Che cosa sono i dispositivi IoT?
La tecnologia è diventata una parte integrante della vita di oggi, dalla gestione del tempo all’apprendimento fino al divertimento, passando per il settore della salute e la cosiddetta smart city, ovvero le città intelligenti dove la tecnologia è impegnata a facilitare diverse funzionalità che migliorano la qualità della vita.
Questa evoluzione è stata resa possibile anche dai dispositivi IoT, acronimo di Internet of Things, in italiano Internet delle cose (IdC) o Internet degli oggetti, che hanno trasformato il nostro modo di interagire con l’ambiente circostante e reso il tema della cyber security più rilevante che mai.
IoT è un neologismo che si riferisce a una rete di dispositivi fisici (sensori, attuatori, dispositivi elettronici, macchinari, veicoli) connessi a Internet e che attraverso la Rete possono scambiarsi dati e interagire tra loro, senza la presenza di una persona.
Questa rete interconnessa di dispositivi fisici che comunicano tra di loro e con sistemi centralizzati attraverso Internet apre la strada a numerose possibilità di innovazione e miglioramento in diverse aree dell’attività umana. Gli ambiti applicativi dell’Internet of Things sono potenzialmente infiniti e vanno dalla medicina all’automazione industriale, dal monitoraggio ambientale al settore automotive, dal controllo del traffico ai sistemi di sicurezza domestica, dagli elettrodomestici agli ormai noti e diffusi wearable device, ossia i dispositivi indossabili, come gli smartwatch.
La sfida della cyber security nell’IoT: lo U.S. Cyber Trust Mark
La crescente diffusione dei dispositivi IoT ha portato alla necessità di affrontare seriamente la questione della sicurezza informatica, ossia la protezione delle informazioni e dei sistemi informativi da alterazioni indesiderate, violazioni o danni accidentali.
Per affrontare una sfida che coinvolge un così vasto numero di dispositivi, lo scorso 18 luglio negli Stati Uniti la Federal Communications Commission (FCC) ha annunciato lo U.S. Cyber Trust Mark. Si tratta di un’iniziativa per la protezione dei consumatori dalle minacce alla sicurezza dei dispositivi IoT, voluta per rafforzare la fiducia nell’uso di strumenti come telecamere di sicurezza, smart TV, serrature elettroniche, frigoriferi intelligenti e climatizzatori.
Il programma mira a introdurre un sistema di marchiatura dei dispositivi smart dotati di tecnologia IoT, stabilendo standard minimi di sicurezza per parametri come la crittografia e la protezione dei dati, con l’obiettivo di informare meglio i consumatori sui tipi di dati raccolti da tali dispositivi e sul loro utilizzo.
Al programma U.S. Cyber Trust Mark hanno già aderito i principali produttori ed esercenti di elettronica, come Amazon, Cisco Systems, Google, LG Electronics U.S.A., Logitech, Qualcomm, Samsung Electronics.
La principale azione del progetto prevede la creazione di un logo a forma di scudo, lo U.S. Cyber Trust Mark, per i prodotti che soddisfano i criteri di sicurezza informatica stabiliti dal National Institute of Standards and Technology (NIST).
In materia di IoT, infatti, le linee guida del NIST prevedono buone pratiche da seguire per avere una protezione adeguata e sistemi più resilienti, affidabili ed efficienti. Tra queste troviamo l’uso di password predefinite uniche e complesse, gli aggiornamenti regolari del software e la capacità di rilevare incidenti di sicurezza, a cui si aggiungono la protezione dei dati e l’implementazione di codici QR utili a creare un registro nazionale dei dispositivi certificati.
Cyber security e dispositivi IoT in Europa
I prodotti hardware e software sono sempre più soggetti ad attacchi informatici che possono essere evitati solo se dotati di una buona protezione che deve rispondere a rigidi standard di sicurezza. Per questo motivo, anche l’Unione Europea sta facendo la sua parte con il Cyber Resilience Act, una direttiva che prevede l’adozione di misure volte a rafforzare la sicurezza informatica per i dispositivi interconnessi via Internet.
Il Cyber Resilience Act promuove il principio della cyber security by design e si pone quattro importanti obiettivi:
1. garantire che i produttori migliorino la sicurezza dei prodotti con elementi digitali sin dalla fase di progettazione e sviluppo e durante l’intero ciclo di vita;
2. garantire un quadro coerente di cyber security, che faciliti la conformità dei produttori di hardware e software;
3. migliorare la trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali;
4. consentire alle aziende e ai consumatori di utilizzare in modo sicuro i prodotti con elementi digitali.
Questo regolamento integra la Direttiva sulla sicurezza delle reti e delle informazioni (NIS), la Direttiva NIS 2 e il Cybersecurity Act entrato in vigore nel 2019.