Una regola europea per gli oggetti intelligenti

Gli “oggetti intelligenti” (chiamati IoT, “Internet of Things”, nella letteratura tecnica e ormai anche nelle news) stanno entrando velocemente nell’utilizzo comune dei privati cittadini. Oggetti come le SmartTv o i sistemi di riconoscimento vocale, vengono offerti al pubblico sia attraverso i canali di vendita tradizionali che quelli online.

Si tratta quindi di prodotti maturi e sicuri? Purtroppo, non completamente.

Limitandoci al mercato europeo, questi oggetti devono infatti sottostare alle regole e certificazioni specifiche dei prodotti per il consumo. Tuttavia, non esiste (ancora) una certificazione che riguardi la cybersecurity di questi sistemi che, è opportuno ricordarlo, sono spesso dotati di capacità di elaborazione (CPU, memoria ecc.) di tutto rispetto. La controprova di questa situazione risiede nell’enorme numero di violazioni di sicurezza che sono state rivelate negli ultimi anni a carico di tali oggetti.

Fortunatamente alcuni paesi (pochi, ad esempio la Germania), ma soprattutto gli organismi europei stanno cercando di rimediare a questa pericolosa situazione. In un ambito più vasto la UE ha avviato il Cybersecurity Act che prevede, fra l’altro, la creazione di certificazioni di sicurezza per sistemi e dispositivi critici (ad esempio reti energetiche, auto a guida autonoma ecc..). Per quanto riguarda gli IoT è invece stato pubblicato da ETSI, l’organismo europeo che si occupa di regolamentazioni in ambito ICT, uno standard (ETSI TS 103 645) che riguarda proprio gli oggetti IoT “consumer”. Alcune delle semplici, ma importantissime regole previste da questo standard:

• Non dovranno più avere una password universale al momento dell’uscita dalla fabbrica
• Dovrà essere previsto un update periodico del software
• I produttori dovranno riportare in modo veloce e pubblico eventuali vulnerabilità di sicurezza
• Dovranno essere “hardenizzati” e validare i dati in ingresso
• Comunicare con protocolli sicuriGestire i dati personali in modo sicuro e aderente alle normative

Queste poche regole avrebbero potuto evitare il 99% degli incidenti di sicurezza che hanno riguardato gli IoT negli ultimi anni!