Il trend di crescita degli oggetti intelligenti nelle nostre case è vertiginoso. A causa della pandemia, lo smart working, la telemedicina/teleassistenza e il retail stanno usufruendo sempre di più di oggetti smart; ma la proliferazione dell’Internet of Things (IoT) porta con sé anche molteplici problematiche di sicurezza.
A partire dal 2016 ha iniziato a prendere forma, per iniziativa dell’Agenzia dell’Unione europea per la cybersecurity (ENISA), il progetto di normare la cybersecurity per tutelare i cittadini europei e le infrastrutture. Si è dapprima iniziato con la direttiva NIS (Direttiva 2016/1148), seguita dal GDPR (Regolamento 2016/679) e dal Cybersecurity Act (Regolamento 2019/881). L’azione di inquadramento è continuata di concerto con gli enti di normazione europea (CENELEC ed ETSI) con un obiettivo ambizioso: determinare se un oggetto IoT consumer possa essere considerato sicuro a partire da una certificazione. Questo ricorda ciò che nel secolo scorso – anni ‘50 – si è conseguito con il marchio IMQ per il contesto elettrico nazionale.
Revisione Direttiva NIS, i rilievi del Garante Ue: focus su incidenti e catena dei fornitori
La norma EN ETSI 303-645
Contrariamente alle più famose norme ISO/IEC quali 27001 e 62443, la ETSI 303-645 è gratuita, relativamente semplice e ben armonizzata nel panorama internazionale, visto che non contrasta con le norme ISO/IEC che si occupano di settori parzialmente sovrapposti.
Già dal primo paragrafo è evidente la vastità e conseguente importanza del settore cui fa riferimento, visto che interessa l’intero panorama IoT consumer, comprendendo giocattoli per bambini, serrature, smart tv, domotica in generale e così via: “The present document specifies high-level security and data protection provisions for consumer IoT devices that are connected to network infrastructure (such as the Internet or home network) and their interactions with associated services. The associated services are out of scope. A non-exhaustive list of examples of consumer IoT devices includes:
- connected children’s toys and baby monitors;
- connected smoke detectors, door locks and window sensors;
- IoT gateways, base stations and hubs to which multiple devices connect;
- smart cameras, TVs and speakers;
- wearable health trackers;
- connected home automation and alarm systems, especially their gateways and hubs;
- connected appliances, such as washing machines and fridges; and smart home assistants.”
Immagine 1 – I capitoli principali della norma
Le caratteristiche che un oggetto deve possedere per essere certificabile
Le 13 caratteristiche che un oggetto deve possedere per essere certificabile sono molto chiare e di facile comprensione. In dettaglio:
- Se sono presenti password, a parte la condizione “Factory default” ogni oggetto deve possedere una password univoca (non condivisa da altri oggetti della stessa linea) o definita dall’utente. All’acquisto dell’oggetto, questo deve già avere una propria password univoca oppure ne ha una di default che si deve necessariamente cambiare alla prima accensione. Questo per prevenire che un esterno possa entrare da remoto nell’oggetto usando le password di default comunemente usate da tantissimi oggetti (admin, admin per es.)
- Il costruttore deve avere una procedura di “disclosure” delle vulnerabilità pubblica che deve comprendere almeno: un recapito per le segnalazioni di vulnerabilità, le tempistiche di gestione delle segnalazioni e una reportistica sullo stato delle segnalazioni. E in generale deve manutenere sia il software dell’oggetto sia monitorare i problemi hardware. Questo consente di poter segnalare problematiche di sicurezza sia da parte di esperti sia da utenti finali, che devono essere seguite e risolte dal costruttore in tempi certi. La regola serve per non avere oggetti insicuri le cui vulnerabilità siano conosciute da tempo e non risolte.
