Inoltre, dal 2024 l’elettronica smart di consumo dovrà essere testata per valutare la presenza di vulnerabilità di sicurezza e non dovrà più essere fornita con password predefinite deboli. Aggiornare il software dovrebbe essere un’operazione più semplice possibile. Lo stesso vale per la gestione, la protezione e la cancellazione di dati personali. E il fornitore dovrà dotarsi di una policy di divulgazione responsabile in modo da segnalare di conseguenza una falla di sicurezza a livello di software. Questi requisiti minimi di sicurezza sono stabiliti anche nello standard ETSI EN 303 645.

“Questa è una legge che tutti chiedevano e che tutti aspettavano”, rivela Nijhuis. Secondo l’EVP per l’Internet of Things, per la maggior parte degli utenti la sicurezza informatica dei dispositivi IoT resta qualcosa di non misurabile. “Devono semplicemente fidarsi della sicurezza di termostati smart, citofoni interattivi o macchine del caffè connesse. Non esistono marchi di qualità con cui riconoscere i dispositivi sicuri. La nuova legge, invece, potrà cambiare le cose. I dispositivi che non rispondono ai requisiti minimi di sicurezza non potranno ottenere il marchio CE”.

Sicurezza non integrata

Secondo Nijhuis, la nuova legge è la risposta giusta alla popolarità dell’Internet of Things che sta crescendo a una velocità fenomenale. Sono già circa 35 miliardi i dispositivi connessi a Internet e questo numero è destinato a raggiungere quota 125 miliardi nel 2030. “Viviamo e lavoriamo in un cloud di dispositivi IoT che raccolgono ed elaborano dati sulle nostre vite con le migliori intenzioni. Ci semplificano la vita, la rendono più divertente o sostenibile”.

Questa crescita spettacolare, però, ha anche un lato negativo di cui tenere conto, dato che l’integrazione della sicurezza nelle prime fasi viene spesso trascurata quando si sviluppano dispositivi IoT. “I dispositivi IoT possono raccogliere dati personali estremamente sensibili e fornire informazioni come la frequenza cardiaca di una persona o la sua posizione in un determinato momento”, dichiara Erno Doorenspleet, CTO di KPN Security. “Senza misure di tutela, la privacy è a rischio e possono verificarsi gravi incidenti informatici”.

Esiste quindi il rischio che criminali informatici possano ascoltare di nascosto le nostre conversazioni o sbirciare in una stanza da letto attraverso i baby monitor, i giocattoli dei bambini o le smart TV. Se non protetto, un citofono smart può permettere agli hacker di accedere alla rete domestica e ai dati che vi si possono trovare. Con una copia di tali dati si possono commettere furti di identità. Se non protetta, l’elettronica di consumo IoT può essere integrata in una botnet, come Dark Nexus, che permette alle organizzazioni criminali di perpetrare attacchi DDoS.

L’aiuto di Kiwa e KPN

La nuova legge è quindi un’ottima notizia per gli utenti dell’IoT ma, secondo Doorenspleet, questo non significa che sarà facile adeguarvisi. “In KPN aiutiamo i costruttori fornendo certificazioni e consigli, sviluppando un prodotto e applicando la sicurezza congiuntamente durante la fase di sviluppo e non in un secondo momento. Nel nostro laboratorio all'avanguardia possiamo testare a fondo anche la sicurezza di un prototipo funzionante per capire se il prodotto è conforme allo standard ETSI EN 303 645”.

In materia di certificazione dell’elettronica di consumo IoT, KPN Security ha sottoscritto un accordo di collaborazione con Kiwa, società specializzata in test, ispezioni e certificazioni. Nell’ambito di questo accordo, Kiwa approva i risultati dei test condotti nel laboratorio di KPN Security al fine di rilasciare un certificato di prodotto. Con questo certificato, il costruttore può avere la certezza che il prodotto possa essere venduto in Europa. Per il consumatore, il certificato è la dimostrazione che il prodotto è sicuro per l’uso.

Una società più sicura possibile

Secondo Nijhuis, è naturale che Kiwa e KPN siano partner. “Lo slogan di Kiwa è ‘Creiamo fiducia in tutto il mondo’”. E questo concetto si sposa perfettamente con i valori di KPN. I costruttori di elettronica di consumo IoT possono contare sulle conoscenze e sull’esperienza che KPN IoT ha acquisito sul mercato. Ora stiamo collaborando per risolvere il problema sociale rappresentato da prodotti IoT non sicuri”.

“La sicurezza è nel DNA di KPN”, conclude Doorenspleet. “I consumatori devono essere certi della sicurezza dei nostri servizi e prodotti. Ecco perché investiamo molto tempo e denaro nella sicurezza informatica. Le conoscenze da noi maturate rientrano anche nella nostra KPN Security Policy (KSP) e rappresentano per noi uno standard minimo per ogni nuovo sviluppo. Insomma, racchiude le nostre “norme di sicurezza”. Mettiamo a disposizione la nostra KSP gratuitamente, è il nostro contributo alla transizione verso una società digitale che sia la più sicura possibile”.

Vorresti saperne di più di Kiwa e KPN Security, un unico punto di riferimento per la valutazione indipendente, i test e la certificazione dell’elettronica di consumo IoT? Scrivici attraverso il nostro modulo di contatto.