Prima o poi doveva succedere e non è un buon segnale per i produttori impegnati nel grande mercato IoT.
Un ente indipendente e di peso innegabile – Enisa, l’agenzia UE per la Network and Information Security – ha concluso che senza una regolamentazione sovranazionale i produttori di sistemi IoT non sono abbastanza motivati a inserire vere funzioni di sicurezza nei loro dispositivi. Serve soprattutto un piano europeo per un programma di certificazione della sicurezza IoT.
Secondo Enisa è evidente quello che viene definito duramente come “un fallimento del mercato” rispetto ai problemi di sicurezza e privacy quando si tratta di prodotti smart e connessi.
La cronaca lo dimostra e tanto le imprese quanto i consumatori si sono fatti diffidenti, un elemento che frena lo sviluppo del mercato e costa anche posti di lavoro.
D’altronde non esiste un “livello zero” della sicurezza previsto per questo mercato e non ci sono nemmeno linee guida legali e requisiti minimi di prudenza indicati per le installazioni IoT, che siano semplici device consumer o una intera fabbrica in stile Industry 4.0.
Per colmare questa lacuna serve, secondo l’agenzia, un programma preciso e chiaro per la valutazione e la certificazione dei prodotti IoT.
Un bollino blu per IoT
Enisa suggerisce alla Commissione Europa di valutare l’introduzione di un bollino blu, una EU Trust Label che identifichi i prodotti “sicuri” in base a vari possibili profili di sicurezza e ai rischi associati. Dopo aver definito questo livello di certificazione di base, si può passare a definirne altri più mirati e legati ad applicazioni verticali.
L’ipotetico nuovo programma di certificazione e standardizzazione dei prodotti IoT dovrebbe tenere conto delle normative che già esistono (come GDPR e Common Criteria) e definire livelli minimi obbligatori per le funzioni di sicurezza delle soluzioni, livelli la cui complessità deve essere proporzionale alla complessità dei prodotti stessi.
Un termostato da Smart Home, cioè, non dovrà soddisfare gli stessi requisiti di un sistema di controllo industriale.
La posizione di Enisa è stata espressa in un dettagliato documento che è stato sviluppato in collaborazione con tre nomi importanti dell’elettronica (Infineon Technologies, NXP Semiconductors e STMicroelectronics) che si sono quindi messi in una posizione quantomeno di vantaggio rispetto ad altri nei confronti delle mosse che vorrà intraprendere l’Unione Europea.
Il documento congiunto indica infatti che un programma di certificazione e standardizzazione europeo rischia di essere lento, quindi sarebbe opportuno partire dalle best practice già presenti nel settore.
