Pubblicate le linee guida ENISA per la sicurezza dei device IoT (Internet of Things)


Questo studio ENISA definisce le linee guida per garantire la supply chain per l’IoT. Stabilire la sicurezza in tutto l’ecosistema IoT è un elemento fondamentale per la sicurezza IoT poiché la maggior parte di questi dispositivi sono composti da una moltitudine di componenti di diversi fornitori (sia hardware che software).

Spesso le catene di approvvigionamento rappresentano un anello debole per la sicurezza informatica perché le organizzazioni non possono sempre controllare le misure di sicurezza adottate dai diversi fornitori.

L’ENISA ha a lungo sostenuto che la sicurezza fin dalla progettazione e per impostazione predefinita (“Security by design & by default”) debba essere intessuta nei prodotti digitali.

La sicurezza dell’IoT deve essere considerata in tutte le fasi, dalla sua la progettazione concettuale iniziale alla consegna e manutenzione all’utente finale.

Lo studio è stato sviluppato per aiutare i produttori di IoT, gli sviluppatori, e tutte le parti interessate a prendere decisioni migliori in materia di sicurezza durante la costruzione, distribuzione o valutazione delle tecnologie IoT.

Scopi ultimi di tali linee guida sono:

  • Creare migliori relazioni tra gli attori
  • Coltivare ulteriormente le competenze in materia di sicurezza informatica
  • Adottare i principi di sicurezza in base alla progettazione
  • Adottare un approccio completo ed esplicito alla sicurezza
  • Sfruttare gli standard e le buone pratiche esistenti

 

INTRODUZIONE

La natura eterogenea dell’ecosistema IoT e il suo utilizzo critico rendono la sicurezza un elemento essenziale che deve essere curato.

Sebbene la maggior parte dei fornitori di hardware e software IoT consideri e applichi misure di sicurezza durante la progettazione e lo sviluppo dei propri prodotti, spesso trascurano i rischi rilevanti dalla “catena di approvvigionamento”, vale a dire dai componenti hardware e software di altri fornitori.

Il panorama delle minacce IoT è estremamente complesso ed è stato analizzato in modo esauriente dall’ENISA in diversi studi che coprono gli elementi specifici dell’ecosistema IoT. Gli studi rilevanti pubblicati dall’ENISA includono:

  • Supply Chain Integrity: An overview of the ICT supply chain risks and challenges, and vision for the way forward (Integrità della catena di approvvigionamento: una panoramica dei rischi e delle sfide della catena di approvvigionamento ICT e visione per la via da seguire) (2015).
  • Baseline Security Recommendations for IoT (Raccomandazioni di sicurezza di base per IoT) (2017).
  • Good Practices for Security of Internet of Things in the context of Smart Manufacturing (Buone pratiche per la sicurezza di Internet of Things nel contesto della produzione intelligente) (2018).
  • Good Practices for Security of IoT – Secure Software Development Lifecycle (Buone pratiche per la sicurezza dell’IoT – Ciclo di vita dello sviluppo software sicuro) (2019).
  • Industry 4.0 – Cybersecurity Challenges and Recommendations (Industria 4.0 – Sfide e raccomandazioni sulla sicurezza informatica) (2019).

 

OBIETTIVI

Lo studio condotto da ENISA aspira ad affrontare le sfide alla sicurezza informatica legate alla sicurezza di catena di approvvigionamento per l’IoT. Gli obiettivi principali di questo studio sono:

  • Analizzare le diverse fasi della catena di approvvigionamento IoT e sottolineare le sfide “chiave” sulla sicurezza informatica in ciascuna di esse.
  • Identificare le principali minacce;
  • Sottolineare le principali sfide per l’utilizzo della sicurezza lungo tutta la catena;
  • Identificare le misure di sicurezza e associarle alle minacce in tutte le fasi;
  • Sviluppare linee guida che possano supportare le parti interessate dell’IoT nella protezione della catena di approvvigionamento dell’IoT.

