Nell’ambito del segmento dell’Internet delle Cose, è sempre più cruciale accertarsi di utilizzare dispositivi sicuri. Gli utenti lamentano sempre più di frequente incidenti dovuti alla presenza di vulnerabilità nei prodotti IoT, spesso sfruttate da malintenzionati e criminali informatici.
Il consorzio CSA (Connectivity Standards Alliance), che si occupa di sviluppare lo standard per la smart home Matter, ha annunciato il 19 marzo 2024 il lancio delle specifiche IoT Device Security 1.0. Si tratta di un nuovo punto di riferimento per la sicurezza dei dispositivi IoT, anche grazie al relativo programma di certificazione “Product Security” che lo accompagna.
Il bollino PSV (Verified Mark) per certificare i dispositivi IoT sicuri
I produttori di dispositivi che rispettano le specifiche stabilite da CSA e hanno completato il processo di certificazione, possono applicare il marchio PSV (Product Security Verified Mark) sui loro device. Quindi, se la telecamera di sicurezza o la lampadina smart che intende acquistare “sfoggia” l’etichetta PSV, potete avere contezza del fatto che il prodotto ha superato test rigorosi e offre sufficienti garanzie contro gli attacchi provenienti dall’esterno.
Di fatto, almeno fino ad oggi, non esistevano standard o metodi condivisi per valutare il livello di sicurezza dei prodotti IoT. L’iniziativa CSA mira a stabilire uno standard unificato per la cybersecurity in ambito IoT e un programma di certificazione, fornendo ai produttori una soluzione unica per attestare la qualità dei rispettivi dispositivi, consentendo loro di conformarsi più facilmente alle varie regolamentazioni e standard internazionali.
La checklist per verificare la sicurezza dei dispositivi IoT
La IoT Device Security Specification 1.0 integra decine di disposizioni aventi a che fare con la sicurezza di ciascun prodotto. Le aziende produttrici sono tenute a dimostrare l’adesione alle prescrizioni, fornendo le prove a supporto delle soluzioni tecniche adottate e l’applicazione delle migliori pratiche di sicurezza.
Tra i punti salienti dei requisiti fissati da CSA, ci sono i seguenti:
- Assegnazione di un identificativo unico per ciascun dispositivo IoT.
- Assenza di password hardcoded nel codice di programmazione.
- Archiviazione sicura sul dispositivo dei dati personali e delle informazioni riservate.
- Comunicazioni sicure delle informazioni rilevanti per la sicurezza.
- Aggiornamenti software sicuri per tutto il periodo di supporto.
- Processo di sviluppo sicuro, inclusa la gestione delle vulnerabilità.
- Documentazione pubblica degli aspetti legati alla sicurezza.
I vantaggi della disponibilità di specifiche condivise
CSA precisa che quasi 200 aziende associate, tra cui Amazon, ARM, Comcast, Google, Infineon Technologies AG, NXP Semiconductors, Schneider Electric, Signify (Philips Hue e WiZ) e Silicon Labs, hanno collaborato mettendo insieme tecnologie, competenze e innovazioni correlate. Il lavoro svolto ha permesso di giungere alla “ricetta condivisa” contenuta nelle IoT Device Security Specification 1.0.
Consolidando diverse normative internazionali in un unico insieme di requisiti, il programma di certificazione aiuta i produttori a soddisfare i criteri fissati in più Paesi o regioni differenti, effettuando un’unica valutazione complessiva.
Includendo un ampio spettro di dispositivi per la smart home come lampadine, interruttori, termostati, telecamere per campanelli e altro ancora, il programma di certificazione stabilisce requisiti minimi per i dispositivi IoT.
Un URL stampato, un hyperlink, un codice QR o una combinazione di queste rappresentazioni apposte sul bollino PSV, offre ai consumatori la possibilità di accedere a ulteriori informazioni sulle caratteristiche di sicurezza di ciascun dispositivo.
Quando arriveranno i primi prodotti con il bollino PSV
Il CEO di CSA, Tobin Richardson, ha dichiarato che il marchio PSV è stato creato basandosi sui requisiti di varie agenzie governative e sui programmi approvati dagli enti pubblici. Ha inoltre ipotizzato che i prodotti con il marchio PSV potrebbero apparire già entro la fine del 2024.
“Per le aziende che puntano sulla sicurezza dei loro prodotti, l’apposizione del marchio PSV è un modo per differenziarsi dai concorrenti“, ha aggiunto l’amministratore delegato di CSA, il cui consiglio di amministrazione vede la partecipazione di esponenti di aziende quali Allegion, Amazon, Apple, ASSA ABLOY, Comcast, Espressif, Eve by ABB, Fortune Brands, Google, Haier, Huawei, IKEA, Infineon Technologies AG, The Kroger Co., LEEDARSON, Legrand, LG Electronics, Lutron Electronics, Midea, Nordic Semiconductor, NXP Semiconductors, OPPO, Resideo Technologies, Samsung Electronics, Schneider Electric, Siemens, Signify (Philips Hue e WiZ), Silicon Labs, Somfy, STMicroelectronics, Tuya, Verizon e Wulian.
In un altro articolo abbiamo anche richiamato l’importanza di allestire una soluzione per la smart home offline: ciò significa svincolarsi dagli ecosistemi chiusi di molti produttori e seguire la scia della “filosofia Matter” che guarda alla massima interoperabilità tra dispositivi di vendor completamente differenti.