Saranno 83 miliardi le connessioni IoT esistenti entro i prossimi tre anni, con il settore industriale a rappresentarne oltre il 70%: sono i numeri impressionanti del recente rapporto di Juniper Research che, di fatto, sanciscono la centralità della sicurezza informatica dei dispositivi connessi: un tema che occorre affrontare e approfondire sia a livello tecnico sia a livello normativo.
D’altronde, il processo di convergenza tra IT e OT è ormai inarrestabile e la sempre maggiore diffusione del 5G non farà altro che moltiplicare le connessioni IoT con un conseguente notevole aumento della possibile superficie di attacco.
5G, il ruolo della nuova Agenzia per la cybersecurity nello sviluppo tecnologico
Indice degli argomenti
Dispositivi connessi: la posizione dell’Europa
In tal senso è importante l’annuncio della presidente della Commissione europea Ursula von der Leyen relativo proprio all’introduzione di una legge dell’Unione Europea sulla sicurezza informatica per i dispositivi connessi.
Nel suo discorso sullo Stato dell’Unione pronunciato alla plenaria del Parlamento europeo a Strasburgo lo scorso 15 settembre, la von der Leyen ha dichiarato che la rapida diffusione delle tecnologie digitali “è stato un grande equalizzatore nel modo, ma il suo potere può essere usato oggi da stati o gruppi non statali per attaccare le infrastrutture critiche, come le pubbliche amministrazioni o gli ospedali, Poiché le risorse sono scarse, occorre unire le forze nel cercare non solo di affrontare ogni minaccia, ma diventare leader nella sicurezza informatica. Se tutto è connesso, tutto può essere violato”.
Come parte della strategia di sicurezza informatica dell’UE, la Commissione ha annunciato l’intenzione di introdurre norme finalizzate a stabilire standard comuni di sicurezza informatica per i dispositivi connessi e i servizi associati.
L’Internet delle cose (IoT) sia con riferimento ai risvolti nei confronti dei consumatori, sia nel mondo industriale, sarà una delle future aree per la certificazione europea della sicurezza informatica ai sensi del Cybersecurity Act.
L’istituzione di un quadro comune di certificazione favorirebbe la sicurezza informatica by design dei prodotti informatici, inclusi i dispositivi IoT.
L’ENISA definisce l’Internet delle cose (IoT) come “un ecosistema cyber-fisico di sensori e attuatori interconnessi, che permettono di prendere decisioni intelligenti”. È l’evoluzione naturale dell’informatica, ma le minacce e i rischi legati ai dispositivi, ai sistemi e ai servizi IoT sono molteplici e si evolvono velocemente, con un enorme impatto sulla sicurezza dei cittadini e la privacy.
Dispositivi connessi: servono specifiche misure di sicurezza
Risulta, quindi, estremamente importante capire cosa deve essere protetto e sviluppare misure di sicurezza specifiche per proteggere l’Internet delle cose dalle minacce informatiche.
Una grande sfida nel definire le misure di sicurezza per l’IoT è la complessità che comportano l’ampiezza e la diversità delle aree di applicazione.
L’iniziativa della Commissione con il Cyber Resilience Act, si aggiunge alla proposta di direttiva sulla sicurezza dei sistemi di rete e di informazione, c.d. NIS2, allo scopo di espandere l’ambito di applicazione della direttiva NIS vigente aggiungendo nuovi settori, rafforzare gli obblighi delle imprese in materia di sicurezza e comunicazione, aumentare i requisiti di sicurezza informatica per i servizi digitali impiegati in settori critici dell’economia e della società.
Nell’intervista rilasciata a Euractiv, Bart Groothuis, il legislatore responsabile del dossier NIS2 al Parlamento europeo ha dichiarato: “L’internet delle cose porterà sul mercato molti prodotti non sicuri perché la sicurezza spesso non è nella mente dei produttori di queste macchine. E non c’è ancora uno standard europeo da mantenere. È bello avere una macchina per il caffè intelligente, ma è anche un modo per gli hacker di entrare nei sistemi informatici di casa”.
Il Gruppo Euroconsumers, membro di ICRT (International Consumer Research and Testing – un’organizzazione indipendente impegnata nello sviluppo di un protocollo di test IoT per valutare la sicurezza dei prodotti dal cyberattacco), ha valutato i rischi cyber dei dispositivi connessi usando metodi di hacking etico per dimostrare che la maggior parte dei dispositivi domestici intelligenti mancava di standard basici di sicurezza informatica. Els Bruggeman, portavoce di Euroconsumers ha affermato: “Se la Commissione vuole diventare un leader nella sicurezza informatica, deve lavorare su un approccio comune dell’UE alle minacce informatiche che consenta ai consumatori di avere fiducia nell’IoT”.
Preoccupazioni e richieste dell’industria digitale
Preoccupazioni simili sulla necessità di definire i requisiti di base della sicurezza informatica sono state sollevate anche da DigitalEurope, l’associazione europea di categoria delle industrie digitali.
In un recente rapporto, l’associazione di categoria ha avvertito che i regolamenti esistenti sulla sicurezza dei prodotti non sono riusciti a stabilire obblighi di sicurezza informatica per i dispositivi connessi. Il Direttore Generale di DigitalEurope Cecilia Bonefeld-Dahl ha accolto con favore il Cyber Resilience Act, ma ha messo in guardia sulla eccessiva proliferazione di proposte dell’UE per regolare l’ambiente informatico.
Infatti, sul tavolo restano diverse proposte, oltre alla direttiva NIS2, tra cui una direttiva sulla resilienza delle entità critiche che forniscono servizi essenziali in UE, la direttiva Digital Operational Resilience Act sulla resilienza operativa digitale più settoriale che affronta il tema della cyber-resilienza del settore finanziario, e diversi regolamenti sulla sicurezza dei prodotti.
“Abbiamo bisogno di obiettivi più armonizzati e regole facilmente attuabili se vogliamo ottenere la giusta protezione per i cittadini europei e aiutare l’industria europea a costruire capacità di sicurezza informatica su scala”, ha detto Bonefeld-Dahl.
Il deputato Groothuis, ha chiesto un sistema di nomi di dominio (DNS) a livello europeo. I DNS sono infrastrutture critiche per la governance globale di Internet e sono gestiti da una manciata di entità non europee, il che rende difficile per i paesi dell’UE affrontare attacchi informatici su larga scala o vulnerabili alle tensioni geopolitiche.