- Il costruttore deve mantenere il software aggiornato con una procedura sicura e semplice. Gli oggetti IoT consumer spesso non si aggiornano dopo l’acquisto, pur in presenza di note vulnerabilità. I costruttori di oggetti conformi alla 303-645 sono tenuti a sviluppare meccanismi di aggiornamento semplici, sicuri e che informino l’utente dell’avvenuto aggiornamento.
- L’oggetto deve immagazzinare in modo sicuro i parametri di sicurezza. Tutte le informazioni legate a certificati, password utente, autenticazioni, e in genere alla cybersecurity dell’oggetto devono essere cifrate e conservate in modo da non essere accessibile o modificabile da terzi non autorizzati. Questo ovviamente mira a impedire che altri prendano dolosamente il controllo dell’oggetto.
- L’oggetto deve comunicare in modo sicuro. Il costruttore deve far sì che tutte le informazioni che arrivano o vengono trasmesse all’oggetto siano cifrate seguendo le best practices internazionali.
- L’oggetto deve avere la minima possibile superficie d’attacco. Il concetto di superficie d’attacco si può riassumere in due concetti: nulla deve essere raggiungibile se non previa autenticazione; i servizi attivi dell’oggetto devono essere i minimi necessari per garantirne il corretto funzionamento.
- L’oggetto deve implementare meccanismi di validazione dell’integrità del software. Allo stesso modo dei software dei telefoni cellulari, i sistemi operativi e i vari applicativi devono essere firmati digitalmente, per evitare l’esecuzione di software non certificati.
- L’oggetto deve garantire la sicurezza dei dati personali degli utenti. Per garantire robustezza e trasparenza, ogni comunicazione dei dati personali deve avvenire attraverso meccanismi di crittografia robusta, i cui meccanismi devono essere documentati dal costruttore.
- L’oggetto deve essere in grado di tollerare le interruzioni di rete e di corrente. È introdotto il concetto di resilienza negli oggetti IoT consumer che devono esser certificati: un apparato deve poter riprendere a funzionare in modo corretto a seguito di una interruzione di alimentazione o connettività. Con molti oggetti può succedere che restino in stati indefiniti e potenzialmente più vulnerabili ad attacchi.
- Se l’oggetto produce dati di monitoraggio di funzionamento questi devono essere esaminabili. Per esempio, pensiamo al numero di login fallite sull’oggetto, che deve essere visibile all’utente.
- Gli utenti devono poter cancellare facilmente i loro dati dall’oggetto. Ogni dato inserito dall’utente, password comprese, deve essere facilmente cancellabile e devono esserci precise procedure e istruzioni per farlo. A cancellazione avvenuta l’evento deve essere segnalato in modo che anche utenti meno capaci possano esserne certi.
- L’oggetto deve essere di facile installazione e manutenzione. Deve essere presente una procedura (“wizard”) di configurazione sicura.
- L’oggetto deve fare una “validazione degli input”. Una delle vie di accesso ai sistemi è l’utilizzo delle finestre di dialogo non protette per lanciare comandi sugli oggetti. Un sistema IoT certificato non deve poterlo permettere.
Un oggetto viene considerato certificabile e quindi sicuro solo se soddisfa tutte e 13 le condizioni.
In ossequio al GDPR, la ETSI 303-645 si occupa anche di privacy. La sezione 6 prescrive che il costruttore dell’oggetto dichiari esplicitamente se vengono utilizzati dei dati personali per un qualsiasi scopo, in che modo e a che fine; l’utente deve poter esprimere un consenso informato al trattamento di tali dati, che deve essere ritirabile in ogni momento con cancellazione dei dati raccolti.
Gli sviluppi del 2021
Oltre alla norma in sé, che è diventata operativa nel giugno del 2020, a breve entreranno in vigore anche altri documenti correlati, necessari per le certificazioni. La Assessment specification (TS 103 701)[1] e la Implementation guide (TR 103 621)[2] consentiranno di definire al meglio il processo di certificazione.
Immagine – Il corpus normativo della 303 645
[1] https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=58434
[2] https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=59473
