La distribuzione dell’IoT solleva una serie di problemi di sicurezza dell’IoT legati alle funzionalità dei dispositivi IoT, come la necessità di algoritmi di crittografia leggeri in termini di capacità di elaborazione e archiviazione, e l'uso di protocolli standard.Dispositivi IoT sono più vulnerabili alle minacce alla sicurezza rispetto ai computer tradizionali basati su Internet a causa della loro minore potenza di elaborazione e delle risorse di memoria limitate, aggravando l’applicazione della protezione. L’attuale transizione del protocollo di rete Internet da IPv4 a IPv6 significa che sempre più dispositivi IoT dispongono di indirizzi IP globali, che può aiutare a identificare questi dispositivi come obiettivi per attacchi alla sicurezza. Anche il funzionamento e la comunicazione autonomi dei dispositivi IoT facilitano gli attacchi alla sicurezza. Perciò, sono urgentemente necessarie nuove e più potenti soluzioni di sicurezza per i sistemi IoT. Questo articolo ti guiderà attraverso l'Internet delle cose dalla rete all'hardware, Software, e altre questioni di sicurezza a tutti i livelli della discussione.
1. Cosa sono i problemi di sicurezza dell’IoT?
Le preoccupazioni relative alla sicurezza dell’IoT hanno molto in comune con la sicurezza IT. Tuttavia, I sistemi IoT richiedono maggiore sensibilità e riservatezza poiché questi sistemi entrano e digitalizzano la vita privata di un individuo. La sensibilità della tecnologia IoT deriva dagli elevati requisiti di sicurezza, con riservatezza estremamente elevata, autenticità, privacy, e integrità. Esistono problemi fisici e logici con la sicurezza dell’IoT. Da un lato, il problema fisico è l'energia del dispositivo. La maggior parte dei dispositivi IoT sono alimentati da batterie, quindi l'energia è relativamente insufficiente. D'altra parte, I dispositivi IoT hanno una potenza di elaborazione relativamente bassa e risorse di memoria limitate. Esistono problemi logici nell'autenticazione, protezione da malware, Protezione della privacy, e sorveglianza.
Internet e il suo stack tecnologico esistono da decenni. Durante questo periodo, un'architettura client e server centralizzata è stata la base su cui sono state costruite le piattaforme e i servizi attuali. Queste architetture possono anche essere ingombranti dal punto di vista dell’IoT. Per esempio, quando una miriade di sensori wireless deve inviare i propri dati a un servizio centralizzato, un servizio monolitico dovrebbe essere in grado di distribuire aggiornamenti di sicurezza a una rete di sensori decentralizzata o distribuita. Queste reti di sensori beneficiano tipicamente di un’architettura di comunicazione decentralizzata, che ha una grande influenza. In una certa misura è autogestito. Tradizionalmente, un ostacolo alla creazione di un’architettura decentralizzata è stata la fiducia degli altri partecipanti. L’introduzione della criptovaluta Bitcoin presuppone che non vi sia alcuna necessità di fiducia tra due parti. Ciò si ottiene incorporando un meccanismo di consenso distribuito come prova della nuova convalida delle transazioni, sfruttando allo stesso tempo la cronologia delle transazioni precedenti. Quindi questo si estende alla progettazione di transazioni generalizzate al di fuori dell’ambito delle criptovalute. Oggi, questo meccanismo generalizzato prende spesso il nome di blockchain.
Recente attenzione da parte delle autorità di regolamentazione, soprattutto nell’Unione Europea, ha portato a una maggiore attenzione alla sicurezza e alla privacy nello spazio IoT. L’adozione della tecnologia blockchain ha un grande potenziale come soluzione praticabile affinché i futuri sistemi IoT soddisfino i requisiti normativi. Per quanto riguarda i requisiti normativi per la progettazione dei dispositivi IoT, il Parlamento Europeo ha recentemente approvato nuove direttive e regolamenti. Questi requisiti, che può essere considerato il più severo al mondo, si applicano ai produttori di dispositivi e ai fornitori di servizi e piattaforme se forniscono all’UE o trattano dati personali di residenti nell’UE.
Inoltre, Gli stati membri dell’UE forniscono alcune normative settoriali specifiche per le aree che trattano informazioni sensibili, come i servizi sanitari e finanziari. Gli Stati Uniti non hanno una legge generale sulla protezione dei dati o sulla privacy e si basano principalmente su un numero limitato di leggi sulla privacy relative al settore. L’approccio americano alla progettazione dei sistemi informativi rende più difficile raggiungere conclusioni comuni sul mantenimento di un certo livello di privacy. Per esempio, mentre lo stesso sistema IoT può essere utilizzato in diverse regioni, lo suggerisce la mancanza di requisiti o definizioni comuni in materia di privacy. Il produttore deve quindi almeno anticipare in qualche modo l’uso previsto del sistema di progettazione, e l'uso previsto del sistema di progettazione se fosse vietato l'ingresso negli Stati Uniti. mercato.
