IoT, tre capisaldi per la sicurezza dei dispositivi smart

I dispositivi appartenenti al mondo dell’Internet delle Cose (IoT) sono sempre più diffusi sia nelle grandi aziende che nelle realtà più piccole così come tra i consumatori. Ma è l’aspetto legato alla sicurezza che continua a preoccupare. Ci siamo concentrati proprio su questo punto nell’articolo I dispositivi IoT sono diventati il principale obiettivo dei criminali informatici evidenziando come vulnerabilità lato software e configurazioni approssimative possono esporre a rischi di attacco l’intera rete locale.

Dal Regno Unito arriva una proposta di legge che mira a offrire agli acquirenti, a qualunque livello, rassicurazioni sulla qualità dei dispositivi IoT commercializzati.

Tre sono i capisaldi che i dispositivi IoT di ogni produttore dovrebbero sempre rispettare scrupolosamente.

1) Tutte le password dei dispositivi IoT devono essere uniche e non resettabili a nessuna impostazione universale di fabbrica.
2) I produttori di dispositivi IoT di consumo devono fornire un contatto di riferimento che possa essere utilizzato per segnalare eventuali vulnerabilità, da risolvere tempestivamente.
3) I produttori di dispositivi IoT di consumo devono indicare esplicitamente il periodo minimo di tempo durante il quale il prodotto continuerà a ricevere gli aggiornamenti di sicurezza, sia online che presso i punti vendita.

Si tratta di indicazioni che sono state suggerite dal National Cyber Security Centre (NCSC) e che vengono oggi proposte dal governo britannico.
Non è dato sapere se e quando verrà approvata una norma per costringere i produttori a supportare in maniera più attenta i dispositivi IoT immessi in commercio fornendo valide rassicurazioni in termini di sicurezza, qualità e assistenza. L’obiettivo è piuttosto, adesso, quello di coinvolgere fattivamente i singoli produttori aprendo un tavolo di discussione.

Sì perché il rischio per gli utenti è quello di mettersi in casa o in ufficio un dispositivo che può presentare delle lacune di sicurezza. Il consiglio, soprattutto se si volesse dapprima provare le funzionalità di un dispositivo IoT prima di scegliere se utilizzarlo stabilmente, consiste nel segmentare la rete e fare in modo che esso non abbia piena visibilità su tutti i sistemi connessi alla LAN.

Come già visto negli articoli Come rendere la rete sicura sia in azienda che a casa e Accedere a PC remoto, al router, a una videocamera o un dispositivo in rete locale, è fondamentale verificare le modalità con le quali è possibile connettersi da remoto al dispositivo IoT accertandosi del livello di protezione offerto dall’accesso via cloud (crittografia, autenticazione,…) ed evitando di esporre porte sull’IP pubblico. Nel caso in cui si preferisse non utilizzare il servizio cloud messo a disposizione dal produttore ma si volesse accedere direttamente, a distanza, al device IoT, il consiglio è quello di approntare sempre un server VPN locale.

Il Regno Unito non è il solo a voler ampliare le garanzie per chi compra dispositivi IoT: l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), ad esempio, sta prendendo provvedimenti che guardano nella medesima direzione (se ne parla già dal 2017).