 

SCOPO

Lo scopo dello studio comprende tutte le fasi della filiera IoT, definita come sistema di organizzazioni, persone, tecnologia, processi, informazioni e altri fisici e risorse virtuali coinvolte nell’intero ciclo di vita di qualsiasi prodotto o servizio IoT, dall’idea alla fornitura del cliente finale.

Il seguente elenco include le fasi della catena di fornitura IoT che sono state considerate del documento:

  • Design del prodotto
  • Fabbricazione di semiconduttori
  • Produzione di componenti
  • Sviluppo della piattaforma IoT
  • Assemblaggio dei componenti e software integrato
  • Programmazione del dispositivo
  • Distribuzione e logistica
  • Fornitura di servizi e funzionamento dell’utente finale
  • Supporto tecnico e manutenzione
  • Ripristino e riutilizzo del dispositivo

 

PUBBLICO TARGET

Il pubblico di destinazione delle linee guida comprende:

  • Sviluppatori e produttori di software IoT.
  • Esperti di sicurezza delle informazioni.
  • Architetti di soluzioni IT / Security.
  • Chief Information Security Officer (CISO).
  • Esperti CIIP (Critical Information Infrastructure Protection).
  • Capi progetto.
  • Team di approvvigionamento.

 

Figura 1: modello di riferimento della supply chain per IoT

 

 

Figura 2: mappatura della catena di approvvigionamento IoT

 

LE MINACCE

Il terzo capitolo riporta una serie di minacce, considerate le più rilevanti nel contesto della filiera dell’IoT.

La rilevanza è stata determinata eseguendo una fase di ricerca, seguita da una fase di convalida in cui le minacce sono state discusse con esperti utilizzando due formati distinti: interviste personali e questionari.

Le minacce sono quindi state raggruppate in macro-categorie, che comprendono:

  • ATTO FISICO (DELIBERATO / INTENZIONALE)

In questa categoria sono da identificare minacce quali:

  1. l’opportunità agli attori malintenzionati di interferire e iniettare difetti che potrebbero causare problemi in fasi successive;
  2. l’utilizzo di prodotti difettosi o scartati reperiti al di fuori degli appropriati canali di distribuzione;
  3. l’utilizzo di materiali adatti allo scopo per cui verranno usati (es: non è importante quanto sia buono il software di una serratura intelligente se il dispositivo può essere facilmente fatto a pezzi a mani nude.)

 

  • PERDITA DI PROPRIETA’ INTELLETTUALE

In questa categoria sono da identificare minacce quali:

  1. La possibilità che soggetti malintenzionati abbiano la possibilità di acquisire, sfruttare, archiviare e ridistribuire la proprietà intellettuale e le informazioni sensibili
  2. reverse engineering: i danni sono simili a quelli precedentemente descritti ma è diversa la modalità di acquisizione delle informazioni che avviene con lo studio meticoloso del comportamento di un prodotto finale durante la fase di utilizzo (e non di progettazione, come nel primo caso) da parte di aggressori.
  3. la sovrapproduzione, cioè la pratica di fabbricare un prodotto il cui design e le specifiche sono stati forniti volontariamente dal legittimo titolare, con la particolarità che ciò avviene al di fuori dei limiti stabiliti di un contratto legale.

 

  • ATTIVITÀ / ABUSI NEFARI

In questa categoria sono da identificare minacce quali:

  1. attacchi ai dispositivi tramite la loro esposizione a campi magnetici, corrompendone la memoria di sistema: le conseguenze possono un attacco Denial of Service (DoS) o l’estrazione di informazioni sensibili.
  2. la possibilità inserito software dannoso il cui obiettivo principale è fornire accesso illecito o qualsiasi altra funzionalità che va contro l’uso previsto del sistema.
  3. la possibilità di effettuare il debug dei dispositivi IoT senza compromettere la riservatezza, l’integrità e la disponibilità Per questa ragione è necessario fornire l’accesso alle interfacce che permettono il debug in modo sicuro e solo al personale autorizzato.
  4. La possibilità che prodotti contraffatti vengano venduti da fornitori non autorizzati che non fanno parte dei canali di vendita ufficiali. Questa minaccia prevede, per esempio, l’inclusione di chip contraffatti nelle schede che contengono qualche tipo di malware o codice dannoso (es. trojan hardware).

