Sempre più dispositivi sono connessi a Internet, non solo nel settore privato, ma anche nell'industria. Ciò rende la produzione più efficiente e sempre più automatizzata, risparmiando costi e manodopera. L'Internet of Things (IoT - Internet of Things) si sta quindi diffondendo rapidamente e il numero di dispositivi connessi sta aumentando in modo significativo.
Ma con la crescente dipendenza dai dispositivi IoT, la necessità di forti misure di sicurezza informatica è diventata ancora più pressante. I legislatori lo hanno riconosciuto. Per proteggere i dati importanti archiviati su questi dispositivi, i governi di tutto il mondo hanno introdotto normative per migliorare la sicurezza standard dei dispositivi IoT. A cosa devi prestare attenzione? Uno sguardo al regolamento aiuta.
Normative IoT nell'UE e negli Stati Uniti
Negli Stati Uniti, l'IoT Cybersecurity Improvement Act è stato approvato nel 2020 e il National Institute of Standards and Technology (NIST) è stato incaricato di creare uno standard per i dispositivi IoT. Nel maggio 2021, l'amministrazione Biden ha approvato un ordine esecutivo per migliorare la sicurezza informatica nazionale. Poi, nell'ottobre 2022, la Casa Bianca ha pubblicato un opuscolo introducendo un'etichetta per i dispositivi IoT, a cominciare dai router e dalle telecamere domestiche, per indicarne il livello di sicurezza e renderlo visibile a colpo d'occhio.
Nell'Unione Europea, il Parlamento Europeo ha introdotto il Cybersecurity Act e il Cyber Resilience Act, che impongono diversi requisiti ai produttori prima che un prodotto possa essere marcato CE e immesso sul mercato europeo. Ciò include le fasi di valutazione e segnalazione, nonché la gestione di attacchi informatici o vulnerabilità durante l'intero ciclo di vita del prodotto. Il regolamento generale sulla protezione dei dati (GDPR) si applica anche alle aziende che operano nell'UE e le obbliga ad attuare misure tecniche e organizzative adeguate per proteggere i dati personali.
elementi chiave
Per conformarsi alle normative, i produttori devono implementare i seguenti elementi chiave:
- Aggiornamenti software: I produttori devono offrire la possibilità di aggiornamenti del firmware e garantire la validità e l'integrità degli aggiornamenti, in particolare le patch di sicurezza.
- protezione dei dati: Le normative seguono il concetto di "minimizzazione dei dati", ovvero solo i dati necessari vengono raccolti con il consenso dell'utente, ma i dati sensibili vengono archiviati in modo sicuro e crittografato.
- valutazione del rischio: Gli sviluppatori devono condurre la gestione del rischio durante la fase di progettazione e sviluppo e per tutto il ciclo di vita del prodotto, inclusa l'analisi delle CVE (vulnerabilità ed esposizioni comuni) e il rilascio di patch per le nuove vulnerabilità.
- configurazione del dispositivo: i dispositivi devono essere rilasciati con una configurazione di sicurezza predefinita che rimuova i componenti pericolosi, chiuda le interfacce quando non sono in uso e riduca al minimo la superficie di attacco per i processi attraverso il "principio del privilegio minimo".
- Autenticazione e Autorizzazione: i servizi e le comunicazioni devono richiedere l'autenticazione e l'autorizzazione, con protezione contro gli attacchi di accesso di forza bruta e una politica di complessità della password.
- Comunicazione protetta: le comunicazioni tra le risorse IoT devono essere autenticate, crittografate e utilizzare porte e protocolli sicuri.
Tuttavia, la conformità a queste normative può essere difficile a causa della loro complessità. Per semplificare il processo, sono state introdotte varie certificazioni e standard come UL MCV 1376, ETSI EN 303 645, ISO 27402 e NIST.IR 8259 per scomporre le normative in passaggi pratici.
Le aziende che desiderano proteggere i propri dispositivi IoT da minacce imminenti dovrebbero quindi utilizzare soluzioni che proteggano i propri dispositivi con il minimo sforzo e includano un servizio di valutazione del rischio che può essere incorporato in un dispositivo IoT. In questo modo, un dispositivo può essere protetto dalle minacce informatiche per tutta la sua durata. Nel migliore dei casi, la soluzione dovrebbe richiedere risorse minime e poter essere integrata in un prodotto senza dover modificare il codice. In questo modo, i dispositivi IoT possono operare in sicurezza e trarne il massimo vantaggio.
Maggiori informazioni su Checkpoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.