D'altra parte, le persone potrebbero considerare i requisiti normativi dell’UE come un punto di riferimento degli obblighi da soddisfare quando si trattano dati personali o si tratta con operatori di determinate infrastrutture importanti. Esistono due leggi e regolamenti dell’UE responsabili dello sviluppo e della gestione dei sistemi informativi. Sono il regolamento generale sulla protezione dei dati (GDPR) e la direttiva sulla sicurezza delle reti e dei sistemi informativi (Direttiva NIS).
Il GDPR può presentare alcune sfumature tra gli Stati membri, ma getta le basi per un mercato unico digitale unificato all’interno dell’UE. Come direttiva, gli Stati membri possono adottare un approccio diverso nei confronti dei NIS, sebbene definisca quello che può essere considerato un livello minimo di responsabilità in materia di sicurezza dei sistemi informativi.
Cos'è l'Internet delle cose(IoT) Privacy?
Con lo sviluppo di Tecnologia IoT, la tecnologia digitale è ulteriormente penetrata nella nostra vita e nel nostro ambiente. Secondo Strategy Analytics, il numero di dispositivi connessi raggiunto in tutto il mondo 22 miliardi entro la fine del 2018 e si prevede che raggiunga 50 miliardi di 2030. Basato su dati ottimistici, la combinazione di IoT e intelligenza artificiale creerà un modo di comunicazione più intelligente. Complessivamente, l’impatto sociale ed economico dell’Internet delle cose sarà significativo, con dispositivi connessi integrati in ogni aspetto della nostra vita, dai dispositivi indossabili all'Internet dei veicoli, alle case intelligenti, all'Internet di tutto. La comodità e l’ubiquità dell’Internet delle cose porteranno enormi vantaggi, ma significa anche che la raccolta delle informazioni si sposta dal mondo online a quello offline, con i nostri corpi e gli spazi privati che diventano la fonte di raccolta di informazioni. In questo contesto, l'Internet delle cose, in particolare le questioni relative alla privacy legate all'Internet of Things di consumo, è diventato il centro dell'attenzione. A settembre 19, la Internet Society ha pubblicato un rapporto sulla privacy dell'IoT chiamato “Policy Brief: Privacy IoT per i decisori politici”, che analizza i rischi e le sfide portate dall’Internet of Things alla tutela della privacy personale, e propone raccomandazioni di azioni specifiche per i decisori politici, Fornitori di servizi IoT e altre parti interessate, e chiede di rafforzare il modello di governance della partecipazione collaborativa di più parti interessate.
Lo sviluppo dell’Internet delle cose consente la generazione di oggetti e sensori di uso quotidiano diversi dai computer, scambiare e consumare dati con un minore intervento umano. Oggi, l'Internet delle cose mostra la tendenza allo sviluppo su larga scala (il numero di dispositivi collegati continua ad aumentare), intimità (dispositivi indossabili e dispositivi impiantati nel corpo umano, eccetera.), onnipresente, sempre connesso, e intelligente. Ma questa scala di sviluppo potrebbe avere un impatto sulla tutela della privacy, consentendo alle persone di essere identificate più facilmente, tracciato, profilato, e influenzato.
Le sfide dell'Internet delle cose alla protezione della privacy personale includono: Primo, la protezione dell’Internet delle cose abbraccia un ampio spettro, compresi i confini normativi dei diversi dipartimenti e giurisdizioni. Da un lato, la legislazione sulla privacy tende ad essere segmentata per dominio, come la privacy medica, privacy finanziaria, privacy degli studenti, eccetera., e i dispositivi e i servizi IoT sono difficili da classificare. D'altra parte, Paesi e regioni diversi potrebbero avere legislazioni sulla privacy diverse per dispositivi e servizi IoT e si troveranno ad affrontare normative diverse quando la raccolta e il trattamento dei dati avvengono in giurisdizioni diverse. Secondo, è difficile per l’IoT ottenere il consenso informato degli utenti. Quando viene distribuito l'IoT, oltre ad ottenere il consenso informato da parte del proprietario del dispositivo, è difficile ottenere il consenso degli altri nello stesso momento. I dispositivi IoT non sono diversi da cose comuni come gli orologi, Altoparlanti, e televisori, quindi è difficile sapere se un dispositivo sta raccogliendo ed elaborando dati. Finalmente, Sfide dell’IoT il principio di trasparenza a tutela della privacy. Per esempio, a differenza dei siti web, app, eccetera., I dispositivi e i servizi IoT potrebbero non essere in grado di presentare agli utenti le proprie politiche sulla privacy, e potrebbero non fare un buon lavoro nell'informare gli utenti che stanno raccogliendo dati.