 

  • LEGALE

In questa categoria sono da identificare minacce quali:

  1. la mancata compliance alle linee guida di sicurezza imposte dallo specifico settore (così come il GDPR e eventuali normative locali riguardo la protezione dei dati personali).

 

  • DANNO NON INTENZIONALE O PERDITA DI INFORMAZIONI

In questa categoria sono da identificare minacce quali:

  1. la mancata adozione di sistemi che possano proteggere attacchi “in rete” quali QoS o criteri firewall. I sistemi con accesso sono intrinsecamente più a rischio di quelli con accesso a reti interne.
  2. autenticazione “standard”: i dispositivi che richiedono l’autenticazione non dovrebbero mai lasciare la fabbrica con un file di credenziali predefinite globali fisse o credenziali derivate da informazioni facilmente reperibili (es. indirizzo MAC).
  3. Il mancato monitoraggio precoce di problemi hardware e software durante tutte le fasi;
  4. Mancanza di corretta formazione e informazione: Gli utenti (che siano membri dell’organizzazione che gestisce il dispositivo o gli utenti finali) dovrebbero essere adeguatamente informati e formati per aumentare la consapevolezza circa le funzionalità e i rischi per la sicurezza; sia nel caso di interni
  5. Aggiornamento tecnologico: Il panorama tecnologico è in continua evoluzione. Questa evoluzione può provocare vulnerabilità impreviste che non erano presenti durante la progettazione e fasi di implementazione; questo aspetto si verifica in particolar modo in dispositivi con lunghi cicli di vita.
  6. La mancata integrazione di un meccanismo di aggiornamento del software può compromettere la sicurezza del dispositivo, poiché potrebbero essere scoperte o nascere nuove vulnerabilità.
  7. I sistemi che dipendono dai servizi cloud e sono fondamentali per il funzionamento della catena di approvvigionamento dovrebbero essere in grado di svolgere le loro funzionalità principali anche se disconnessi per lunghi periodi di tempo.
  8. Impossibilità di ripristinare un dispositivo in seguito ad un attacco causando un impatto su funzionalità e sicurezza.
  9. Mancanza di procedure di registrazione o meccanismi di registrazione insicuri: questo aspetto potrebbe indurre gli aggressori a registrare dispositivi fraudolenti o a impedire la registrazione di dispositivi originali
  10. Riutilizzo di componenti: Le organizzazioni possono scegliere di riutilizzare componenti già passati attraverso il flusso regolare della catena di approvvigionamento; questa pratica potrebbe essere messa in atto per ragioni quali l’ottimizzazione dei costi ma occorre valutare le ragioni per cui il componente è stato ritirato e se questo sia idoneo al riutilizzo
  11. Le condutture di produzione sono punti di ingresso altamente sensibili che vanno protetti con misure di sicurezza adeguate a regolamentare e monitorare l’accesso del personale autorizzato.

 

BUONE PRATICHE PER LA SICUREZZA DELL’IOT

Il risultato della consultazione ha portato ad un elenco non esaustivo di considerazioni sulla sicurezza.

Una considerazione di sicurezza che si applica in modo orizzontale a tutte le fasi è il fatto che quei processi che sono al di fuori del controllo diretto dell’organizzazione (ovvero gestiti da una terza parte) sono intrinsecamente più impegnativi: audit e ispezioni possono aiutare ma comunque complessi da gestire. Un’altra considerazione di sicurezza orizzontale può essere trovata nella resilienza di affidabilità della catena di fornitura, cioè la capacità di essere in grado di fornire un servizio continuativo.

