Il Senato USA si è espresso a metà novembre in tema di sicurezza dell’IoT, l’Internet degli oggetti. E’ stato approvato all’unanimità e senza emendamenti il Internet of Things Cybersecurity Improvement Act of 2020, ultima versione di una legge in lavorazione da 3 anni, già approvata dall’altra Camera del Congresso in settembre. L’atto attende ora la firma del Presidente Trump.
In questo momento negli USA già 2 Stati hanno legislazioni in materia di sicurezza dell’IoT: la California (con la legge SB-327 su Information privacy: connected devices) e l’Oregon (Oregon’s IoT law), entrambi con una norma entrata in vigore a inizio 2020 che impone misure di sicurezza di base per qualsiasi oggetto in commercio.
Quali saranno gli effetti della nuova norma USA?
Tra le conseguenze del nuovo atto, importante il fatto che tutti gli acquisti pubblici di oggetti connessi dovranno ora sottostare a requisiti minimi, che saranno definiti nei prossimi mesi dal NIST. Poiché le agenzie governative USA fanno largo utilizzo di oggetti connessi per molteplici motivi (tracciamento di asset, monitoraggio di veicoli, accesso ad edifici) l’introduzione di misure più severe in tema di cybersecurity influenzerà in modo determinante tutto il settore. Un aspetto fondamentale in un momento in cui moltissimi dispositivi connessi stanno per arrivare sul mercato in svariati ambiti: secondo il “Global 2021 Forecast Highlights” di Cisco:
- 27,1 miliardi di device IoT nel mondo nel 2021 (erano 17 miliardi nel 2016)
- 3,5 device connessi a persona nel 2021 (rispetto a 2,3 nel 2016)
- 43% di tutti i device saranno collegati via mobile nel 2021.
L’ente di standardizzazione americano NIST (National Institute for Standards and Technology) è chiamato ora a fornire istruzioni precise su quali dovranno essere i requisiti minimi del mondo IoT per quanto riguarda aspetti come lo sviluppo sicuro del software, gestione di identità e accessi, data protection, patching, gestione delle configurazioni. In parte questi requisiti sono già stati pubblicati dal NIST: a maggio, il documento NISTIR 8259A con i controlli di base per la cybersecurity, e le raccomandazioni NISTIR 8259 per i produttori di oggetti connessi.
Vedremo nei prossimi mesi quanto i produttori procederanno nell’adeguarsi a questi indirizzi. In passato, oggetti connessi sprovvisti di sicurezza, come ad esempio le webcam e i router, sono stati utilizzati come veicolo per sferrare attacchi su grande scala. Un esempio su tutti, la botnet Mirai che nel settembre 2016 aveva infettato milioni di router e videocamere CCTV per sferrare attacchi DDoS.
La diffusione di oggetti IoT è data in grandissima crescita nei prossimi anni e riguarderà ogni aspetto della vita quotidiana: a livello personale, dalla salute al tempo libero; a livello di servizi pubblici, dal monitoraggio di strade, acquedotti e trasporti; a livello di aziende private, servizi innovativi come videosorveglianza integrata, infotainment, connected car e quant’altro. Secondo una recente ricerca di NCSA, i consumatori USA sono oggi molto tranquilli sulla sicurezza dell’IoT di loro proprietà: il 77% dei consumatori tra 50 e 75 anni, e l’81% dei consumatori tra 18 e 34, si sentono “mediamente o molto confidenti” sulla sicurezza dei propri oggetti connessi.
Una tranquillità mal riposta, commenta lo studio (che, realizzato nel settembre 2020, ha riguardato mille consumatori di tutti i segmenti di mercato). Secondo l’indagine molte persone (36% nella categoria con oltre 50 anni) quasi mai si preoccupa che il software dei propri device sia aggiornato. Tra i giovani invece molti (il 54%) collega spesso i device IoT a reti wifi non protette, e li usa anche per accedere a informazioni sensibili, ai server aziendali, alla posta elettronica o al conto in banca. In aggiunta, circa la metà dei rispondenti tra i 18 e i 34 anni non si preoccupa di deattivare aspetti come il location tracking e il data sharing che viene preimpostato dai vendor sui nuovi device. È evidente quindi che sarebbe necessario informare maggiormente gli utenti sui rischi che corrono.
