L'IoT Day rappresenta un'opportunità internazionale per promuovere il dibattito sulle implicazioni dell'Internet of Things nella vita di tutti i giorni. In seguito alle numerose recenti violazioni e alla nuova normativa, il tema della sicurezza dell'IoT sta ricevendo grande attenzione. In occasione dell'IoT Day, vogliamo condividere alcuni consigli sulla sicurezza dell'IoT maturati in decenni di esperienza nel settore.
Proprio di recente, un hacker ha avuto accesso a 150.000 telecamere di sorveglianza live presso Verkada Inc. A quanto pare, gli hacker hanno mirato alle credenziali degli utenti per muoversi nella rete, riuscendo ad aggirare perfino l'autenticazione a due fattori di Verkada. Inoltre, non molto tempo fa SolarWinds ha subito quello che il presidente di Microsoft ha definito "l'attacco più grande e sofisticato che il mondo abbia mai visto".
Tali attacchi dimostrano che l'autenticazione a due fattori è un requisito minimo ma che dovrebbe preferibilmente accompagnarsi a un certificato digitale. Inoltre, le telecamere di sicurezza connesse sono da sempre un obiettivo nell'IoT e molte di esse presentano vulnerabilità in termini di pianificazione della sicurezza in fase di design e sviluppo. I produttori devono fare meglio e i consumatori devono conoscere meglio le implicazioni di sicurezza dei dispositivi che acquistano.
Alla luce di questo, il governo statunitense ha deciso di imporre un maggior numero di requisiti ai produttori di dispositivi. Nel dicembre 2020, è stato approvato l'Internet of Things (IoT) Cybersecurity Improvement Act, con l'obiettivo di sviluppare standard federali per le aziende private produttrici di dispositivi IoT. Con questo atto, il Congresso degli Stati Uniti ha voluto spingere i produttori IoT a incorporare la sicurezza in fase di sviluppo e produzione dei dispositivi IoT. Da quando è entrata in vigore la legge, il NIST si occupa di sviluppare le linee guida con i requisiti minimi di sicurezza per tutti i dispositivi utilizzati dal governo federale degli Stati Uniti. Tuttavia, la speranza è che mentre i produttori si impegnano a soddisfare questi standard per vendere i loro prodotti al governo statunitense, i dispositivi venduti nel settore privato possano includere anch'essi queste best practice di sicurezza. In questo modo, la legge servirà a favorire una maggiore sicurezza di tutti i dispositivi IoT prodotti.
In questo ambiente, i produttori devono prepararsi cercando soluzioni per integrare la sicurezza, dallo sviluppo dei prodotti alla fabbricazione dei dispositivi. L'infrastruttura a chiave pubblica (PKI) può contribuire a mantenere l'integrità, l'autenticità e la riservatezza durante il ciclo di vita di un dispositivo.
Autenticazione, crittografia, integrità e identità devono essere considerate fondamentali per ogni standard di sicurezza IoT o linea guida esistente. Ora che i produttori iniziano a pensare a come soddisfare i requisiti NIST, un buon punto di partenza sarebbe trovare una soluzione che soddisfi vari requisiti nell'ambito delle linee guida standard. L'infrastruttura a chiave pubblica (PKI), e di conseguenza l'uso dei certificati digitali, è un approccio di sicurezza comprovato che risolve le comuni problematiche della sicurezza relative ad autenticazione e accesso e riservatezza dei dati, garantendo al contempo l'integrità dei dati e delle operazioni sui dispositivi.
La PKI consente i seguenti approcci di sicurezza:
Siccome la PKI soddisfa svariati requisiti di sicurezza, è di certo un ottimo punto di partenza.
I produttori IoT che adottano la PKI migliorano la sicurezza grazie a una maggiore flessibilità in fase di distribuzione, fornitura e creazione dei certificati. I produttori hanno ambienti ed esigenze diversi durante la distribuzione della PKI. Alcuni potrebbero aver bisogno di una soluzione on-premise qualora non vi fossero reti disponibili durante la produzione. Altri potrebbero volere una soluzione in cloud per i costi più contenuti e la facilità di configurazione. La flessibilità nella fornitura consente ai produttori di fornire componenti o dispositivi prima della produzione, nella supply chain o durante la produzione, o perfino di fornire i dispositivi sul campo.
Infine, i produttori potrebbero aver bisogno di profili di certificati, modelli o protocolli diversi per specifici ambienti e soluzioni. Dal momento che ogni dispositivo IoT è unico, quindi con potenza di calcolo, protocolli di comunicazione e durata differenti, i produttori avranno bisogno di una soluzione PKI flessibile e sicura. Con la piattaforma giusta, i produttori possono creare profili di certificati che rispondono alle esigenze di qualunque tipo di dispositivo IoT.
Uno dei modi in cui la PKI può essere utile ai produttori IoT è identificando i loro prodotti originali tramite l'identità integrata nel dispositivo. I produttori IoT dovranno aggiornare periodicamente il software di questi dispositivi, garantendo che il software di sicurezza più recente o le modifiche alla configurazione proprietaria siano applicati ai loro dispositivi originali. Una volta avvenuta l'identificazione tra il sistema e il dispositivo, viene impiegata di nuovo la PKI per crittografare il software aggiornato destinato al dispositivo e solo il dispositivo del produttore potrà decrittografare l'aggiornamento software, assicurando così una comunicazione protetta e priva di manomissioni tra la rete e il dispositivo IoT.
Un altro utilizzo della PKI è l'autenticazione di un dispositivo sui servizi cloud, dove i produttori IoT possono monitorare lo stato della loro sicurezza. È importante che il produttore possa identificare se un dispositivo originale è connesso al suo servizio cloud al fine di eliminare eventuali bad actor che si fingono il dispositivo o si infiltrano nel servizio. Una volta protetta l'identificazione, il produttore può continuare in tutta sicurezza a mantenere il dispositivo nel proprio servizio.
DigiCert offre soluzioni PKI che aiutano i produttori a rispettare l'IoT Cybersecurity Improvement Act. DigiCert® IoT Device Manager e DigiCert® Secure Software Manager aiutano i produttori a soddisfare queste linee guida sviluppate dal NIST tramite l'identità e l'autenticazione dei dispositivi, la riservatezza e l'integrità.
Si trovano entrambi su DigiCert ONE™, una piattaforma PKI costruita su una moderna architettura cloud nativa basata su container che è facile da operare e altamente scalabile, con varie opzioni di distribuzione tra cui in cloud, in locale, ibrida o air-gap.
Per saperne di più su come la PKI può contribuire alla sicurezza dei tuoi dispositivi IoT e a soddisfare le linee guida sulla sicurezza informatica IoT di NIST, visita DigiCert IoT Device Manager o DigiCert Secure Software Manager.