Cybersecurity IoT, protezione dei dispositivi lato produttore
La cybersecurity dei dispositivi IoT e di tutti i servizi correlati sta diventando sempre più importante, questo perché gli oggetti connessi presenti sul mercato sono in continuo aumento e, purtroppo, stanno diventando il mezzo preferito dagli hacker per creare botnet pronte a sferrare attacchi. Il motivo? Per quanto sia un tema importante, la cybersecurity in ambito IoT è ancora poco regolamentata e non esiste una certificazione standard in questo campo.
La situazione attuale in ambito cybersecurity IoT
Essendo un tema centrale, anche gli investimenti sono in continuo aumento; secondo una ricerca condotta da “Worldwide security spending guide” la spesa mondiale in soluzioni e servizi di cybersecurity avrà un incremento del 21% rispetto all’anno 2022, arrivando a un valore di 219 miliardi di dollari di investimenti.
I settori che stanno trainando questo aumento di valore sono quelli che si sentono più minacciati dagli attacchi e quelli dove i danni provocati da un’azione malevola possono provocare più danni; in particolare il settore bancario, il discrete manufacturing e la Pubblica Amministrazione aumenteranno gli investimenti in cybersecurity IoT per garantire al meglio la sicurezza dei dati raccolti e una corretta policy dei dati.
E per il futuro? Sempre secondo questo studio di mercato, la spesa totale di sicurezza IT continuerà a crescere di oltre il 10% entro il 2030 arrivando a superare i 300 miliardi di dollari entro il 2026.
Cybersecurity, come proteggere dispositivi e servizi IoT consumer
In un articolo pubblicato in precedenza sul nostro blog abbiamo affrontato l’importanza della cybersecurity evidenziando le best practices per proteggere i dispositivi IoT da attacchi esterni. Ad oggi, non esiste ancora uno standard univoco per proteggere e, di conseguenza, certificare i dispositivi o i servizi IoT destinati al mercato consumer, per questo si parla ancora di best practices.
Nonostante questa “limitazione” cominciano a circolare in rete alcuni documenti utili ad autocertificare i propri dispositivi/servizi IoT consumer; uno di questi, molto articolato e preciso, è stato redatto da ETSI (European Telecommunications Standards Institute), di seguito andremo ad analizzare le principali voci:
- non utilizzare password di default ma non solo, è opportuno integrare l’autenticazione a 2 fattori o un sistema OTP per ridurre al minimo rischi di attacchi bruteforce per ricavare password e usarle per attacchi DDoS;
- pensa a una modalità efficiente per gestire le segnalazioni di vulnerabilità e, allo stesso tempo, a una politica chiara per il trattamento, la risoluzione e il monitoraggio di vulnerabilità presenti e future;
- aggiorna tutti i componenti del software per mantenere un buon livello di sicurezza nei tuoi dispositivi e semplifica il più possibile l’attività di aggiornamento agli utenti finali; questo perché spesso una persona decide di rinviare gli aggiornamenti aumentando il rischio di subire attacchi. Per questo gli aggiornamenti OTA automatici sono i migliori;
- memorizza in modo sicuro i parametri di sicurezza sensibili, indipendentemente dal dispositivo stesso, e senza codificare gli stessi nel codice sorgente. Per quale motivo? Perché un’azione di reverse engineering può ricavare facilmente le credenziali;
- utilizza le migliori pratiche per la crittografia delle comunicazioni; essendo best practices vanno aggiornate abbastanza frequentemente. Inoltre, l’accesso al dispositivo dovrebbe avvenire solo dopo una corretta autenticazione;
- minimizza le superfici di attacco esposte, è una delle pietre miliari dell’ingegneria di sicurezza e consiste nel limitare i potenziali punti di accesso al servizio e/o al dispositivo IoT. Ad esempio non diffondere le informazioni non autenticate o limitare l’esposizione delle interfacce fisiche;
- garantire la sicurezza dei dati personali in transito tra un dispositivo e un servizio e, soprattutto, informare l’utente finale sull’utilizzo dei dati raccolti, sulle modalità di salvataggio e su come cancellare i propri dati o i permessi concessi al dispositivo.
Certificare il livello di cybersecurity etichettando i dispositivi venduti
Il documento creato da ETSI non è l’unico in circolazione, alcuni paesi stanno pensando a un sistema di etichettatura per poter informare chiaramente il compratore sul livello di sicurezza presente nel dispositivo e sulle modalità di trattamento dei dati personali raccolti.
I pionieri di questo sistema sono gli USA, con l’iniziativa denominata “Energy Star for cyber” un codice a barre scansionabile dall’utente per ottenere informazioni su policy relative agli aggiornamenti, cifratura dei dati, risoluzione delle vulnerabilità; il nome riprende il concetto della Energy Star, il marchio con stella bianca su sfondo più creata per identificare i prodotti che rispettano determinate norme per la riduzione del consumo energetico.
Ma gli Stati Uniti non si stanno muovendo in solitaria, con loro sono presenti anche altri stati tra cui Singapore e alcuni membri dell’Unione Europea (Finlandia). Singapore, in particolare, ha già avanzato una proposta per uno standard internazionale, ISO 27404, che definisce un Universal Cybersecurity Labelling Framework (UCLF) per l’IoT consumer.
Cybersecurity, come IoTReady e Trackle proteggono l’IoT
In IoTReady l’attenzione per la sicurezza delle soluzioni IoT offerte è massima, a partire dalla fase di progettazione e sviluppo fino alla manutenzione della piattaforma e del firmware rilasciato seguiamo un approccio Secure by Design che consente di pensare al tema sicurezza insieme al prodotto/servizio e non a fine lavori come spesso accade.
Per essere più precisi, il nostro punto di forza risiede in Trackle, la piattaforma IoT per la gestione dei dispositivi elettronici connessi, ed è qui che si concentrano tutti i nostri sforzi per renderla sicura nel tempo e di conseguenza rendere sicuri i dispositivi collegati a essa.
Come facciamo? Innanzitutto, utilizziamo i migliori standard per la crittografia della connessione e per l’accesso alle risorse, oltre a questo, ti facciamo gestire l’accesso del team ai dispositivi connessi secondo precisi permessi e proteggiamo la flotta di dispositivi connessi autenticando in modo univoco ogni nuovo dispositivo che vuole connettersi a Trackle.
Prenota una consulenza
Approfondisci tutte le potenzialità di Trackle e scopri se IoTReady può aiutarti nella creazione di dispositivi IoT sicuri.
Prenota la tua consulenza GRATUITA di 30 min con un nostro esperti in IoT.