Ecco 13 regole chiare a cui devono essere conformi tutti i prodotti IoT. L'Europa mette anche l'accento sui dispositivi per la sicurezza domestica e per i minori.
La
sicurezza dei dispositivi IoT è un problema globale. Molti esperti di sicurezza informatica in passato hanno suggerito di stabilire
standard minimi a cui si debbano attenere tutti i produttori di oggetti IoT. Sarebbe la strada più semplice, il guaio è che è difficile mettere d'accordo tutti. Dopo l'Europa, anche L'Australia tenta di forzare la mano. Il Department of Home Affairs e l'Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) hanno sviluppato e ufficialmente introdotto nel Paese il “Code of Practice”.
Consiste in
13 regole chiare (le stesse approvate a giugno in Europa) a cui devono necessariamente far fronte i produttori IoT che vogliono vendere i propri prodotti nel continente. La prima è che
non dev'esserci alcuna password banale e universale predefinita. Per intenderci, non devono essere immessi in commercio prodotti con la coppia username/password "
admin/admin" e affini. La seconda regola è che per ciascun prodotto dev'esserci una clausola specifica per le policy relative alle vulnerabilità. In altri termini, l'acquirente deve poter conoscere tutti i rischi a cui va incontro installando il prodotto nella propria abitazione o azienda.
Le cinque regole successive soddisfano alcune delle richieste più diffuse dagli esperti di cyber security: i software di gestione dei dispostivi IoT devono essere sempre aggiornati con patch di sicurezza atte a chiudere falle nella sicurezza. Le credenziali di chi gestisce i prodotti IoT devono essere archiviate in modo sicuro (quindi crittografate) e il produttore deve garantire che anche i dati personali siano protetti.
![iot 3404892 1280 1 iot 3404892 1280 1](https://www.securityopenlab.it/immagini/2020/09/iot-3404892-1280-2.jpg)
Seguono l'obbligo di garantire la sicurezza delle comunicazioni, l'integrità del software e il
monitoraggio dei dati di telemetria del sistema. Quest'ultima è particolarmente importante perché consente finalmente, nell'ambito di una rete aziendale, di far rientrare i dispositivi IoT sotto la governance delle piattaforme di cyber security. Significa permetterne il monitoraggio costante, la definizione di permessi e in ultimo di soddisfare l'altro requisito richiesto dall'ACSC: ridurre al minimo le superfici di attacco esposte.
Indirettamente le regole sopra sistemano altri due punti critici che si hanno attualmente: consentono di rendere i sistemi resilienti alle interruzioni e semplificano l'installazione e la manutenzione dei dispositivi. Oltre a questo, ACSC ha chiesto di semplificare le procedure per eliminare i dati personali e la possibilità di convalidare i dati di input.
Europa in prima linea
Come accennato sopra,
non è la prima volta che un Paese chiede l'attuazione di standard di sicurezza informatica per i dispositivi IoT. A giugno 2020 l'European Telecommunications Standards Institute (ETSI) ha ideato lo standard di sicurezza informatica ETSI EN 303 645. Stabilisce una linea di base per la sicurezza informatica per tutti i
dispositivi IoT indirizzati ai consumatori.
![iot rappresentazione grafica iot rappresentazione grafica](https://www.securityopenlab.it/immagini/2020/04/iot-rappresentazione-grafica-1.jpg)
Oltre alle politiche di conformità GDPR già definite per la protezione dei dati, lo standard ETSI EN 303 645 fornisce anche alcune disposizioni specifiche sulla protezione dei dati per i dispositivi IoT di consumo. Comprende le 13 regole richieste in Australia,
più altre cinque che riguardano nello specifico la sicurezza dei giocattoli hi-tech per bambini e baby monitor, dei prodotti di sicurezza domestica connessi, come rilevatori di fumo e sensori per finestre. Inoltre, coinvolge direttamente telecamere intelligenti, televisori e altoparlanti, prodotti indossabili, sistemi di allarme, elettrodomestici IoT e assistenti per la domotica.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
SecurityOpenLab.it iscriviti alla nostra
Newsletter gratuita.
![](/img/google-news.svg)
Rimani sempre aggiornato, seguici su Google News!
Seguici