 

 

BUONE PRATICHE PER MIGLIORARE LA SICUREZZA

Per organizzare i domini in modo logico, le buone pratiche sono state classificate in tre gruppi principali: attori, processi e tecnologie.

 

ATTORI: linee guida relative ai principi che determinano il modo in cui sono gli attori nella catena di fornitura dovrebbero interfacciarsi. I temi principali descritti in questo capitolo sono:

  • PREDILIGERE FORNITORI CHE FORNISCONO GARANZIE DI SICUREZZA
    Esiste una minaccia intrinseca nel lavorare con fornitori esterni a causa della mancanza di controllo circa le loro misure di sicurezza. Questo la minaccia può essere ridotta al minimo favorendo le aziende che implementano standard come l’ISO 27036 e ISO 28000, o raccomandazioni come NISTIR 8259. 10 Un’azienda che cerca l’approvazione della certificazione è solitamente un segno che sono disposti a lavorare seriamente per migliorare sicurezza. La certificazione è solitamente un processo costoso che non è adatto a tutte le organizzazioni: organizzazioni che non sono standardizzate ma dispongono di una protezione completa e siano trasparenti a riguardo dovrebbero essere considerati affidabili.
  • LAVORARE PER MIGLIORARE LA TRASPARENZA
    La trasparenza è fondamentale per controllare la sicurezza. Le parti interessate, in particolare i fornitori, dovrebbero essere trasparenti, offrendo informazioni chiare e dettagliate sulle operazioni e il normale comportamento dei prodotti forniti e comunicando tutte le informazioni rilevanti al passaggio successivo della catena.
  • SVILUPPARE MODELLI DI FIDUCIA INNOVATIVI
    La fiducia tra le parti interessate è una delle sfide più rilevanti e importanti. Ogni stakeholder dovrebbe stabilire un livello minimo di fiducia in base alle proprie esigenze e competenze, analizzando il flusso di dati per garantire la sicurezza e la privacy all’interno dei propri servizi di prodotti.
  • ADOTTARE LA VISIONE DELLA SICUREZZA NELLA CATENA DI APPROVVIGIONAMENTO COME PROCESSO CONTINUO
    La sicurezza nella catena di approvvigionamento non dovrebbe essere considerata come un’attività occasionale o uno stato. Il concetto di processo implica un flusso e un consenso formale tra le parti interessate, nonché l’approvazione e l’accettazione. La sicurezza dovrebbe essere inclusa in tutte le fasi della filiera come un processo continuo.
  • FORMARE UN TEAM QUALIFICATO E COMPETENTE
    Come nel caso di molti campi tecnologici, il dominio IoT mostra un rapido ritmo di cambiamento. Mantenere una forza lavoro qualificata che abbia accesso alla formazione regolare sulla sicurezza e alle necessarie risorse per tenersi aggiornati è di grande importanza.
  • PROMUOVERE UNA CULTURA DEL LAVORO DEGLI SVILUPPATORI FOCALIZZATA SU UN APPROCCIO BASATO SUL RISCHIO
    Promuovere un processo di sviluppo che consideri i rischi quando vengono distribuite le risorse e che garantisca che la sicurezza riceva la dovuta attenzione può avere un impatto significativo.
  • PROMUOVE LA CONSAPEVOLEZZA DELLA SICUREZZA IOT PER GLI UTENTI
    Una percentuale significativa di utenti non conosce le configurazioni di sicurezza e/o non è completamente consapevole dell’impatto che può avere un livello di sicurezza “debole”. L’onere della sicurezza non dovrebbe mai essere lasciato come responsabilità nei confronti dell’utente e le organizzazioni investire in campagne e azioni per sensibilizzare sull’importanza di un’adeguata sicurezza.
  • FORNIRE PROMESSE DI SICUREZZA AI CLIENTI
    Ai clienti dovrebbero essere fornite in modo chiaro ed esplicito informazioni complete relative alla sicurezza. Ciò include, ad esempio, possibili vulnerabilità che potrebbero essere scoperte durante il ciclo di vita del prodotto o la relazione degli aggiornamenti software distribuiti nei dispositivi.