La situazione in tema di IoT security in Europa
La situazione attuale vede anche per l’Europa una serie di iniziative legislative, e quindi anche la possibilità di un framework non ancora del tutto allineato su questi temi. Si citano tipicamente:
- La Direttiva NIS europea del 2016, che ha dato un forte impulso ad omogeneizzare le iniziative di cyberscurity nazionali per le infrastrutture critiche, include anche aspetti relativi all’IoT.
- Il più recente Cybersecurity Act europeo, che ha assegnato ad Enisa il compito di sviluppare uno schema unitario per la sicurezza dell’IoT. Linee guida ora disponibili: nello studio Guidelines for Securing the Internet of Things, Enisa fornisce raccomandazioni ai vendor per mettere in sicurezza l’intero ciclo di sviluppo e di vita dell’IoT, dalla definizione dei requisiti di questi oggetti, al disegno, delivery, manutenzione, fine vita.
- Nel piano di lavoro 2021 della Commissione Europea, il New Legislative Framework (NLF) per i prodotti (conterrà tutte le raccomandazioni perché i futuri prodotti siano in linea con requisiti comuni a livello europeo prima di essere messi sul mercato) terrà conto anche di caratteristiche “digitali” e “ambientali”. Tra quelle digitali rientreranno considerazioni sulla cybersecurity.
- Va segnalato inoltre la disponibilità da giugno 2020 dello standard europeo per la sicurezza dell’IoT (ETSI EN 303 645), una base per la sicurezza di prodotti consumer e un primo passo per futuri schemi di certificazione della sicurezza IoT. La compliance a questo standard (che comprende 13 controlli e si rivolge a prodotti IoT come giocattoli, baby monitor, rilevatori di fumo, serrature intelligenti, videocamere, TV, speaker e assistenti domestici, wearable, smart building automation e sistemi di allarme, elettrodomestici smart) servirà – se adottata – a ridurre le superfici di attacco e impedire che questi device siano vittima di hacker esterni o di data breach involontari.
Infine, singoli Stati Membri della UE stanno adottando proprie legislazioni in materia di IoT security. Questo perché i prodotti connessi a Internet sono sempre di più e le preoccupazioni sulle conseguenze di possibili mancanze di sicurezza cominciano a farsi vive.
Basti pensare a quanto oggi possibile con alcuni giocattoli che interagiscono con i loro proprietari. Alcuni esempi sono “Hello Barbie” di Mattel o “My friend Cayla” di Vivid, bambole pensate per registrare la voce dei bambini con un microfono interno, “ascoltare” le domande e quindi “rispondere” ai loro piccoli proprietari. Come avviene tutto questo? e quali scenari si prefigurano?
Come riporta l’articolo su Springer (Regulation of Internet-of-Things cybersecurity in Europe and Germany as exemplified by devices for children), i giocattoli utilizzano una connessione Wifi (Hello Barbie) o il Bluetooth (My friend Cayla) per trasferire le registrazioni della voce a un server (negli USA). Qui un algoritmo AI trasforma lo speech in testo, e lo invia alla App del giocattolo, che quindi gira la domanda a Wikipedia e infine invia la risposta ai bambini (attraverso il microfono nel giocattolo). Altri giochi usano anche videocamere e mandano foto (come un prodotto della Mattel, “Smart Toy Bear”, la cui produzione è stata fermata nel 2019).
Tutti questi passaggi aprono molte questioni di privacy e sicurezza, ed è probabile che prodotti di questo tipo saranno presto messi fuori mercato da norme più stringenti in tema di gestione sicura di informazioni e comunicazioni. Per non dire altro: nel caso di “My friend Cayla” sono sorti problemi e contestazioni da parte di associazioni di consumatori, perché la bambola era usata anche per veicolare messaggi pubblicitari (acquisto di altri giocattoli o dolci) rivolti in modo molto diretto a minori.
A CURA DI:
Elena Vaciago, The Innovation Group