Per affrontare meglio queste sfide e rafforzare la tutela della privacy personale legata all’Internet delle cose, la Internet Society ha avanzato quattro raccomandazioni: Primo, rafforzare il controllo significativo degli utenti sui dispositivi e sui servizi IoT, e rafforzare la gestione dei dati IoT. Nello specifico, include: chiarire le responsabilità dei fornitori di servizi, incluso ottenere il consenso informato degli utenti durante la raccolta dei dati personali, migliorando la trasparenza, e archiviare i dati in modo sicuro, eccetera.; promuovere standard aperti e interoperabilità nei dispositivi e nei servizi IoT; e incoraggiare pratiche di minimizzazione dei dati. Secondo, migliorare la trasparenza della raccolta e dell’utilizzo dei dati degli utenti. Per esempio, notificare agli utenti le funzionalità dei dispositivi IoT e la raccolta dei dati in un modo che sia facile da comprendere per gli utenti, impostare funzioni di consenso e opt-out efficaci per gli utenti, migliorare la chiarezza della politica sulla privacy, migliorare la trasparenza durante tutto il ciclo di vita dei dati, e garantire privacy e sicurezza. È protetto durante tutto il ciclo di vita del prodotto, eccetera. Terzo, la legislazione e le politiche sulla privacy tengono il passo con gli sviluppi tecnologici. Nello specifico, include: migliorare le leggi esistenti sulla privacy e sulla tutela dei consumatori; rivedere l’adattabilità e la portata delle leggi sulla protezione della privacy; rafforzare le tutele legali per i ricercatori sulla privacy per garantire che non incorrano in rischi legali indagando su questioni relative alla privacy; L’uso diffuso del networking non aggrava la discriminazione e le pratiche sleali; introdurre la valutazione dell’impatto sulla privacy nello sviluppo dell’IoT, eccetera. Il quarto, rafforzare la partecipazione di più soggetti interessati. La risoluzione dei rischi e delle sfide legati all’IoT richiede la partecipazione congiunta del governo, il pubblico, industria, mondo accademico, organizzazioni sociali, e personale tecnico. Dovrebbe essere portato avanti un ampio dialogo a livello sociale, e si dovrebbe prestare attenzione al diritto di parola dei consumatori.
Complessivamente, la combinazione dell'IoT con le tecnologie emergenti come il cloud computing e intelligenza artificiale trasformerà la nostra economia e la nostra società in molti modi. La tecnologia offre grandi opportunità, ma comporta anche dei rischi. È necessario adottare misure adeguate per garantire che i vantaggi dell’IoT superino di gran lunga i rischi della privacy, sicurezza, eccetera. Ciò richiede la cooperazione di tutte le parti interessate, compresi i governi, produttori, consumatori, eccetera., garantire che le tecnologie IoT siano sviluppate in modo responsabile e sostenibile. I paesi stranieri stanno già promuovendo la legislazione sulla privacy e sulla sicurezza dell’IoT. La legislazione deve tenere conto delle caratteristiche dei dispositivi e dei servizi IoT e adottare meccanismi di regolamentazione flessibili e ragionevoli. Per esempio, anche nel GDPR dell’UE, il consenso informato degli utenti non è l’unica base giuridica per la raccolta e il trattamento dei dati personali degli utenti da parte dei fornitori di servizi. Perciò, la politica sulla privacy dell’Internet delle cose non dovrebbe limitarsi al consenso informato ma dovrebbe considerare le caratteristiche tecniche, e in determinate circostanze, si trasformerà da autorizzazione preventiva ad obblighi di protezione dei dati in corso e post-evento. Inoltre, si è risvegliata la consapevolezza della privacy dei consumatori. Per esempio, in un sondaggio, 77% dei consumatori ha indicato che la capacità di protezione della privacy e la sicurezza dell'IoT sono fattori importanti da considerare quando si prendono decisioni di acquisto. I produttori di IoT devono considerare i problemi relativi alla privacy degli utenti e alla sicurezza dei dati durante lo sviluppo e la realizzazione dell’IoT. Metti in pratica il concetto di “privacy by design” e rafforza il controllo degli utenti sui dati.
Perché è IOoT sicurezza critico?
01. Perché la sicurezza IoT è così importante oggi
Oggi, I dispositivi e le applicazioni dell’Internet of Things sono ampiamente utilizzati nel lavoro e nella vita delle persone, e quasi tutti gli oggetti diventeranno intelligenti per sfruttare i vantaggi della connessione a Internet globale.
