Casa nostra, il prossimo obiettivo degli hacker
La Rubrica - Cybersecurity Week
Dopo l'ormai famigerato caso Colonial Pipeline il web ha iniziato a popolarsi di notizie e commenti in cui tutti parlano della debolezza delle infrastrutture critiche: reti elettriche, ospedali, aeroporti e via dicendo. In pochi però spiegano di quanto nel giro di pochi anni potrebbero rivelarsi vulnerabili le case di ognuno di noi. Sul tema ho già scritto su queste pagine (https://www.panorama.it/Tecnologia/cyber-security/casa-elettrodomestici-tutto-e-a-rischio-hacker-e-non-lo-capiamo) di un ricercatore che è riuscito a bloccare il funzionamento di una macchina per il caffè e di come negli ultimi anni siano stati individuati svariati exploit ai danni di sistemi domestici. Se per caso volete scoprire come potrebbe essere una vostra giornata tipo ve lo racconto qui.
Casa Smart - Alessandro Curioni (Cyber Security Specialist)www.youtube.com
Detto questo, però, se tutti, dagli stati alle micro imprese, sono pronti a investire in tecnologie nel nostro paese nessuno è disposto ad affrontare praticamente il problema. Potrei ritornare a parlare per la centesima volta dell'importanza della consapevolezza degli utilizzatori delle tecnologie dell'informazione, ma credo che ormai chi mi legge ne abbia compreso l'importanza (in caso contrario non sono stato abbastanza convincente).
A questo punto da più parti mi diranno che in realtà l'Unione Europea ha prodotto nel 2019 il Cyber security Act in cui parla di certificazione di servizi, processi e prodotti. Dopo due anni ENISA ha avviato la consultazione pubblica della prima bozza di schema di certificazione. Il mese scorso il governo inglese ha proposto una nuova norma per la sicurezza dei dispositivi smart.
Negli Stati Uniti ha visto la luce a fine 2020 l'IoT Cybersecurity Improvement Act che però si riferisce principalmente ai dispositivi utilizzati dal governo federale. Tutto molto interessante e utile, ma quando ho utilizzato l'avverbio "praticamente" lo intendevo nel senso di "concretamente", ovvero fare qualcosa subito che migliori la situazione, perché tra il nulla attuale e la perfezione che promettono molti di questi interventi normativi ci sono infinite vie di mezzo. Nel caso vogliate un esempio segnalo un interessante intervento normativo.
Lo stato della California da oltre un anno ha modificato una sua legge (SB-327 Information Privacy) introducendo il vincolo per cui qualsiasi dispositivo IoT venduto o offerto nel suo territorio è soggetto a normative specifiche in merito alle password configurate sul dispositivo stesso. Tutte le password devono essere univoche o richiedere una modifica prima che l'utente possa accedere alle funzionalità del dispositivo. Certo non si tratta di una svolta e forse si poteva fare di meglio magari rendendo obbligatorie entrambe le cose, ma intanto è stato un piccolo passo avanti e soprattutto ha il pregio della concretezza.