 

PROCESSI: affrontare la sicurezza nei processi coinvolti quando viene progettato, sviluppato, distribuito e mantenuto un progetto IoT. Questi processi non sono limitati al contesto di una singola organizzazione ma dovrebbe includere le interazioni tra le parti interessate.

I temi principali descritti in questo capitolo sono:

  • ADOTTARE IL PRINCIPIO DI “SECURITY BY DESIGN” (SICUREZZA SIN DALLA PROGETTAZIONE)
    I moduli di sicurezza dovrebbero essere considerati componenti di alta priorità e presi in considerazione dalle prime fasi lungo l’intera catena di fornitura, così come la sicurezza dei dati e la privacy degli utenti.
  • STABILIRE E MIGLIORARE LA RACCOLTA DEI DATI, MISURAZIONE E GESTIONE DEI DATI
    Non tutte le parti interessate hanno le risorse per eseguire controlli o analisi di sicurezza, quindi la maggioranza esegue ipotesi di fiducia. È auspicabile ridurre al minimo queste ipotesi quando fattibile, pur mantenendo le garanzie sulla privacy per l’utente finale.
  • CREARE METRICHE DI INTEGRITÀ DELLA CATENA DI FORNITURA
    Il concetto di integrità nel contesto della catena di approvvigionamento IoT è probabilmente molto ampio. La maggior parte delle interpretazioni concordano sul fatto che è correlato allo stato della catena di fornitura che opera in modo genuino, privo di contraffazioni, malware o altre influenze che possano ridurre visibilità e responsabilità. Possono quindi essere create delle “metriche” che consentano di fornire visibilità sullo stato della catena di fornitura.
  • SVILUPPARE MODELLI DI MINACCIA PER LA CATENA DI FORNITURA IOT
    I modelli di minaccia dovrebbero fondere i concetti di sicurezza fisica e sicurezza digitale intrinsechi nei sistemi. Il processo di sviluppo include la divisione della catena di approvvigionamento in blocchi funzionali ed elencando le risorse in quei blocchi, per rilevare successivamente le risorse critiche. Oltre alle minacce derivate da “attacchi”, dovrebbero essere presi in considerazione anche incidenti involontari che possono influire sulla sicurezza.
  • IDENTIFICARE SOFTWARE DI TERZE PARTI
    L’utilizzo di software di terze parti introduce un grado di incertezza aggiunge possibili minacce. Questi componenti software devono essere documentati come parte del processo di sicurezza della catena di fornitura, compresi i criteri seguiti per la sua selezione. Le organizzazioni dovrebbero preferire quelli che hanno superato un processo di valutazione e certificazione e includere un piano di manutenzione.
  • STABILIRE UN PIANO DI TEST COMPLETO
    Tutte le soluzioni IoT dovrebbero includere un piano di test completo. Dovrebbero essere effettuati test indipendentemente da qualsiasi precedente test che potrebbe aver avuto luogo nelle fasi precedenti della catena.
  • IMPOSTAZIONI DI FABBRICA CHE UTILIZZANO LA “SECURITY BY DEFAULT” (SICUREZZA COME IMPOSTAZIONE PREFEFINITA)