Mentre nei primi giorni, le minacce alla rete erano concentrate sulle strutture IT aziendali, nel mondo moderno sono diventati più diffusi e frequenti. Prima di parlare delle misure di sicurezza per l'Internet delle cose, è importante comprendere alcuni dei vettori di minaccia di rete che circondano l'Internet delle cose.
02. Vettori di minacce comuni per l'Internet delle cose
I vettori di minaccia si riferiscono ai percorsi o ai mezzi attraverso i quali i criminali informatici possono accedere ai sistemi principali di un’azienda che operano nella rete. Alcuni dei vettori di minaccia più comuni nell’IoT sono:
(1) Nessun confine fisico
Il confine della rete IoT è più aperto rispetto al tradizionale confine di Internet. I metodi di sicurezza tradizionali per limitare l’accesso ai dispositivi non sono più disponibili. Questi dispositivi IoT si spostano in qualsiasi nuova posizione quando necessario e hanno accesso alla rete.
(2) Perdita di dati Wi-Fi e Bluetooth
Le configurazioni Wi-Fi e Bluetooth nell’IoT sono le principali fonti di perdita di dati. Bluetooth e il WI-FI con password deboli può essere facilmente rubato dagli aggressori di rete durante la trasmissione dei dati. Anche, nella maggior parte dei casi, la password utilizzata per la configurazione non è impostata univocamente per ciascun dispositivo. Se solo un dispositivo viene attaccato e compromesso dalla rete, viene lasciato uno spazio per l'accesso non autorizzato.
(3) Accesso fisico ai dispositivi IoT
Gli aggressori informatici ottengono l'accesso fisico ai dispositivi e ai carichi di lavoro IoT, il peggiore di tutti i vettori di minaccia. Con questo accesso, gli aggressori informatici possono facilmente accedere alle informazioni interne dei dispositivi IoT e ai loro contenuti. E utilizzando strumenti come BusPirate, Shikra, o LogicAnalyzers, possono anche leggere tutto il traffico nella rete. Con accesso fisico, gli aggressori informatici possono estrarre le password, modificare i propri programmi, o sostituirli con altri dispositivi che controllano.
03. IoT contro l'IT
Mentre molti dispositivi IoT sono all’avanguardia, l'infrastruttura IT è nel cloud. Le minacce alla sicurezza dell’IoT possono far sì che gli aggressori informatici ottengano l’accesso alle reti IT principali attraverso i vettori delle minacce dell’IoT. Ecco alcuni attacchi informatici reali.
- L'accesso alla rete attraverso il sistema HVAC porta a una violazione dei dati
Secondo i media, Obiettivo Inc., uno dei migliori 10 rivenditori negli Stati Uniti, è stato violato per rubare 40 milioni di numeri di carte di credito della società. Si tratta di una delle violazioni di dati più grandi al mondo. Gli hacker hanno violato i sistemi HVAC rubando credenziali di terze parti e quindi ottenendo l'accesso alle reti aziendali.
- SubwayPoS subisce un attacco da parte di hacker
Attualmente ci sono alcune segnalazioni di bug di sicurezza relativi al PoS. La violazione di SubwayPoS ha comportato una perdita di $10 milioni, con almeno 150 dei franchise di Subway presi di mira. Un attacco informatico simile si è verificato presso la libreria statunitense Barnes & Nobile, in cui i lettori di carte di credito a 63 i negozi sono stati attaccati e compromessi.
ransomware SamSam
Un altro noto caso di violazione del sistema è l’attacco informatico del ransomware SamSam, che colpì amministrazioni come il Dipartimento dei trasporti del Colorado e il porto di San Diego 2018 e interruppero bruscamente i loro servizi.
04. Normativa IoT
Sebbene alcune normative IoT siano state emanate da alcuni paesi e regioni, non sono sufficienti a mitigare i rischi legati agli attacchi informatici. La California ha norme ragionevoli sul livello di sicurezza quando si tratta di frenare gli attacchi informatici. Allo stesso modo, il Regno Unito ha implementato una politica di password univoca, e le aziende devono fornire dettagli di contatto chiari per i dispositivi IoT collegati all’infrastruttura IT locale per rivelare le vulnerabilità ed eseguire regolari aggiornamenti di sicurezza. Sebbene queste linee guida normative siano accolte con favore da molti commentatori della sicurezza, non è chiaro chi applicherà queste politiche. Il commentatore ha aggiunto che stanno lavorando per capire come i regolamenti verrebbero applicati attraverso i regolatori esistenti.
Le strategie e le misure degli aggressori informatici vengono aggiornate molto più velocemente, e tali regolamenti possono essere emanati o implementati annualmente o semestralmente. Perciò, è difficile tenere il passo con gli attacchi sferrati dai cyber attacker solo facendo affidamento su politiche normative.
