Compagni di vita quotidiani di un crescente numero di cittadini, “colleghi” utili e collaboranti nelle aziende, i device IoT potrebbero avere presto una cybersecurity label negli Stati Uniti. Non sono il primo Paese ad avere questa idea, infatti l’intenzione della Casa Bianca è quella di “copiare” il pioniere della sicurezza degli smart device: Singapore.
Già oltre 12 miliardi nel 2021, nonostante il chip shortage i dispositivi IoT saranno sempre più numerosi. Una conferma del fatto che device di questo tipo stanno diventando in molti casi essenziali nella vita privata e lavorativa degli abitanti di quasi tutti i Paesi del globo, più o meno sviluppati. Secondo le stime di IoT Analytics, nel 2023 gli IoT raggiungeranno la cifra di 14,4 miliardi (+18% rispetto al 2021) e, nel 2027, quella di 27 miliardi. Eppure, il settore non dispone ancora di alcun metodo condiviso a livello globale per misurare la qualità della sicurezza dei prodotti.
Questo “buco” normativo lascia spazio ai criminali informatici, mettendo a rischio gli utenti o inducendoli a un atteggiamento diffidente e sospettoso. Senza standard condivisi, infatti, è e resterebbe non garantito il diritto di sapere se e come questi dispositivi connessi proteggono i loro dati, automaticamente raccolti o consapevolmente trasmessi.
Entro il 2023 etichette per smart device più sicuri, ma ad adesione volontaria
Governi e aziende, più consapevoli di questa prospettiva rispetto alla maggior parte dei cittadini, si stanno muovendo per rimediare. Gli Stati Uniti sono un esempio, un esempio che, mediaticamente e strategicamente, potrà in futuro avere un notevole peso.
Il loro impegno per le IoT cybersecurity label è iniziato nel 2021, grazie a un ordine esecutivo del presidente Joe Biden. Negli scorsi giorni il governo statunitense ha discusso di questo con la Federal Communications Commission (FCC) e i rappresentanti di aziende tech e telco Google, AT&T, Cisco, Intel, Samsung e altri. Una tappa intermedia per aggiornarsi sullo status di definizione delle modalità di progettazione e di utilizzo delle label.
Il progetto è ancora in evoluzione, gli standard USA dovrebbero essere introdotti entro la primavera del 2023 e, inizialmente, l’adesione sarà volontaria. Le prime informazioni incluse saranno relative a quantità di dati raccolti, esposizione alle più comuni vulnerabilità, crittografia dei dati e interoperabilità. Tale sistema è liberamente ed esplicitamente ispirato a quanto già realizzato sull’etichettatura da Singapore. Non è una scelta casuale: questo Paese è considerato un leader mondiale nell’IoT, un pioniere, non solo a livello normativo.
Nel 2014, ha lanciato l’iniziativa Smart Nation per la raccolta dati e la digitalizzazione dei servizi pubblici. Un programma che ha permesso di incorporare l’IoT interoperabile e l’automazione in tutti gli aspetti della vita, compresi i trasporti, la sanità, la ristorazione e la logistica. Questa accelerazione nella diffusione di smart device ha reso necessaria, se non inevitabile, la realizzazione del Cybersecurity Labelling Scheme (CLS), lanciato nell’ottobre 2020.
Verso l’Universal Cybersecurity Labelling Framework (UCLF) per l’IoT
Lo schema introdotto da Singapore, anch’esso per ora in gran parte volontario, prevede quattro livelli. Una scelta compiuta pensando soprattutto a sviluppatori e produttori che, adeguandosi gradualmente, possono “risalire” la scala di sicurezza senza subire impatti economici negativi. Il sistema si basa su un numero di asterischi, assegnati a seconda dei test e delle valutazioni a cui il prodotto è stato sottoposto. Si parte dal livello uno, per prodotti che soddisfano i requisiti di sicurezza di base (garanzia di password predefinite univoche, fornitura di aggiornamenti software) fino ad arrivare al quarto e ultimo livello. In questo caso si hanno solo prodotti approvati in laboratori di terze parti e che soddisfano i requisiti del livello tre.
Prima degli Stati Uniti, altri Paesi hanno ritenuto questo schema un utile esempio per implementare cybersecurity label nel proprio contesto. Nell’Unione Europea la prima è stata la Finlandia, seguita questo autunno dalla Germania. Entrambe hanno firmato un accordo di mutuo riconoscimento dei rispettivi meccanismi di classificazione della sicurezza per smart device, soprattutto per il mercato consumer. Dagli altoparlanti intelligenti fino ai robot domestici, ma anche hub di automazione domestica o dispositivi medici. I vantaggi principali sono di tipo economico, e sono anche i più immediati ed evidenti. Da un lato si risparmiano tempo e risorse evitando duplicazioni di test, dall’altro si abbattono le barriere di accesso a nuovi potenziali mercati.
Con la diffusione di sistemi di etichettatura simili tra loro, si incoraggiano anche i produttori a tener conto della sicurezza nel progettare device IoT. Un effetto positivo di breve-lungo termine da non trascurare, anche se il vero obiettivo comune è quello di evitare la frammentazione degli standard IoT. Un obiettivo oggi sempre più urgente, sia per difendere i consumatori da attacchi cyber condotti attraverso dispositivi IoT non testati, sia per favorire l’innovazione. Senza standard condivisi a livello globale, le possibilità di evoluzione tecnologica e commerciale, infatti, crollano.
Anche in questo contesto, è stato Singapore a fare il primo passo ed è quasi pronta la sua proposta: l’ISO 27404 per definire un Universal Cybersecurity Labelling Framework (UCLF) dedicato all’IoT per il B2C. Si avrebbe così una guida a disposizione di tutti i Paesi che in futuro intendono seguire le orme di Finlandia, Germania e USA.
