La
sicurezza dei dispositivi IoT è un problema globale. Molti esperti di sicurezza informatica in passato hanno suggerito di stabilire
standard minimi a cui si debbano attenere tutti i produttori di oggetti IoT. Sarebbe la strada più semplice, il guaio è che è difficile mettere d'accordo tutti. Dopo l'Europa, anche L'Australia tenta di forzare la mano. Il Department of Home Affairs e l'Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) hanno sviluppato e ufficialmente introdotto nel Paese il “Code of Practice”.
Consiste in
13 regole chiare (le stesse approvate a giugno in Europa) a cui devono necessariamente far fronte i produttori IoT che vogliono vendere i propri prodotti nel continente. La prima è che
non dev'esserci alcuna password banale e universale predefinita. Per intenderci, non devono essere immessi in commercio prodotti con la coppia username/password "
admin/admin" e affini. La seconda regola è che per ciascun prodotto dev'esserci una clausola specifica per le policy relative alle vulnerabilità. In altri termini, l'acquirente deve poter conoscere tutti i rischi a cui va incontro installando il prodotto nella propria abitazione o azienda.
Le cinque regole successive soddisfano alcune delle richieste più diffuse dagli esperti di cyber security: i software di gestione dei dispostivi IoT devono essere sempre aggiornati con patch di sicurezza atte a chiudere falle nella sicurezza. Le credenziali di chi gestisce i prodotti IoT devono essere archiviate in modo sicuro (quindi crittografate) e il produttore deve garantire che anche i dati personali siano protetti.
Seguono l'obbligo di garantire la sicurezza delle comunicazioni, l'integrità del software e il
monitoraggio dei dati di telemetria del sistema. Quest'ultima è particolarmente importante perché consente finalmente, nell'ambito di una rete aziendale, di far rientrare i dispositivi IoT sotto la governance delle piattaforme di cyber security. Significa permetterne il monitoraggio costante, la definizione di permessi e in ultimo di soddisfare l'altro requisito richiesto dall'ACSC: ridurre al minimo le superfici di attacco esposte.
Indirettamente le regole sopra sistemano altri due punti critici che si hanno attualmente: consentono di rendere i sistemi resilienti alle interruzioni e semplificano l'installazione e la manutenzione dei dispositivi. Oltre a questo, ACSC ha chiesto di semplificare le procedure per eliminare i dati personali e la possibilità di convalidare i dati di input.
Europa in prima linea
Come accennato sopra,
non è la prima volta che un Paese chiede l'attuazione di standard di sicurezza informatica per i dispositivi IoT. A giugno 2020 l'European Telecommunications Standards Institute (ETSI) ha ideato lo standard di sicurezza informatica ETSI EN 303 645. Stabilisce una linea di base per la sicurezza informatica per tutti i
dispositivi IoT indirizzati ai consumatori.
Oltre alle politiche di conformità GDPR già definite per la protezione dei dati, lo standard ETSI EN 303 645 fornisce anche alcune disposizioni specifiche sulla protezione dei dati per i dispositivi IoT di consumo. Comprende le 13 regole richieste in Australia,
più altre cinque che riguardano nello specifico la sicurezza dei giocattoli hi-tech per bambini e baby monitor, dei prodotti di sicurezza domestica connessi, come rilevatori di fumo e sensori per finestre. Inoltre, coinvolge direttamente telecamere intelligenti, televisori e altoparlanti, prodotti indossabili, sistemi di allarme, elettrodomestici IoT e assistenti per la domotica.