Il Comitato tecnico per la sicurezza informatica dell’ETSI (European Telecommunications Standards Institute) ha pubblicato l’ETSI TS 103 645, il nuovo standard sulla sicurezza dei prodotti IoT destinati ai consumatori. Si tratta di un documento contenente raccomandazioni rivolte ai produttori e agli sviluppatori di dispositivi collegabili in rete (meglio noti come prodotti IoT) destinati al grande pubblico (quali smart TV, smartwatch, impianti domotici ecc.).
I dispositivi smart, d’altronde, sono sempre più diffusi in ogni ambito sociale e produttivo e la sicurezza informatica della Internet of Things (internet degli oggetti) è divenuta una vera e propria priorità.
“L’idea di fondo del nuovo standard è quella di contribuire ad accrescere la sicurezza dei dispositivi IoT, in modo da accrescere la fiducia dei consumatori in questi prodotti e sfruttarne a pieno il potenziale”, ci dice Luca Tosoni, avvocato e ricercatore presso l’Università di Oslo.
“È bene però sottolineare come le raccomandazioni contenute nello standard non siano esaustive e che la loro osservanza non assicura in termini assoluti la compliance dei prodotti interessati”, continua Tosoni.
“Tuttavia, lo standard può essere uno strumento utile ad individuare le misure più adeguate ad assicurare il rispetto della normativa applicabile. A tale riguardo, è bene ricordare come con l’entrata in vigore del GDPR si è passati da un modello di compliance per lo più reattivo ad uno proattivo, fondato sul principio di “responsabilizzazione”, secondo il quale spetta alle aziende individuare le misure più adeguate a proteggere i dati personali che trattano. Ad esempio, la normativa vigente non fissa più requisiti dettagliati in materia di sicurezza dei dati personali, come le misure minime di sicurezza previste dal vecchio Codice della Privacy italiano. È invece previsto un obbligo generico di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. L’onere di valutare l’adeguatezza delle misure adottate spetta quindi alle aziende”.
Indice degli argomenti
Internet of Things: più attenzione per la privacy
In sostanza, il nuovo standard fornisce una serie di best practice per migliorare la sicurezza dei prodotti IoT destinati ai consumatori, in modo da accrescerne l’affidabilità e aiutare i produttori a rispettare i requisiti di sicurezza imposti dalle attuali normative in materia.
A questo proposito, lo standard menziona specificamente non solo il GDPR, ma anche il Cybersecurity Act, ossia il nuovo Regolamento UE che introdurrà a breve un sistema europeo di certificazione della sicurezza di prodotti e servizi digitali, e lo IoT Cybersecurity Improvement Act, la normativa sulla sicurezza dei dispositivi IoT attualmente al vaglio del Congresso americano.
D’altronde, le persone affidano i propri dati personali a un numero crescente di dispositivi e servizi online. Inoltre, i prodotti e gli apparecchi che tradizionalmente erano offline sono ora connessi e devono quindi essere progettati per resistere alle minacce informatiche. Prodotti scarsamente sicuri minacciano la privacy dei consumatori e possono essere utilizzati dai criminal hacker per lanciare attacchi informatici di tipo DDoS (Distributed Denial of Service) su larga scala.
Best practice per migliorare la sicurezza della IoT
Il nuovo standard rilasciato da ETSI affronta questo problema ed elenca specifiche di alto livello per la sicurezza dei dispositivi di consumo collegati a Internet e dei servizi associati. In particolare, le nuove regole di sicurezza interessano una lunga serie di dispositivi IoT: prodotti per la sicurezza come rilevatori di fumo e serrature delle porte, telecamere intelligenti, televisori e altoparlanti, dispositivi medicali indossabili, sistemi di domotica e di allarme, apparecchi domestici (ad esempio, lavatrici e frigoriferi) o assistenti intelligenti, giocattoli per bambini e baby monitor.
Tra le raccomandazioni contenute nello standard figurano, ad esempio, quella di evitare di immettere sul mercato prodotti con username e password di default (tipo admin; admin) e quella di stabilire punti di contatto aziendali a cui i ricercatori possano segnalare eventuali vulnerabilità dei prodotti.
Le altre raccomandazioni sono invece relative ai seguenti ambiti di sicurezza:
- rilascio costante di aggiornamenti di sicurezza per i software di controllo;
- archiviazione sicura di credenziali di accesso e dati personali;
- canali di comunicazione sicuri;
- minimizzazione della “superficie di attacco” dei dispositivi;
- integrità del software garantita;
- garanzia di protezione dei dati personali;
- resilienza dei sistemi IoT agli attacchi informatici;
- possibilità di esaminare i dati telemetrici dei dispositivi;
- cancellazione semplice dei dati personali degli utenti;
- installazione e manutenzione semplificata dei dispositivi;
- convalida dei dati di input prima dell’accesso ai dispositivi.
“I potenziali vantaggi dell’Internet of Things saranno raggiunti solo se i prodotti e i servizi incorporeranno sin dalla progettazione i necessari principi di fiducia, privacy e sicurezza, in modo che i consumatori si sentano al sicuro e sicuri ad usarli. Il nuovo standard si concentra sui controlli tecnici e organizzativi più importanti per affrontare le carenze significative e diffuse in materia di sicurezza. Dovrebbe essere una specifica di riferimento sia per i consumatori che per l’industria”, afferma Stephen Russell, segretario generale dell’ANEC, l’organizzazione che rappresenta i consumatori nella standardizzazione, e membro dell’ETSI.
Non rimane che attendere la piena applicazione delle nuove regole da parte dell’industria per avere finalmente una Internet of Things più sicura.
