M2MNetwork

Un programma di certificazione può aiutare la sicurezza IoT?

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Il Bitag propone un “bollino blu” per la sicurezza IoT in ambito consumer: troppi i prodotti mal progettati e senza possibilità di aggiornamento

Nel 2010 un gruppo di grandi aziende attive nel mondo Internet formò il Bitag (Broadband Internet Technical Advisory Group), nato sulla scia di una serie di eventi e conferenze ospitate dalla University of Colorado School of Law. Questo gruppo – che comprende tra gli altri anche Google, Microsoft e Intel – non ha il potere di definire standard o linee guida, ma si è dato il compito di fornire pareri autorevoli su come le tecnologie collegate alla comunicazione (parlare solo di Internet oggi è limitato) dovrebbero svilupparsi e come le normative possono agevolare la loro evoluzione corretta.

La novità è che per la prima volta il Bitag ha affrontato in maniera estesa il tema della sicurezza collegata alle implementazioni di Internet of Things, un tema di attualità dopo che la cronaca ha dimostrato la pericolosità per tutte le reti dell’installazione di device non adeguatamente sviluppati e protetti. In un nuovo report ha in particolare esaminato il problema della vulnerabilità dei dispositivi consumer, acuito dal fatto che gli utenti finali di questi ultimi sono persone non tecniche e non sempre interessate alle tematiche della gestione, della sicurezza e della privacy dei dispositivi che acquistano.

Il report comprende alcune osservazioni sullo stato della sicurezza dell’IoT consumer, sottolineando che molti dispositivi escono dalle fabbriche con software già datato o che lo diventa presto, inoltre gestiscono le loro comunicazioni in maniera non sicura, senza autenticazione e senza cifratura. Problemi che sono destinati spesso a permanere nel tempo quando i produttori dei dispositivi non hanno in programma patch e aggiornamenti software, perché gestirli sarebbe antieconomico.

Gartner - Previsione degli Endpoint IOT da qui al 2020
Gartner – Previsione degli Endpoint IOT da qui al 2020

La parte più importante del report, considerato anche il ruolo di lobby del Bitag, è costituita dalle raccomandazioni su come contenere ed eliminare i problemi di sicurezza dei dispositivi IoT. Alcune raccomandazioni sono tecniche, abbastanza ovvie e già considerate da alcuni produttori. Ad esempio i device IoT dovrebbero essere venduti con software aggiornato e con un programma di aggiornamenti software automatici, perché gli utenti difficilmente provvederanno direttamente agli update. Inoltre si consiglia un uso estensivo delle funzioni e dei protocolli di crittografia e di strong authentication.

Il Bitag lascia però anche intravedere la necessità di un programma di certificazione indipendente della sicurezza dei prodotti IoT per il mondo consumer. Come oggi ad esempio il logo del Wi-Fi certifica che il prodotto che lo espone è aderente ai protocolli e ha superato test di interoperabilità, così un ipotetico programma di test e certificazione dovrebbe garantire che un dispositivo IoT è stato prodotto e configurato con la giusta attenzione alla sicurezza e alla privacy dei dati che gestisce.

Il Bitag fa ovviamente riferimento a un programma che sia portato avanti dal mercato, quindi dai produttori e dai loro partner, invitando alla collaborazione tutta la supply chain collegata all’IoT. Anche altri osservatori indipendenti hanno sottolineato che un programma del genere sarebbe necessario, prima che il pericolo di una potenziale instabilità delle reti spinga direttamente il legislatore a intervenire con programmi di certificazione obbligatori, un po’ come quelli che sono richiesti per i prodotti che si collegano a un’altra rete, quella elettrica.