    Una percentuale significativa di clienti tende a ignorare le funzionalità di sicurezza per ragioni di comodità o per mancanza di conoscenza tecnica; questo di solito si traduce in vulnerabilità che potrebbero essere evitate con un uso appropriato delle funzionalità di sicurezza già incluse nei dispositivi e nei prodotti. La sicurezza per impostazione predefinita dovrebbe essere l’approccio per produttori e fornitori, quindi i clienti che hanno bisogno di disabilitare le impostazioni di sicurezza devono farlo in modo consapevole ed esplicito.
  • IMPEGNARSI A FORNIRE PATCH DI SICUREZZA PER UN CERTO PERIODO DI TEMPO
    I dispositivi IoT legacy basati su software non mantenuto rappresentano una minaccia per l’integrità della catena di fornitura. Il supporto esteso e la consegna tempestiva delle patch di sicurezza dovrebbero essere presi in considerazione fin dalla fase di progettazione di un prodotto IoT. Il periodo di tempo in cui il produttore si impegna a fornire le patch di sicurezza deve essere esplicitamente e chiaramente indicato in anticipo.
  • INTEGRARE PROCESSI DI GESTIONE SICURA DEGLI SCARTI
    Materiali e componenti prodotti nelle fasi di produzione e fabbricazione che non rispettano i test di qualità o non sono ritenuti pronti per la produzione a causa di qualsiasi possibile motivo dovrebbero essere elaborati e smaltiti in modo sicuro.
  • UTILIZZARE TECNICHE DI RIMOZIONE SICURA DEI DATI
    I dispositivi vengono generalmente ripristinati alle impostazioni di fabbrica e liberati da tutti i dati utente privati ​​durante le fasi di disattivazione e ripristino. Pratiche di rimozione dei dati non sicure possono lasciare tracce dell’utente privato.
  • CREARE RISORSE DI DOCUMENTAZIONE COMPLETE
    Crea una serie completa di risorse di documentazione per combattere gli errori umani che includono linee guida chiare o punti di azione da implementare in ogni deliverable, in particolare sugli aspetti di gestione della configurazione e ripristino a seguito di un guasto.
  • SVILUPPARE O ADATTARE GLI STANDARD PER LA SUPPLY CHAIN IOT
    Attualmente nessuno standard si adatterebbe perfettamente allo scopo di garantire la catena di approvvigionamento per l’IoT a tutti i settori. Sebbene alcuni standard di sicurezza IT possano essere applicati, esistono limitazioni, a seconda del settore. Alcuni standard, come ISO27001 o il recente NERC CIP-013-1, potrebbero senza dubbio essere considerati abbastanza aperti e generici. Lo sviluppo di nuovi standard o l’adattamento di quelli esistenti contribuirebbero a migliorare l’integrazione delle informazioni sulla sicurezza tra tutti gli attori.
  • FORNIRE LA DISTINTA DEI MATERIALI (SBOMS) DEL SOFTWARE PER DISPOSITIVI IOT
    Un SBOM descrive i componenti software utilizzati come elementi costitutivi di un determinato prodotto in modo esaustivo, inclusi pacchetti o librerie sia open source che commerciali. Questi elenchi aumentano la visibilità del prodotto e consentono sia al produttore che agli utenti esterni di verificare la presenza di vulnerabilità note e convalidare il dispositivo dal punto di vista della sicurezza, aiutando a ridurre le lacune di vulnerabilità che possono consentire agli aggressori di sfruttare con successo una vulnerabilità per scopi dannosi.

