certificazioni

Internet of Things “consumer”, l’approccio Ue alla sicurezza

Tutto quello che c’è da sapere sulla norma ETSI 303-645 che interessa la sicurezza dell’intero panorama IoT consumer – dai giocattoli per bambini, a serrature, smart tv, domotica in generale – e gli altri documenti correlati, necessari per le certificazioni che entreranno in vigore a breve

10 Mag 2021
Lorenzo Ivaldi

DITEN, Università di Genova

IoT

Il trend di crescita degli oggetti intelligenti nelle nostre case è vertiginoso. A causa della pandemia, lo smart working, la telemedicina/teleassistenza e il retail stanno usufruendo sempre di più di oggetti smart; ma la proliferazione dell’Internet of Things (IoT) porta con sé anche molteplici problematiche di sicurezza.

A partire dal 2016 ha iniziato a prendere forma, per iniziativa dell’Agenzia dell’Unione europea per la cybersecurity (ENISA), il progetto di normare la cybersecurity per tutelare i cittadini europei e le infrastrutture. Si è dapprima iniziato con la direttiva NIS (Direttiva 2016/1148), seguita dal GDPR (Regolamento 2016/679) e dal Cybersecurity Act (Regolamento 2019/881). L’azione di inquadramento è continuata di concerto con gli enti di normazione europea (CENELEC ed ETSI) con un obiettivo ambizioso: determinare se un oggetto IoT consumer possa essere considerato sicuro a partire da una certificazione. Questo ricorda ciò che nel secolo scorso – anni ‘50 – si è conseguito con il marchio IMQ per il contesto elettrico nazionale.

Revisione Direttiva NIS, i rilievi del Garante Ue: focus su incidenti e catena dei fornitori

La norma EN ETSI 303-645

Contrariamente alle più famose norme ISO/IEC quali 27001 e 62443, la ETSI 303-645 è gratuita, relativamente semplice e ben armonizzata nel panorama internazionale, visto che non contrasta con le norme ISO/IEC che si occupano di settori parzialmente sovrapposti.

WHITEPAPER
Sanità: quali le applicazioni di AI in radiologia, oncologia e cardiologia?
Intelligenza Artificiale
Sanità

Già dal primo paragrafo è evidente la vastità e conseguente importanza del settore cui fa riferimento, visto che interessa l’intero panorama IoT consumer, comprendendo giocattoli per bambini, serrature, smart tv, domotica in generale e così via: “The present document specifies high-level security and data protection provisions for consumer IoT devices that are connected to network infrastructure (such as the Internet or home network) and their interactions with associated services. The associated services are out of scope. A non-exhaustive list of examples of consumer IoT devices includes:

  • connected children’s toys and baby monitors;
  • connected smoke detectors, door locks and window sensors;
  • IoT gateways, base stations and hubs to which multiple devices connect;
  • smart cameras, TVs and speakers;
  • wearable health trackers;
  • connected home automation and alarm systems, especially their gateways and hubs;
  • connected appliances, such as washing machines and fridges; and smart home assistants.”

Immagine 1 – I capitoli principali della norma

Le caratteristiche che un oggetto deve possedere per essere certificabile

Le 13 caratteristiche che un oggetto deve possedere per essere certificabile sono molto chiare e di facile comprensione. In dettaglio:

