Panorama Cybersecurity IoT nel 2024
Nel 2022 l'IoT ha subito oltre 112 milioni di attacchi informatici, con un balzo in avanti rispetto ai 32 milioni del 2018. La rapida crescita delle tecnologie IoT va di pari passo con le minacce informatiche. Di conseguenza, Paesi e regioni stanno introducendo normative specifiche per garantire la sicurezza informatica dell'IoT per i dispositivi e i dati preziosi. Vediamo alcuni esempi, tra cui quelli dell'UE, degli Stati Uniti, del Regno Unito e di Singapore, il loro impatto sulle aziende e sui consumatori e la relazione tra gli aggiornamenti del software del firmware e la sicurezza dei progetti IoT.
L'Unione Europea e le normative IoT
Il Regolamento generale sulla protezione dei dati (GDPR)
Il GDPR è stato introdotto il 25 maggio 2018. Fornisce uno standard specifico per la sicurezza dei dati nell'Unione Europea e in Gran Bretagna, concentrandosi sulla privacy dei dati. Il GDPR impone alle organizzazioni di proteggere i dati personali raccolti dai dispositivi IoT, di implementare la privacy by design e di garantire i diritti degli interessati. Ha portato a sanzioni severe per la mancanza di conformità come modello di molti obiettivi di protezione in tutto il mondo.
La legge sulla cybersecurity
Il Cybersecurity Act, attuato il 27 giugno 2019, fornisce un quadro per la certificazione della sicurezza informatica di prodotti e servizi ICT all'interno dell'Unione Europea. L'atto intende ridurre i rischi di attacchi informatici rivolti all'IoT fornendo standard di sicurezza più elevati e trasparenza sui livelli di sicurezza dei prodotti certificati. L'Agenzia europea per la sicurezza informatica (ENISA) contribuisce molto alla protezione dell'IoT dalla cybersicurezza, offrendo risorse e supporto agli Stati membri e alle imprese.
La legge sulla resilienza informatica
Il Cyber Resilience Act (CRA) è una recente legge europea incentrata sulla sicurezza dei dispositivi digitali. Questo include tutto, dai baby monitor agli smartwatch. Il CRA affronta due problemi principali: la mancanza di funzioni o aggiornamenti di sicurezza adeguati e la difficoltà di sapere se un prodotto è sicuro. Pertanto, il nuovo regolamento può:
Creare regole coerenti in tutta l'UE per la vendita di dispositivi con componenti digitali.
Stabilire requisiti obbligatori di cybersecurity per i produttori e i rivenditori di IoT.
Richiedere ai produttori di dare priorità alla sicurezza durante il processo di progettazione e produzione.
La direttiva NIS e la NIS2
La direttiva NIS originale mirava a raggiungere un livello elevato di sicurezza informatica per le infrastrutture critiche e i servizi essenziali. La direttiva NIS2, in vigore dal gennaio 2023, amplia l'ambito di applicazione per includere più settori ed entità, armonizzando le misure di sicurezza informatica tra gli Stati membri. Questo obiettivo viene raggiunto attraverso diverse misure chiave:
Le regioni dell'UE devono istituire risorse dedicate alla sicurezza informatica, come un Computer Security Incident Response Team (CSIRT) e un'autorità nazionale competente.
I gruppi di cooperazione promuovono lo scambio di informazioni e la cooperazione strategica tra gli Stati membri.
La direttiva si rivolge a settori critici, come l'elettricità, i trasporti e la logistica, che dipendono in larga misura dalle tecnologie dell'informazione e della comunicazione (TIC). I fornitori di servizi in questi settori devono adottare misure di sicurezza specifiche e segnalare i problemi alle autorità nazionali. Inoltre, anche i fornitori di servizi digitali, come i motori di ricerca e i servizi cloud, dovranno rispettare i requisiti di sicurezza e di segnalazione della direttiva.
Gli Stati Uniti e la sicurezza IoT
La legge sul miglioramento della sicurezza informatica dell'IoT del 2020
Firmata il 4 dicembre 2020, questa legge impone che i dispositivi IoT acquistati dal governo federale soddisfino gli standard minimi di sicurezza informatica stabiliti dal National Institute of Standards and Technology (NIST). Questi standard includono le pubblicazioni speciali 800-53 del NIST, che riguardano il controllo dei sistemi informativi, tra cui il controllo degli accessi, la risposta agli incidenti e la protezione dei sistemi, e 800-183, che si concentrano sulle considerazioni relative alla sicurezza e alla privacy dei dispositivi IoT. L'atto specifica che i dispositivi IoT devono disporre di identificatori univoci e di una solida autenticazione (Identity Management), di una forte crittografia per i dati a riposo e in transito (Data Protection), di procedure per aggiornamenti tempestivi e sicuri (Patch Management) e di configurazioni sicure (Configuration Management).
Executive Order 14028
Executive Order 14028 intends to assist both the US government and the private sector in better security from cyberthreats. The established framework clarifies how to improve IoT cybersecurity in America and offers solutions. For instance, EO 14028 requires organizations to set 3 three measures such as scanning application code, creating a software bill of materials (SBOM), and securing the development process.
Legge sulla sicurezza IoT della California (SB-327)
In vigore dal 1° gennaio 2020, la legge richiede ai produttori di dispositivi IoT di attivare ragionevoli caratteristiche di sicurezza adeguate alla funzione del dispositivo, ai dati raccolti e trasferiti; è progettata per proteggere i dati e l'hardware da qualsiasi tipo di accesso, distruzione o divulgazione non autorizzata. L'SB-327 descrive i dispositivi IoT come qualsiasi oggetto in grado di connettersi a Internet, compresi i dispositivi domestici come i termostati intelligenti e gli indossabili. I produttori che vendono in California devono rispettare le disposizioni della legge, assicurando che i dispositivi soddisfino gli standard di sicurezza. La mancata conformità può portare ad azioni di controllo da parte del Procuratore Generale della California o dei procuratori distrettuali locali.
Leggi statali sulla privacy
Diversi Stati, come la California e New York, hanno introdotto proprie leggi sulla privacy dei dati. Il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) rafforzano i diritti alla privacy e alla sicurezza dei consumatori, dando il diritto di conoscere, rimuovere e rinunciare alla raccolta dei dati e introducendo la sicurezza per i dati sensibili. Lo SHIELD Act di New York implica programmi di cybersicurezza IoT per le aziende che trattano i dati dei residenti di New York.
Il Regno Unito: Allineamento agli standard globali
La legge sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione (PSTI)
Il Regno Unito ha recentemente introdotto la legge PSTI con nuovi requisiti di sicurezza dei prodotti per i dispositivi connessi, compresi i dispositivi IoT come gli altoparlanti intelligenti, i dispositivi connessi e alcuni prodotti per il funzionamento dei computer, oltre a fornire aggiornamenti sul regime delle infrastrutture di telecomunicazione del Regno Unito. La legge contiene due parti principali: 1) per i dispositivi connessi e 2) modifiche al codice delle comunicazioni elettroniche del Regno Unito. Secondo la legge, i produttori di dispositivi IoT devono fornire informazioni chiare sui periodi di assistenza, garantendo che i consumatori siano informati sulla durata degli aggiornamenti di sicurezza e dell'assistenza tecnica per i loro dispositivi. Inoltre, la legge PSTI richiede ai produttori di implementare solide procedure per la segnalazione di problemi di sicurezza, facilitando risposte tempestive alle vulnerabilità e migliorando l'ecosistema complessivo di cybersicurezza IoT.
Singapore e la sicurezza IoT in Asia-Pacifico
Lo schema di etichettatura della sicurezza informatica (CLS)
La Cyber Security Agency of Singapore (CSA) ha introdotto il Cybersecurity Labelling Scheme (CLS) per i dispositivi connessi dei consumatori, al fine di migliorare le pratiche di protezione IoT. Questo schema implica quanto segue: i dispositivi intelligenti vengono classificati in base ai loro livelli di sicurezza informatica, mostrando ai consumatori i prodotti con una sicurezza migliore o peggiore prima che li scelgano. Inoltre, il CLS aiuta i produttori a distinguersi dalla concorrenza e a sviluppare dispositivi e soluzioni più protetti. Il CLS prevede i seguenti accordi di mutuo riconoscimento:
Finlandia. Un memorandum d'intesa (MoU) consente il riconoscimento reciproco delle etichette di sicurezza informatica tra Singapore e la Finlandia, facilitando la conformità e l'accesso al mercato.
Germania. Un accordo di mutuo riconoscimento (MRA) con la Germania garantisce che i dispositivi certificati con il marchio di sicurezza informatica tedesco siano riconosciuti dal CLS di Singapore, promuovendo processi di certificazione più snelli.
Requisiti normativi per gli aggiornamenti software
Ovviamente i requisiti specifici variano da regione a regione. Tuttavia, esistono anche aspetti tecnici comuni a molti atti di cybersecurity. Vediamo quelli che si applicano alla maggior parte di essi:
Codifica sicura. La sanitizzazione della memoria, la convalida dell'input e le librerie sicure possono essere esempi eclatanti di queste pratiche.