 

TECNOLOGIE: potenziali misure tecniche ed elementi che potrebbero essere applicati per prevedere, rilevare e ridurre vulnerabilità e minacce. Questi includono componenti hardware, consigli di progettazione, tecniche, librerie o altri componenti software per supportare il processo lungo l’intera catena di fornitura.

I temi principali descritti in questo capitolo sono:

  • STABILIRE E MIGLIORARE LA PIANIFICAZIONE E LA GESTIONE DI AGGIORNAMENTO E OBSOLESCENZA DEL DISPOSITIVO
    La necessità di modernizzare e migliorare la qualità e le funzionalità dei dispositivi di solito porta a soluzioni IoT in cui coesistono diverse generazioni di dispositivi e software, che devono essere aggiornati per non diventare obsoleti.
  • UTILIZZARE LE TECNOLOGIE EMERGENTI PER CONTROLLO E AUDIT DI SICUREZZA
    Le tecnologie emergenti potrebbero aiutare a fornire visibilità nella catena di approvvigionamento per l’IoT. Le organizzazioni dovrebbero valutare la loro fattibilità dal punto di vista della sicurezza prima di impegnarsi in un’applicazione. Esempi di tali tecnologie includono il Blockchain, che può essere utilizzato per fornire solide garanzie di integrità nei sistemi di tracciabilità.
  • UTILIZZARE MECCANISMI HARDWARE PER FORNIRE LA CONVALIDA INTERNA
    Integra le tecniche di offuscamento hardware nei processi di progettazione per proteggersi da minacce come il reverse engineering e la sovrapproduzione. 
  • FAVORIRE L’ADOZIONE DEGLI SLAS CHE RICHIEDONO LA PRESENZA DI MISURE DI INTEGRITÀ DEL SOFTWARE
    L’avvio protetto e la firma del firmware sono misure di sicurezza che forniscono un certo grado di protezione contro le manomissioni. Nel caso della firma del firmware, l’hash di una data immagine del firmware è firmato utilizzando una chiave privata disponibile solo per il fornitore autentico del software; la chiave pubblica viene successivamente utilizzata dal dispositivo per verificare l’integrità delle immagini del firmware.
  • INTEGRARE SISTEMI DI GESTIONE DELL’IDENTITÀ PER IOT
    La capacità di identificare in modo univoco ogni dispositivo IoT è fondamentale e ha profonde ripercussioni relative a visibilità e responsabilità nella catena di fornitura.
  • INTEGRARE UNA SOLIDA RADICE DI FIDUCIA
    Una “radice di fiducia” è il primo elemento nella catena di fiducia di un dispositivo; è comunemente implementato utilizzando un componente hardware dedicato che fornisce una serie di funzionalità crittografiche che possono essere considerate affidabili dal dispositivo.
  • MECCANISMI DI ATTREZZATURA PER AGGIORNAMENTO DA REMOTO
    La capacità di applicare gli aggiornamenti in modo remoto e automatizzato per i dispositivi sul campo è fondamentale nel processo di sicurezza per la catena di fornitura.
  • INTEGRARE I MECCANISMI DI AUTENTICAZIONE NEI CIRCUITI
    Per supportare la tracciabilità e la manutenzione, l’autenticazione del dispositivo è obbligatoria.
  • CONSIDERARE LE POSSIBILITÀ DI CYBERSECURITY INTRODOTTA MEDIANTE LA COLLABORAZIONE HARDWARE-SOFTWARE
    Gli schemi di collaborazione hardware-software sono un approccio incentrato sulla copertura del gap di sicurezza informatica lasciato dalle misure di sicurezza che operano esclusivamente sull’hardware o sul software.

 

CONCLUSIONI

In conclusione, il documento pubblicato da ENISA riassume quanto prima dettagliato, in particolare:

  • FORGIARE MIGLIORI RAPPORTI TRA ATTORI
  • LE COMPETENZE IN SICUREZZA INFORMATICA DEVONO ESSERE ULTERIORMENTE COLTIVATE
  • L’IMPORTANZA DELLA SICUREZZA SIN DALLA PROCETTAZIONE (SECUTIRY BY DESIGN)
  • ADOTTARE UN APPROCCIO COMPLETO ED ESPLICITO ALLA SICUREZZA

L’ultimo punto su cui si sofferta il documento è l’importanza di UTILIZZARE (e trarre ispirazione) da BEST PRACTICES e STANDARD ESISTENTI, nonché dall’impegno a progettarne di nuovi che possano adattarsi ai diversi casi specifici di settore.

 

Il testo completo (in lingua inglese, è disponibile al link https://www.enisa.europa.eu/publications/guidelines-for-securing-the-internet-of-things