L’ETSI (European Telecommunications Standards Institute), uno degli enti normatori europei, da tempo ha rivolto la sua attenzione verso il mondo dell’Internet of Things: dal lato consumer, con la EN ETSI 303-645, e dal lato sicurezza enterprise, con altre norme collegate, fino ad arrivare al TR 103 305-3 V3, l’ultima versione del terzo documento del technical report 103 305 del luglio 2023.
Come si compone il TR 103 305
Il TR 103 305 (Critical Security Controls for Effective Cyber Defence) è composto da un cappello iniziale e di 5 sottodocumenti, che sono:
- Part 1 (The Critical Security Controls),
- Part 2 (Measurement and auditing),
- Part 3 (Internet of Things Sector),
- Part 4 (Facilitation Mechanisms) e
- Part 5 (Privacy and personal data protection enhancement).
Il Part 3 contiene delle estensioni utili nell’ambiente enterprise, riprese e circostanziate per l’ambiente IoT, ha subito una notevole e recentissima revisione a seguito dell’emanazione dell’ottava versione dei CIS Controls, Mobile and IoT Companion Guides e verrà analizzato, nei suoi punti salienti, nelle prossime righe.
I 18 controlli da implementare
ETSI, infatti, non solo mantiene pubblici tutti i suoi elaborati essendo finanziata direttamente dall’Unione Europea, ma ha anche una vitalità normativa quasi senza pari al mondo: lo si può notare nei frequenti aggiornamenti delle sue norme per mantenerle al passo con gli ultimi sviluppi tecnologici, di cui tiene traccia minuziosa sul suo sito.
Figura 1. I 18 controlli della TR 103 305-3 V3
Il documento (la prima versione risale al 2016) ha come scopo lo sviluppo di Best Practice di gestione sicura delle reti enterprise che contengono oggetti IoT: dopo un cappello iniziale con finalità, definizioni e riferimenti normativi, propone 18 controlli da implementare per il corretto utilizzo di questi apparecchi. I controlli sono composti da un numero variabile di Safeguards, che possono essere comprese in 3 diversi Implementation Groups: IG1, IG2 ed IG3 di complessità e sicurezza maggiore.
Per via delle limitazioni intrinseche di molti device, i controlli devono esser presi in considerazione nelle analisi di mercato prima di acquisirli.
Le verifiche sono da considerare prima rispetto all’acquisto. Capita infatti spesso che gli oggetti IoT si acquisiscano in grandi quantità, un esempio su tutti i contatori delle reti di distribuzione idriche. Quindi, parlando di somme considerevoli, è necessario proteggere l’esborso in modo molto oculato.
Catalogazione e verifica degli oggetti IoT
Iniziamo ad esaminarli.
I primi controlli si riferiscono alla catalogazione e alla verifica degli oggetti IoT in sé e al software con cui sono equipaggiati: qualsiasi analisi di sicurezza deve comprendere la catalogazione di ogni oggetto connesso alla rete enterprise considerando metodo di accesso, tipologia di dati trattati e rete su cui è inserito. Salendo il requisito di protezione si inizia a parlare dei metodi di scansione per trovare gli oggetti sulla rete.
Catalogazione dei firmware e dei software
Nel controllo 2 si applica lo stesso discorso alla catalogazione dei firmware e dei software a bordo, dei loro sistemi di aggiornamento, della durata del supporto e di eventuali firme digitali, senza dimenticare gli accessi da e a reti esterne (per gestione da parte del vendor, o cloud per depositare dati) che, ove possibile, devono essere gestiti o altrimenti bloccati attraverso firewall a monte.
Data protection
Nel controllo 3 si parla poi di Data Protection. È necessario sapere che tipo di dati tratta ogni device e in che modo lo fa. Si deve analizzare il traffico generato da e per il dispositivo, se è cifrato e se parimenti è cifrata l’area di memoria in cui sono memorizzati i dati con riferimento alle normative vigenti (si citano GDPR, PCI DSS e HIPAA). Molti tipi di device remoti, infatti, sono a rischio di accesso e manomissione fisica. I dati a bordo, quindi, devono essere protetti e non devono essere trasmessi a cloud non conformi.
Configurazione sicura dei device e altri controlli
Il controllo 4 si occupa della configurazione sicura dei device e di come mantenere tali configurazioni sotto controllo nel tempo, mentre il 5 si riferisce alla gestione degli account locali, delle loro password, delle utenze di default e di un’eventuale gestione centralizzata degli account. Il controllo 6 tratta la gestione del controllo accessi: chi può creare le utenze, chi e come le può revocare, la gestione degli accessi con un sistema MFA per arrivare nel requisito più stringente ad un sistema RBAC.
Il controllo 7 invece si preoccupa di suggerire l’impostazione di un sistema di gestione delle vulnerabilità, con scansioni periodiche e delle relative patch mentre l’8 si preoccupa della gestione dei log dei devices IoT, possibilmente da centralizzare per l’integrazione in un SIEM aziendale.
Il 9 si occupa della protezione delle email e di un eventuale browser locale esattamente come si farebbe su qualsiasi altro dispositivo, mentre il controllo 10 affronta la gestione dei malware riconoscendo che su oggetti di limitata potenza computazionale esistono enormi criticità in questo campo.
Il controllo 11 ricorda che è necessaria una procedura di backup anche per gli oggetti IoT sia per le configurazioni (sempre) sia i dati (se si fa immagazzinamento locale, anche se temporaneo) e che questi backup vanno testati regolarmente.
I controlli 12 e 13 applicano alle reti IoT la normale pratica di gestione delle reti, mentre il 14 consiglia di istituire uno schema di addestramento sulla cybersecurity per gli utilizzatori degli oggetti.
Il 15 parla di come approcciarsi ai service provider in cloud per ogni servizio che possa essere usato dai devices, e il 16 raccomanda di verificare che gli applicativi – sia in cloud, sia locali – siano predisposti usando le best practice a partire dai dettami OWASP. Il 17 tratta la creazione di una procedura di incident response management, e infine l’ultimo controllo spiega come istituire dei penetration test periodici e come utilizzare i relativi report.