05. Quali misure di sicurezza devono adottare le aziende
Nel rispetto delle norme sopra indicate, le aziende devono sviluppare le proprie misure di sicurezza per l’adozione dei dispositivi IoT.
Primo, devono determinare la sicurezza dei dispositivi IoT. È fondamentale garantire che i dispositivi IoT abbiano identità univoche, che costituiscono la base per altre misure di sicurezza.
Poi, in base al livello di identità, il software è protetto da misure come il codice firmato, firmware, eccetera.
Finalmente, l'azienda deve garantire la conformità ai massimi livelli per decidere quali versioni del software eseguire.
IoT sicurezza hardware
Nella progettazione di prodotti elettronici, la sicurezza è fondamentale. Ciò è particolarmente vero per il complesso, risorse limitate, e Internet delle cose altamente connesso (IoT). Per raggiungere la sicurezza dell’IoT è necessario fare affidamento su principi di sicurezza comprovati e vigilare contro le minacce in evoluzione. Ma gli ingegneri progettisti devono affrontare alcune sfide legate alla sicurezza IoT quando immettono i prodotti sul mercato.
01. L’IoT deve affrontare minacce alla sicurezza
L’IoT viene attualmente incorporato nella maggior parte delle operazioni industriali e commerciali, compresi i servizi pubblici, infrastrutture critiche, trasporto, finanza, vedere al dettaglio, e assistenza sanitaria. I dispositivi IoT possono percepire e misurare il mondo fisico e raccogliere dati su varie attività umane, facilitare la diffusione diffusa dell’intelligenza, automatizzato, e tecnologie di comando e controllo autonome. Attraverso l’onnipresente IoT che interconnette dispositivi intelligenti, le imprese sono in grado di creare tecnologie veramente rivoluzionarie che miglioreranno ogni aspetto della società umana e della vita economica del futuro. Eppure quasi ogni settimana i media mainstream riferiscono di violazioni della sicurezza digitale. Le perdite segnalate sono spesso furti o uso improprio dei dati delle carte di credito dei consumatori, che sono gocce nel mare rispetto alle migliaia di attacchi informatici che si verificano ogni giorno. Gli attacchi alla sicurezza includono il furto di dati preziosi e la causa di danni diffusi, e anche di più, prendere il controllo dei sistemi critici. Dal punto di vista del consumatore, Distributed Denial of Service (DDoS) gli attacchi sono probabilmente la minaccia più comune. La botnet Mirai, che ha sconvolto l'intera Internet 2016, ha suonato il primo campanello d’allarme, sensibilizzare le agenzie sulla minaccia. Dopo Mirai, Aidra, Wifatch, e Gafgyt, così come nuove botnet come BCMUPnP, Cacciatore52, e Torii53, sono penetrati complessivamente in milioni di dispositivi IoT per diffondere il loro malware DDoS, minatori di criptovaluta, e spam.
Man mano che sempre più dispositivi IoT compaiono nel nostro lavoro e nelle nostre vite, i potenziali attacchi alla sicurezza sono ovunque e su scala sempre più ampia. Prendiamo come esempio il controllo intelligente del traffico. Immagina una grande città dove l'infrastruttura dei sensori, semafori, reti mesh per auto, e i dispositivi di controllo che controllano il flusso del traffico sono esposti agli avversari. Il controllo dei semafori o la comunicazione tra veicoli tramite reti wireless agli incroci importanti non è più roba da film di successo di Hollywood, ma un problema reale e serio.
Pensate anche ai dispositivi medici abilitati a Internet, etichette intelligenti nei negozi per contribuire a migliorare l'esperienza di acquisto al dettaglio, e come sono collegati i nostri elettrodomestici. Se puoi usa il tuo smartphone per accendere la stufa, sbloccare la serratura e spegnere il sistema di allarme, e tutti gli altri??
Gli esempi sopra riportati sono rilevanti per tutti noi, ma ci sono molte situazioni invisibili al consumatore medio. Immagina il Internet delle cose industriale (IIoT) implementato per ambienti di produzione automatizzati. Quale sarebbe il caos se si verificasse una violazione della sicurezza, e quale sarebbe il costo finanziario dei tempi di fermo della produzione e dei danni alle apparecchiature?
Con il potenziale di attacchi in crescita esponenziale, La sicurezza dell’IoT deve essere completa e solida, con la capacità di recuperare rapidamente.
02. Voi non dovrebbe basarsi esclusivamente su un approccio software
I tentativi di intercettare o ottenere informazioni illegalmente non sono una novità. Il ricercatore informatico olandese Wim Van Eck lavora su questo da allora 1985. Ha estratto con successo le informazioni dal display intercettandone il campo elettromagnetico e decodificandolo. Il suo lavoro pionieristico ha evidenziato il fatto che era possibile aggirare costose misure di sicurezza utilizzando componenti poco costosi.