  • Se sono presenti password, a parte la condizione “Factory default” ogni oggetto deve possedere una password univoca (non condivisa da altri oggetti della stessa linea) o definita dall’utente. All’acquisto dell’oggetto, questo deve già avere una propria password univoca oppure ne ha una di default che si deve necessariamente cambiare alla prima accensione. Questo per prevenire che un esterno possa entrare da remoto nell’oggetto usando le password di default comunemente usate da tantissimi oggetti (admin, admin per es.)
  • Il costruttore deve avere una procedura di “disclosure” delle vulnerabilità pubblica che deve comprendere almeno: un recapito per le segnalazioni di vulnerabilità, le tempistiche di gestione delle segnalazioni e una reportistica sullo stato delle segnalazioni. E in generale deve manutenere sia il software dell’oggetto sia monitorare i problemi hardware. Questo consente di poter segnalare problematiche di sicurezza sia da parte di esperti sia da utenti finali, che devono essere seguite e risolte dal costruttore in tempi certi. La regola serve per non avere oggetti insicuri le cui vulnerabilità siano conosciute da tempo e non risolte.
  • Il costruttore deve mantenere il software aggiornato con una procedura sicura e semplice. Gli oggetti IoT consumer spesso non si aggiornano dopo l’acquisto, pur in presenza di note vulnerabilità. I costruttori di oggetti conformi alla 303-645 sono tenuti a sviluppare meccanismi di aggiornamento semplici, sicuri e che informino l’utente dell’avvenuto aggiornamento.
  • L’oggetto deve immagazzinare in modo sicuro i parametri di sicurezza. Tutte le informazioni legate a certificati, password utente, autenticazioni, e in genere alla cybersecurity dell’oggetto devono essere cifrate e conservate in modo da non essere accessibile o modificabile da terzi non autorizzati. Questo ovviamente mira a impedire che altri prendano dolosamente il controllo dell’oggetto.
  • L’oggetto deve comunicare in modo sicuro. Il costruttore deve far sì che tutte le informazioni che arrivano o vengono trasmesse all’oggetto siano cifrate seguendo le best practices internazionali.
  • L’oggetto deve avere la minima possibile superficie d’attacco. Il concetto di superficie d’attacco si può riassumere in due concetti: nulla deve essere raggiungibile se non previa autenticazione; i servizi attivi dell’oggetto devono essere i minimi necessari per garantirne il corretto funzionamento.
  • L’oggetto deve implementare meccanismi di validazione dell’integrità del software. Allo stesso modo dei software dei telefoni cellulari, i sistemi operativi e i vari applicativi devono essere firmati digitalmente, per evitare l’esecuzione di software non certificati.
  • L’oggetto deve garantire la sicurezza dei dati personali degli utenti. Per garantire robustezza e trasparenza, ogni comunicazione dei dati personali deve avvenire attraverso meccanismi di crittografia robusta, i cui meccanismi devono essere documentati dal costruttore.
  • L’oggetto deve essere in grado di tollerare le interruzioni di rete e di corrente. È introdotto il concetto di resilienza negli oggetti IoT consumer che devono esser certificati: un apparato deve poter riprendere a funzionare in modo corretto a seguito di una interruzione di alimentazione o connettività. Con molti oggetti può succedere che restino in stati indefiniti e potenzialmente più vulnerabili ad attacchi.
  • Se l’oggetto produce dati di monitoraggio di funzionamento questi devono essere esaminabili. Per esempio, pensiamo al numero di login fallite sull’oggetto, che deve essere visibile all’utente.
  • Gli utenti devono poter cancellare facilmente i loro dati dall’oggetto. Ogni dato inserito dall’utente, password comprese, deve essere facilmente cancellabile e devono esserci precise procedure e istruzioni per farlo. A cancellazione avvenuta l’evento deve essere segnalato in modo che anche utenti meno capaci possano esserne certi.
  • L’oggetto deve essere di facile installazione e manutenzione. Deve essere presente una procedura (“wizard”) di configurazione sicura.
  • L’oggetto deve fare una “validazione degli input”. Una delle vie di accesso ai sistemi è l’utilizzo delle finestre di dialogo non protette per lanciare comandi sugli oggetti. Un sistema IoT certificato non deve poterlo permettere.

Un oggetto viene considerato certificabile e quindi sicuro solo se soddisfa tutte e 13 le condizioni.

In ossequio al GDPR, la ETSI 303-645 si occupa anche di privacy. La sezione 6 prescrive che il costruttore dell’oggetto dichiari esplicitamente se vengono utilizzati dei dati personali per un qualsiasi scopo, in che modo e a che fine; l’utente deve poter esprimere un consenso informato al trattamento di tali dati, che deve essere ritirabile in ogni momento con cancellazione dei dati raccolti.

Gli sviluppi del 2021

Oltre alla norma in sé, che è diventata operativa nel giugno del 2020, a breve entreranno in vigore anche altri documenti correlati, necessari per le certificazioni. La Assessment specification (TS 103 701)[1] e la Implementation guide (TR 103 621)[2] consentiranno di definire al meglio il processo di certificazione.

Immagine che contiene testo Descrizione generata automaticamente

Immagine – Il corpus normativo della 303 645

[1] https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=58434

[2] https://portal.etsi.org/webapp/WorkProgram/Report_WorkItem.asp?WKI_ID=59473

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati