di tale proposta legislativa è quello di migliorare la cybersecurity dei dispositivi connessi a una rete venduti nell’UE.
Riconoscendo la vasta gamma di prodotti intelligenti e le loro potenziali vulnerabilità, il Cyber Resilience Act mira a proteggere i consumatori dagli attacchi informatici imponendo rigorosi standard di sicurezza cibernetica.
La legislazione impone ai produttori di garantire la gestione efficace delle vulnerabilità di sicurezza dei loro prodotti per l’intera durata prevista o per un periodo di cinque anni, a seconda di quale sia più breve. In caso di vulnerabilità attivamente sfruttate, i produttori devono segnalare prontamente gli incidenti all’autorità di cybersecurity dell’UE, ENISA, e informare immediatamente gli utenti interessati.
Promuovendo il principio della “cybersecurity by design”, il Cyber Resilience Act mira a rafforzare l’economia europea e la sicurezza collettiva contro le minacce informatiche derivanti da prodotti insicuri.
Il Cyber Resilience Act integra la legislazione dell’UE esistente, inclusa la Direttiva sulla sicurezza delle reti e delle informazioni (NIS), la Direttiva NIS 2 (che copre i fornitori SaaS e cloud) e Cybersecurity Act dell’UE già promulgato.
Classificando diversi prodotti come Classe II o Classe I in base all’impatto potenziale in un incidente informatico, la legislazione copre un’ampia gamma di hardware e software di sicurezza, nonché componenti critici come sistemi operativi, processori, router, smart card, dispositivi IoT, sensori robotici e sistemi di automazione e controllo industriale.
Infine, per garantire che i prodotti con componenti digitali, come telecamere domestiche connesse, frigoriferi intelligenti, TV e giocattoli, siano sicuri prima di essere immessi sul mercato, i rappresentanti degli Stati membri (Coreper) hanno raggiunto una posizione comune sulla proposta di legge relativa ai requisiti orizzontali di sicurezza informatica per i prodotti con elementi digitali.
La bozza di regolamento introduce requisiti obbligatori di cyber security per la progettazione, lo sviluppo, la produzione e la messa a disposizione sul mercato di prodotti hardware e software, al fine di evitare sovrapposizioni di requisiti derivanti da diverse legislazioni degli Stati membri dell’UE.
Uno sforzo globale per rafforzare la cyber security
Il programma US Cyber Trust Mark e Cyber Resilience Act europeo rappresentano iniziative fondamentali nello sforzo globale di rafforzare la cyber security e proteggere i consumatori dai rischi dei dispositivi intelligenti.
Man mano che i dispositivi IoT diventano sempre più integrati nella vita quotidiana, garantire la loro cyber security è di massima importanza.
Sia gli Stati Uniti che l’UE riconoscono l’importanza di un approccio collaborativo per rafforzare le misure di sicurezza cibernetica e favorire la fiducia dei consumatori.
Fornendo ai consumatori etichette chiare sulla cyber security e stabilendo l’obbligo di rendere i produttori responsabili, questi programmi rappresentano passi vitali verso la creazione di un ambiente digitale più sicuro.
Con il programma US Cyber Trust Mark pronto per il lancio nel 2024 e il Cyber Resilience Act dell’UE in attesa di esame e votazione del Parlamento europeo e del Consiglio, entrambe le regioni hanno intrapreso un percorso per creare ecosistemi cyber-resilienti, garantendo che i dispositivi intelligenti offrano convenienza senza compromettere la sicurezza.