Tali attacchi elettromagnetici passivi e non intrusivi tramite canali laterali stanno diventando sempre più sofisticati e rappresentano una delle tante armi di attacco. Altri metodi di attacco edge-channel includono l'analisi della potenza differenziale (DPA) e altri, che sono comunemente usati insieme agli attacchi elettromagnetici edge-channel. Attraverso questo attacco, informazioni sensibili come le chiavi di crittografia, Le password, e le identità personali nel microcontrollore del dispositivo IoT verranno “compromesse” sotto forma di segnali elettromagnetici quando verranno eseguite le istruzioni di elaborazione della crittografia. I ricevitori a banda larga come applicazioni radio definite dal software sono attualmente molto economici e possono essere utilizzati per rilevare e memorizzare segnali elettromagnetici durante il funzionamento.
Il DPA è un metodo di furto più complesso, che può comprendere il consumo energetico del processore durante il funzionamento del dispositivo attraverso una semplice analisi della potenza. Poiché la potenza consumata dal dispositivo di elaborazione varierà a seconda della funzione eseguita, le funzioni discrete possono essere identificate conoscendo il consumo energetico. Le funzioni degli algoritmi di crittografia basati su AES, ECC, e RSA richiedono molti calcoli e possono essere identificati mediante l'analisi della misurazione della potenza. L'esame del consumo energetico a intervalli di microsecondi rivela varie operazioni numeriche spesso utilizzate in crittografia, come la moltiplicazione della somma quadrata. DPA aggiunge statistiche e tecniche di correzione degli errori alla semplice analisi della potenza, che può realizzare la decodifica ad alta precisione di informazioni riservate.
Anche la fuga di dati attraverso comunicazioni cablate o wireless può esporre informazioni riservate. Canali nascosti e “attacchi man-in-the-middle” sono modi efficaci per raccogliere dati ascoltando la comunicazione tra dispositivi IoT e sistemi host. L'analisi di questi dati può rivelare i protocolli di controllo dei dispositivi e le chiavi private necessarie per assumere il controllo del funzionamento dei dispositivi connessi in remoto.
Un'altra tecnica di attacco utilizzata dagli hacker sono gli attacchi impiantati su microcontrollori non protetti e sistemi su chip wireless (SoC) dispositivi. Nel caso più semplice, la tecnica può ridurre o interferire con la tensione di alimentazione del microcontrollore, facendo strani errori. Questi errori possono quindi far sì che altri dispositivi protetti aprano registri che contengono informazioni riservate, esponendoli così a intrusioni. Manomissione del segnale orario del sistema modificandone la frequenza, piantare il segnale trigger sbagliato, o la modifica del livello del segnale può anche portare ad anomalie nei dispositivi IoT che possono esporre informazioni riservate o portare alla manipolazione delle funzioni di controllo. Entrambi i casi richiedono un intervento fisico, ma non invasivo, accesso ai circuiti stampati interni al dispositivo.
Poiché molte delle tecnologie di sicurezza utilizzate per proteggere i dispositivi IoT sono basate su software, è probabile che le informazioni sulla sicurezza vengano lette illegalmente. Algoritmi di crittografia crittografica standard come AES, ECC, e RSA vengono eseguiti come stack software su microcontrollori e processori integrati. Dispositivi e software che costano meno di $100 può essere utilizzato non solo per visualizzare il consumo energetico ma anche per ottenere chiavi e altre informazioni sensibili utilizzando la tecnologia DPA. Ora è facile ottenere strumenti software DPA pronti all'uso per automatizzare l'intero processo senza nemmeno dover essere esperti in questi metodi analitici.
Tali attacchi non sono più limitati al regno della teoria, e sono stati ampiamente utilizzati dagli hacker di tutto il mondo.
Con l'aumento dell'intensità dell'attacco, gli sviluppatori di dispositivi e sistemi IoT devono riconsiderare i propri metodi di protezione della sicurezza e migliorare le proprie funzioni di protezione della sicurezza per renderli più robusti e resilienti.
03. Approccio hardware a proteggendo iooT sicurezza
Prima di progettare un nuovo dispositivo IoT, è meglio avere una comprensione completa degli attacchi a cui è probabile che il dispositivo sia esposto, e da quali tipi di minacce è necessario proteggersi. È prudente rivedere i requisiti di sicurezza fin dall’inizio e incorporarli nelle specifiche del prodotto. La maggior parte dei dispositivi IoT tende a durare per molti anni, e questo da solo potrebbe portare a ulteriori attacchi, quindi è da considerare. Perciò, gli aggiornamenti del firmware devono essere eseguiti via etere (OTA), e per proteggersi da tutti gli attacchi, è necessario un approccio chip-to-cloud per implementare un progetto di sicurezza basato su hardware.
