cybersecurity

Come diventano sicuri i dispositivi IoT? Educando i consumatori

di |

Una migliore sicurezza IoT richiede un cambiamento nella cultura e nelle abitudini dei consumatori. Ma anche i produttori dovrebbero fare di più, con una migliore guida da parte del Governo.

Ironia della sorte, la buona notizia nascosta nell’atroce sicurezza dei dispositivi Internet of Things (IoT) attualmente in commercio potrebbe essere che questo sta mettendo in luce il problema anche a quella parte di pubblico generale che solitamente non si avventura nel mondo della cybersecurity

Le storie sulle Smart Cam hackerate, non vengono più coperte unicamente dalla parte più settoriale della stampa, sono i titoli di testa sui media tradizionali!

Non dobbiamo confondere awerness con competenza

Tutto questo aiuta con la consapevolezza dei consumer nei confronti dei rischi. Al di là delle conferenze sulla sicurezza, al grande pubblico si sta diffondendo la voce che l’IoT, oltre a fornire intrattenimento senza fine, comodità magiche, supporto medico salvavita e altro ancora, è anche la più grande superficie di attacco informatico del mondo.

Sta rapidamente diventando quello che molti ora chiamano Internet di tutto (Internet of Everything – IoE).

E se i consumatori diventano più consapevoli del fatto che le caratteristiche di questi dispositivi comportano dei rischi, è cosa buona.

Ciò non significa che il problema sia risolto, tutt’altro.

La consapevolezza dei rischi in essere non si traduce automaticamente in competenze.

Gli utenti potrebbero sapere che i dispositivi di domotica compromessi dai Criminal Hacker potrebbero permettere agli aggressori di sbloccare le loro porte o di spiare loro e i loro figli, ma questo non significa che sappiano come rafforzare il perimetro della propria rete domestica.

In effetti, è un po’difficile aspettarsi che lo facciano. Detto con una metafora: tutti sappiamo utilizzare i freni della nostra auto e capire se ci sono problemi o meno, pochi di noi sanno come ripararli in caso di guasti.

Nel caso dell’IoT, sfortunatamente non siamo ancora tutti in grado di capire “quando funzionano i freni o meno”.

IoT: non bastano le raccomandazioni

Un recente memo dell’FBI negli Stati Uniti si era posto proprio questo obiettivo, cercare di “educare” il più possibile i cittadini su alcuni semplici step per approntare una prima linea di difesa.

Tra le raccomandazioni dell’agenzia alcune regole fondamentali per la Cyber igiene come cambiare la password di default, aumentarne la complessità, assicurarsi che tutti i dispositivi siano aggiornati regolarmente, che il proprio network domestico sia sufficientemente segmentato e limitare i permessi concessi alle App.

Quindi qualche semplice consiglio e tutto apposto? Non proprio.

Prima di tutto, come ogni consumatore tradizionale potrebbe dirvi, non sono tutti facili.

Alcune delle raccomandazioni, fermo restando la loro bontà, non saranno attuabili dal tipico utente finale.

Prediamo a titolo esemplificativo un cittadino medio italiano. Cosa possiamo trovare nella sua casa? Router, laptop, tablet, telecamere di sicurezza, aspirapolvere intelligente, dispositivi multifunzione, televisione intelligente, ecc…

Chiedere a questi di mettere in pratica i consigli sopraelencati avrà solamente l’effetto di garantire che passerà un’intera giornata a smontare la sua rete o il suo dispositivo, a eseguire aggiornamenti, manutenzione o scansioni di sicurezza, e poi a sistemare le cose.

Stia in guardia il compratore?

I Romani dicevano Caveat emptor, stia in guardia il compratore. La difficoltà nell’applicare le misure consigliate come da lista non significa che il consumatore finale sia esonerato da tutte le responsabilità.

Certo, quando i rischi sono nascosti e l’utente medio non li comprende o conosce è facile concentrarsi solo sui lati positivi e sui benefici di ciò che il device IoT può fare per te. Ignorando, quindi, cosa potrebbe permettere ad altri di fare a te.

Cambiare la situazione attuale richieste uno sforzo combinato non indifferente. Lato consumatori, affrontare il problema richiederà un cambiamento culturale e di educazione.

Ci devono essere campagne di formazione/sensibilizzazione per tutti su cose come l’autenticazione e la gestione dei permessi.

Ma va anche detto che lato produttori e reseller dovrebbero esserci uno sforzo molto più concertato.

A cominciare dall’inasprire la sicurezza dei dispositivi e rendere più facile per gli utenti la loro configurazione e il loro controllo.

Ciò richiederebbe un certo livello di profilazione delle minacce, in base al quale le applicazioni e i loro permessi sarebbero valutati da professionisti che sono a conoscenza degli ultimi casi di violazioni e vulnerabilità, settando gli standard di conseguenza.

Probabilmente ci vorrà anche un po’ di coerenza governativa o normativa, cosa che non accadrà, per esempio, con il “inapplicabile” California Consumer Protection Act (CCPA), che è entrato in vigore il 1° gennaio 2020 nello stato americano.

Forse più efficace il Code of Practice for Consumer IoT Security del Regno.

Una cosa è certa, il panorama degli standard di sicurezza IoT è ancora troppo confuso a questo punto.

Ci sono troppe organizzazioni che hanno standard propri e soprattutto proprietari e i produttori sono pronti ad aspettare e a vedere cosa saranno costretti a fare piuttosto che scegliere uno standard.