Requisiti crittografici. Gli algoritmi crittografici sono spesso richiesti da leggi e progetti di legge, poiché si tratta di una delle principali direzioni nell'ambito della crittografia dei dati e della gestione delle minacce in evoluzione.
Protocolli di aggiornamento sicuri. I protocolli HTTPS e TLS per la consegna degli aggiornamenti sono specificati in molti regolamenti. Ciò include gli aggiornamenti Over-the-Air (OTA) per gli aggiornamenti sicuri del firmware e del software dei dispositivi IoT.
Firma digitale. La firma crittografica degli aggiornamenti sarà probabilmente un requisito in molte regioni per garantire l'autenticità e impedire l'accesso non autorizzato durante il trasferimento dei dati.
Avvio sicuro e protezione dal rollback. Alcune normative potrebbero richiedere queste caratteristiche per evitare installazioni di firmware dannose o la manipolazione degli aggiornamenti.
Per saperne di più sugli aggiornamenti IoT e sui principali operatori del settore.
Il ruolo degli aggiornamenti Over-the-Air (OTA) nella cybersecurity
Gli aggiornamenti Over-the-Air (OTA) contribuiscono a mantenere la sicurezza informatica in un panorama normativo in continua evoluzione. Questi aggiornamenti si occupano di vulnerabilità, bug e spesso implicano un miglioramento delle prestazioni. Ecco come gli aggiornamenti OTA garantiscono la sicurezza:
Patch di vulnerabilità. Gli aggiornamenti OTA apportano modifiche al codice che risolvono le vulnerabilità identificate, riducendo il rischio di sfruttamento da parte di malintenzionati.
Aggiornamenti della crittografia. Gli aggiornamenti possono introdurre nuovi algoritmi di crittografia o correggere i punti deboli di quelli esistenti, rafforzando i meccanismi di protezione dei dati.
Correzioni di bug. Gli aggiornamenti OTA possono risolvere i bug del software che rendono il sistema più vulnerabile e instabile.
Le normative sulla cybersecurity incoraggiano i produttori a utilizzare metodi efficienti e sicuri per gli aggiornamenti, motivandoli a dare priorità agli aggiornamenti OTA come aspetto fondamentale del loro approccio alla cybersecurity dell'IoT. Questo garantisce che gli utenti ricevano le patch di sicurezza più recenti. Per saperne di più sugli aggiornamenti OTA, consultate la nostra Knowledge Base.
Come gli aggiornamenti delle OTA si rapportano alle normative: L'esempio di Mendor
Molte aziende come Mender possono aiutare i fornitori IoT a costruire ecosistemi resilienti che proteggono gli utenti, risparmiano risorse e controllano i progetti IoT in tempo reale. Vediamo nel dettaglio come funzionano gli aggiornamenti OTA di Mender nell'ambito delle principali normative:
Normativa | Requisiti chiave | Come Mender risponde |
Legge sulla resilienza informatica (CRA)
| Aggiornamenti di sicurezza obbligatori Privilegiare la sicurezza nell'intero ciclo di vita | Aggiornamenti sicuri con HTTPS, TLS e firma digitale Avvio sicuro e controllo dell'accesso basato sui ruoli (RBAC) |
Direttiva NIS/NIS2
| Misure di sicurezza solide per le infrastrutture critiche Misure di sicurezza armonizzate tra gli Stati membri Divulgazione tempestiva delle vulnerabilità | Aggiornamenti sicuri, avvio sicuro, RBAC Console di gestione centralizzata per dispositivi geograficamente dispersi Distribuzione semplificata delle patch con campagne automatiche |
Legge PSTI del Regno Unito
| Meccanismi di aggiornamento sicuri Informazioni chiare sui periodi di supporto | Aggiornamenti sicuri con HTTPS, TLS e firma digitale Distribuzione semplificata delle patch |
Legge sulla sicurezza IoT della California (SB-327) | Pratiche di sicurezza standardizzate | Applicazione di pratiche di codifica sicure durante l'intero ciclo di vita degli aggiornamenti. |
GDPR | Controllo dei dati da parte dell'utente | Strumenti di trasparenza per comunicare informazioni di aggiornamento |
IoT e cybersecurity sono inseparabili. Il numero crescente di atti di cybersecurity riflette un impegno globale per lo sviluppo di software sicuro e le pratiche di aggiornamento. Implementando le necessarie salvaguardie tecniche, i produttori possono non solo ottenere la conformità, ma anche dimostrare il loro impegno a creare fiducia con i loro utenti nel mondo interconnesso.