Il chip di sicurezza OPTIGA® Trust M2 ID2 recentemente rilasciato da Infineon è una soluzione di sicurezza completamente basata su hardware, e il suo più grande vantaggio è che può resistere agli attacchi a livello hardware. Utilizza una logica semplificata appositamente progettata per proteggere meglio l'archiviazione dei dati. Anche se il reverse engineering è molto professionale, i dati originali non possono essere facilmente violati e violati. Alcuni progetti professionali e implementazioni di codice non standard sono in realtà difficili da analizzare e comprendere. Il punto più importante è che la soluzione del chip di sicurezza basata su hardware può fornire una “root” affidabile per l’intero sistema e una fonte di fiducia per il sistema.
IoT sicurezza del firmware
Con il numero di terminali IoT in aumento a passi da gigante, le normative e gli standard pertinenti della sicurezza IoT stanno gradualmente approdando, e verrà gradualmente prestata attenzione alla sicurezza del firmware dei dispositivi incorporati con poche risorse. Come piattaforma di rilevamento della sicurezza IoT end-to-end, TinyScan scansiona ed estrae realmente informazioni sensibili nascoste e rischi per la sicurezza direttamente alla fonte. Sia gli sviluppatori di firmware che gli utenti di firmware possono utilizzare questo strumento per controllare lo stato di sicurezza del firmware specificato ed eseguire protezioni o evasioni mirate, riducendo così il numero di problemi di sicurezza IoT causati dalle vulnerabilità del firmware.
Nell’era dell’Internet delle cose, un modello di percezione con struttura a tre strati, trasmissione, e l'applicazione viene spesso utilizzata, e dispositivi integrati come i sensori, gateway, e i controller distribuiti nei tre livelli hanno introdotto un gran numero di nuovi problemi di sicurezza: architettura.
01. Ssicurezza del sistema
Attualmente, i principali sistemi operativi embedded sono ancora dominati da Linux o dai derivati di Linux, e diverse aziende personalizzano e sviluppano sistemi Linux in base ai requisiti e alle caratteristiche del prodotto. Tuttavia, a causa del fatto che le risorse dei dispositivi integrati sono limitate, è difficile trapiantare completamente le soluzioni di difesa della sicurezza esistenti nei dispositivi IoT.
02. Sicurezza dei componenti
Perché i dispositivi integrati utilizzano Linux come sistema operativo, molti componenti open source sono destinati ad essere utilizzati. I problemi nascosti di alcuni componenti open source nella modalità C/S potrebbero essere riscoperti e utilizzati nell'era dell'Internet of Things. Perché nello spazio sono presenti contemporaneamente un gran numero di dispositivi IoT identici, se il firmware del dispositivo non viene aggiornato in tempo dopo che si è verificata una vulnerabilità, potrebbe causare gravi perdite.
03. R&D Sicurezza
Nell'era di Internet, il client non può accedere e controllare direttamente il server, ma questo fenomeno è cambiato nell’era dell’Internet delle cose. Attraverso lo strumento di inversione open source, gli utenti possono facilmente ottenere i file di configurazione e le informazioni in chiaro rimaste nel firmware del dispositivo, e quindi ottenere direttamente i diritti di accesso del dispositivo, rappresentando una minaccia per un gran numero di dispositivi con le stesse specifiche.
Dovremmo condurre analisi di sicurezza sul firmware dalle seguenti dimensioni, e produrre i risultati dell'analisi sotto forma di report.
(1) Analisi della sicurezza del servizio file system
● Esegue automaticamente la scansione e ottiene le informazioni di base del file system del firmware, inclusa l'architettura della CPU, tempo di preparazione, modalità di compressione, tipo, misurare, e la modalità di archiviazione del file system.
● Dopo aver ottenuto le informazioni di base sul file system, è possibile determinare il tipo di destinazione della scansione e passare a diversi motori di scansione.
(2) Sistema & codifica dell'analisi del servizio
● Ottenere informazioni sul servizio di sistema, incluso il percorso del servizio di sistema e il valore MD5.
● Ottenendo le informazioni sul servizio di sistema, è possibile conoscere lo stato di autoavvio dei servizi di sistema, e le informazioni, ad esempio se esistono script dannosi sconosciuti nel servizio di avvio automatico, possono essere apprese rapidamente.
(3) Componente & SPA di analisi della sicurezza del software
● Scansione direzionale, ottenere il componente di sistema & informazioni sul software, componente compreso & percorso del software, descrizione, e indirizzo del sito web;
● Ottenendo il componente & informazioni sul software, è possibile ottenere rapidamente le informazioni sulla versione del componente & software installato nel firmware, e quindi eseguire la scansione di sicurezza di conseguenza.
