La FCC ha introdotto un’etichetta che certifica la sicurezza dei dispositivi IoT, sigillo di qualità per i consumatori.
Un nuovo passo avanti verso la protezione dei consumatori nel mondo dell’IoT (Internet of Things) è stato fatto grazie alla Federal Communications Commission (FCC), che ha recentemente dato il via libera al U.S. Cyber Trust Mark, un’etichetta volontaria che certifica come gli apparecchi domestici intelligenti corrispondano agli standard di sicurezza di base. Questa misura arriva in risposta a un’iniziativa della Casa Bianca, richiamando il parallelismo con il programma di etichettatura per l’efficienza energetica Energy Star.
La creazione di un marchio facilmente riconoscibile ha l’obbiettivo di permettere ai consumatori di scegliere con cognizione di causa prodotti affidabili dal punto di vista della cyber security, spingendo così il mercato a risolvere la serie di vulnerabilità che affliggono i dispositivi connessi. Spesso questi prodotti sono spediti con scarse misure di sicurezza, aprendo la strada a gravi rischi per la privacy degli utilizzatori e fornendo ai cyber-criminali l’accesso a reti estese di dispositivi da usare per condurre attacchi.
L’ammirazione Biden ha sottolineato come il marchio di fiducia affronti questioni essenziali legate non solo alla sicurezza dei consumatori ma anche alla sicurezza nazionale, dato il frequente sfruttamento degli IoT devices da parte di hacker sponsorizzati da stati nazione al fine di orchestrare campagne di attacco. Sebbene inizialmente concentrato sui dispositivi consumer IoT, si prospetta che il progetto possa essere ampliato in futuro.
Per selezionare i prodotti che riceveranno l’etichettatura, la FCC individualizzerà un amministratore principale per sviluppare il programma e laboratori terzi accreditati per i test di conformità. I prodotti recanti il marchio mostreranno altresì un codice QR collegato a una pagina web che riporta la condizione attuale della sicurezza del dispositivo.
Coloro che desiderano utilizzare questa etichetta dovranno fornire informazioni dettagliate in merito, come la data di autorizzazione, nome del laboratorio accreditato e le istruzioni su come cambiare la password di default; oltre a ciò, si richiede l’elencare le istruzioni per la configurazione focalizzate sulla sicurezza, i programmi di aggiornamento software previsti, il periodo minimo di supporto e la presenza di un software bill of materials.
C’è concordia nell’asserto che il marchio di fiducia consideri non solamente l’apparecchio in sé ma anche l’ecosistema software a esso correlato, quali applicazioni o infrastrutture cloud. Bisogna evitare di infondere nei consumatori un falso senso di sicurezza, e per farlo è fondamentale considerare tutti i componenti che possano introdurre una vulnerabilità.
Nonostante si tratti di uno sforzo volontario, si rileva un interesse marcato da parte delle imprese nel poter differenziare i propri prodotti sul mercato globale presentando tali credenziali di sicurezza. La FCC collaborerà con l’Ufficio Affari Internazionali del Dipartimento di Giustizia e altre agenzie per favorire il riconoscimento internazionale dell’etichetta e lavorare alla reciproca riconoscibilità con ordini simili, come quelli esistenti nell’Unione Europea e a Singapore.
Anche se il marchio FCC rappresenta solo un primo passo verso un miglioramento della sicurezza dei prodotti IoT, enti come il Consumer Technology Association e l’organizzazione investigativa senza scopo di lucro Consumer Reports hanno espresso approvazione per l’iniziativa. In vista futura, si auspica l’introduzione di requisiti che abbraccino anche aspetti crittografici, meccanismi di segnalazione delle vulnerabilità e divulgazioni sulla privacy.