La diffusione di dispositivi wireless e il loro prevedibile futuro incremento per realizzare l’IoT pongono questioni sulla sicurezza e sulla privacy che il Parlamento e la Commissione europea stanno affrontando in maniera sempre più sistematica e mirata.
Smartphone, smartwatch, fitness tracker e giocattoli wireless sono sempre più connessi alla rete e spesso tra di loro: per tale motivo sono vulnerabili ad attacchi dalle finalità più disparate.
L’UE ritiene dunque necessario e di primaria importanza garantire che tutti i dispositivi wireless siano sicuri prima di essere messi sul mercato e resi disponibili ai consumatori. L’atto delegato, che integra la Radio Equipment Directive (2014/53/EU), stabilisce quindi requisiti legali per la sicurezza informatica che i produttori dovranno considerare nella realizzazione dei loro prodotti. Inoltre, l’UE punta a proteggere la privacy e i dati sensibili degli utenti, mitigare i rischi di frode e garantire un migliore resilienza delle reti.
Indice degli argomenti
Requisiti di sicurezza e privacy per i dispositivi wireless
I dispositivi wireless in oggetto dovranno essere dotati di caratteristiche che permettono di evitare danni alle reti o alla funzionalità di siti web e simili.
Per quanto riguarda la salvaguardia della privacy degli utenti, soprattutto dei minori, l’UE ritiene necessario che i produttori dei dispositivi garantiscano misure in grado di impedire l’accesso e trasmissione di dati non autorizzati.
Inoltre, al fine di ridurre il rischio di frode monetaria nei pagamenti elettronici, i dispositivi devono essere composti da sistemi adatti a garantire l’autenticazione dell’utente.
L’atto delegato sarà integrato dal Cyber Resilience Act e rientrerà tra gli obiettivi europei di creare standard condivisi a livello comunitario nel campo della cybersecurity.
L’atto delegato dovrebbe entrare in vigore dopo un periodo di controllo di due mesi e si applicherà a tutti i dispositivi in oggetto immessi sul mercato europeo, ovunque siano prodotti. Dall’entrata in vigore, i produttori avranno tempo 30 mesi per conformarsi ai nuovi requisiti, in modo da poter arrivare già pronti alla metà del 2024, quando le nuove prescrizioni dovranno essere rispettate per poter vendere i propri prodotti nel mercato unico.
Tutte le iniziative legali dell’UE per la protezione delle reti, della privacy e contro le frodi hanno in comune l’obiettivo di costruire un “ecosistema di fiducia” per i cittadini europei, che sia anche un riferimento internazionale.
Un ecosistema digitale può essere considerato sicuro solo se sono sicuri tutti i suoi componenti. Gli oggetti “smart” giocano ormai un ruolo da protagonisti nelle nostre vite professionali e private. Questi dispositivi integrano speaker, microfoni, sensori di vario tipo, e possono registrare, monitorare e trasmettere foto, video, geolocalizzazione di persone e dati biometrici come il battito cardiaco, la temperatura o le abitudini di una persona. I giochi per bambini interattivi e connessi possono addirittura proporre pubblicità o interpretare un discorso, e possono farlo sia tramite internet, sia tramite segnali radio di breve portata.
L’inconsapevolezza degli utenti aumenta il rischio
È dunque chiaro che tutti questi dispositivi, e le tecnologie delle quali sono dotati, siano considerati dai cyber criminali come obiettivi e presi sempre più spesso di mira, in correlazione con la loro sempre maggior diffusione. Questo vale a prescindere dal tipo di connessione wireless che si utilizza. Ad aumentare il rischio è l’inconsapevolezza degli utenti, i quali spesso non ritengono di poter essere obiettivi d’interesse.
Una ricerca della nota azienda di sicurezza informatica Kaspersky ha registrato, nei soli primi 6 mesi del 2021, un raddoppio degli attacchi a dispositivi IoT.
Nel caso delle reti aziendali, poi, i dispositivi IoT sono sicuramente i più trascurati. Che siano ascensori “intelligenti”, stampanti o telecamere di sorveglianza, gli addetti alla sicurezza informatica devono gestire macchine diverse, differenti protocolli e sistemi operativi, alcuni dei quali, magari, sono obsoleti.
I criminali possono essere interessati ad attaccare dispositivi apparentemente poco rilevanti per: sottrarre informazioni, sabotare la società target, creare una botnet per attacchi DDoS, effettuare il mining di criptovalute. Si possono anche compromettere le reti di un’azienda per poi attaccarne un’altra.
Nel caso di dispositivi medici, ad esempio una macchina ad ultrasuoni, è possibile comprometterne la sicurezza in cinque minuti e non solo assumerne il controllo, ma avere accesso ai dati del paziente, nel caso in cui non siano stati cancellati. Questi dispositivi hanno spesso una vita molto lunga, passaggi di struttura in struttura e di mano in mano, e gli utilizzatori mancano di attenzione per questi fattori di rischio.
L’atto delegato, però, non riguarda i dispositivi medici, oggetto di una normativa di settore dedicata, come pure le tecnologie senza filo per le automobili e per i droni civili.
Ridurre al minimo i rischi dei dispositivi wireless
Se le minacce sono molte, è possibile per gli utenti ridurre al minimo i rischi provenienti dai dispositivi connessi via wireless o segnali radio a breve raggio. L’aggiornamento dei firmware, la modifica delle password pre-installate, il reboot in caso di comportamento anomalo, sono azioni semplici che chiunque abbia un minimo di dimestichezza con le tecnologie d’uso quotidiano può compiere senza troppe difficoltà.
I responsabili della sicurezza IT delle società, invece, devono prima di tutto avere chiara la situazione della propria azienda, identificando i dispositivi connessi, classificandoli e analizzandone attentamente i rischi associati.
A seguito dell’analisi, devono segmentare la rete per impedire che gli elementi più vulnerabili possano entrare in contatto con altri segmenti.
Completa una buona strategia di sicurezza una costante attività di monitoraggio del traffico sulla rete alla ricerca di eventuali anomalie.
Le vulnerabilità delle tecnologie wireless
Le vulnerabilità delle tecnologie wireless sono sempre più diffuse e spesso ignote.
I dispositivi wireless quali tablet, cellulari, giocattoli fanno parte da tempo della nostra quotidianità e hanno la possibilità di acquisire sempre più frequentemente i nostri dati sensibili. Non è infatti da meravigliarsi se la maggior parte degli attacchi hacker avviene su dispositivi wireless rispetto a quelli cablati.
L’architettura legale UE sulla cybersicurezza e sulla privacy si articola e specifica sempre di più. L’adozione dell’atto delegato della Radio Equipment Directive imporrà standard per i dispositivi wireless che utilizzano tecnologie radio, molti dei quali godono di grande successo commerciale e hanno la capacità di raccogliere dati personali.
L’attenzione della UE nei confronti dei dispositivi che ne fanno uso è coerente con l’impegno di tutela della sicurezza, della salute e della privacy dei cittadini, anche dei più piccoli, vista la diffusione di giocattoli tecnologici, connessi e interattivi.
È da mettere in rilievo come, disciplinando il mercato UE, si impongano standard di design anche ai produttori extra-UE che volessero vendere i propri prodotti nell’Unione.
