L’Internet delle Cose è un trend sicuramente in crescita. Con l’avvento del 5G, presumibilmente in Italia tra la fine del 2020 e il 2021, la pletora di oggetti connessi crescerà ulteriormente. Troppo spesso però ci si dimentica che tali gadget, sicuramente utili, nascondono rischi di sicurezza alquanto evidenti.
Del tipo? Webcam senza password, sensori di rilevamento e localizzazione, smartwatch, possono essere facilmente violati se non protettiti da idonee misure di sicurezza. Una delle più spaventose botnet della storia, Mirai, è cresciuta proprio grazie all’IoT indifeso. Il problema è che, non direttamente sotto l’occhio perenne degli utenti, gli accessori smart non danno sempre segnali evidenti di intrusione o manomissione, dunque accorgersi di avere in casa o con sé un oggetto pilotato da terzi non è semplice. Ed è qui che arriva il Codice di Sicurezza per l’IoT.
Nel Regno Unito il Dipartimento per il digitale, la cultura, i mezzi di comunicazione e lo sport (DCMS) insieme al National Cyber Security Center (NCSC) ha pubblicato nuove misure per combattere l’insicurezza dell’Internet of Things. L’idea nasce dalla necessità di sensibilizzare prima di tutto i produttori, che spesso non installano protezioni appropriate sui loro gingilli, rendendo difficile ai consumatori cambiare le password predefinite oppure aggiornare il software. Con i dispositivi connessi che ora controllano intere case piene di componenti elettronici, tra cui serrature, giocattoli per bambini, macchine fotografiche e prodotti medicali, l’importanza di proteggere l’IoT è più presente che mai.
Il Codice definisce 13 linee guida per aziende, fornitori di servizi, sviluppatori e rivenditori, con lo scopo di garantire che i device siano dotati di misure minime di sicurezza, come l’assenza di una password predefinita e l’obbligo che, al primo accesso, l’utente ne scelga una personale. Inoltre, lato realizzazione, il documento chiede alle compagnie di adottare una politica di divulgazione delle vulnerabilità, di mantenere aggiornato il software, di memorizzare in modo sicuro le credenziali e i dati sensibili, di minimizzare le aree di attacco vulnerabili, di rendere i sistemi resilienti alle interruzioni, di monitorare gli utilizzi ai soli fini di gestione delle minacce, semplificare le procedure di cancellazione dei datim anche in remoto.
HP e Centrica Hive sono le prime due aziende ad aderire al nuovo Codice. Il ministro britannico per il digitale, Margot James, ha affermato che questi impegni sono “un primo passo positivo verso un panorama più sicuro anche se è vitale che altri produttori seguano l’esempio per garantire che i loro oggetti adottino misure di sicurezza sin dal momento in cui vengono progettati.