(4)Recupero password utente
● Scansione direzionale, ottenere informazioni sulla password dell'utente, incluso il percorso del file relativo alla password, e informazioni sulla password;
● Dopo il recupero della password dell'utente, la perdita di informazioni sulla password causata dallo sviluppo non standard del firmware può essere esposta.
(5)Analisi della sicurezza dell'autenticazione tramite crittografia
● Esegue automaticamente la scansione e ottiene le informazioni sul file di autenticazione della crittografia, incluso il percorso e le informazioni sulla crittografia del file di autenticazione della crittografia;
● Dopo il rilevamento dell'autenticazione tramite crittografia, la perdita di informazioni sull'autenticazione della crittografia causata dallo sviluppo non standard del firmware può essere esposta.
(6)Analisi sensibile informazioni di sicurezza
La scansione automatica e l'ottenimento di informazioni sensibili sospette nel firmware includono, ma non sono limitati a, token/chiavi codificati, password di configurazione codificata, IP hardcoded, indirizzo HTTP hardcoded, Perdita di file nella cache, eccetera., che può esporre la perdita di informazioni sensibili causata dallo sviluppo non standard del firmware.
(7)Rilevamento vulnerabilità CVE
Rileva rapidamente le informazioni sulla vulnerabilità CVE nel file system, compreso l'ID CVE, tempo di rilascio, descrizione, e livello. Dopo il rilevamento della vulnerabilità CVE, è possibile ottenere le informazioni più recenti sulla vulnerabilità CVE del software installato nel firmware attualmente scansionato.
Internet delle cose(IoT) sicurezza del software
72% dei leader nel settore della sicurezza informatica afferma che il cloud computing è una priorità assoluta per la trasformazione digitale. Il software IoT basato sul cloud sta integrando elementi di sicurezza sia digitali che fisici in modo che i dati siano accessibili e sfruttabili da telefoni più sicuri.
Cosa può essere basato sul cloud Software IoT portare alla protezione della sicurezza? Questo articolo ti spiegherà come il software IoT può contribuire efficacemente a migliorare la sicurezza nel campo della sicurezza. Verrà inoltre illustrato come combinare elementi di sicurezza digitale e fisica per gestire gli incidenti di sicurezza.
01. L'impatto del software IoT basato su cloud
Il software IoT basato sul cloud viene utilizzato negli affari in vari modi. E le soluzioni basate sul cloud stanno apportando vantaggi al settore della sicurezza. Al suo centro, La tecnologia IoT sta trasformando il settore aziendale, rinnovare il modo di operare delle imprese.
02. Integra soluzioni basate su cloud per sfruttare i dati
I dati sono molto importanti in ogni settore, e il campo della sicurezza non fa eccezione. Con soluzioni basate sul cloud, archiviare dati e informazioni su un’unica interfaccia può aiutare le aziende a rimanere al passo con ciò che accade nel business.
Inoltre, combinando software potenziato dall’intelligenza artificiale e soluzioni basate su cloud, il personale addetto alla sicurezza può identificare meglio le potenziali minacce alla sicurezza. Sfruttare le tecnologie IoT basate sul cloud può aumentare la produttività. A causa delle ampie responsabilità del personale di sicurezza, il monitoraggio in tempo reale delle telecamere non è possibile. La tecnologia IoT può aiutare il personale di sicurezza a ricevere informazioni sulla telecamera e registrare feedback in qualsiasi momento, ovunque, contribuendo a stabilire migliori politiche di sicurezza. Alcune soluzioni IoT forniscono avvisi in tempo reale al personale di sicurezza che combina video in tempo reale e strumenti di analisi IA per migliorare la funzionalità del sistema di sicurezza e accelerare la risposta agli incidenti di sicurezza.
03. combinaree il potere del fisico e del cyber sicurezza
La combinazione di sicurezza digitale e fisica è vantaggiosa per ottimizzare i sistemi di sicurezza IoT, aiutando a proteggere i sistemi da violazioni e violazioni online. Più, le misure di sicurezza fisica aiutano a proteggere le informazioni riservate dagli hacker. Più forte è la fusione tra elementi di sicurezza digitale e team di sicurezza fisica, tanto più protetta sarà un'organizzazione.
04. Aggiornamenti software automatici
Mantenere aggiornato tutto il software è estremamente importante per garantire che la tua organizzazione non sia esposta a minacce alla sicurezza informatica anche se i sistemi IoT vengono violati. Tradizionalmente, i sistemi di sicurezza locali sono stati aggiornati manualmente da professionisti certificati ad ogni nuovo aggiornamento. Utilizzo di software basato su cloud, gli aggiornamenti non possono essere eseguiti solo in loco o in remoto, ma può anche essere automatizzato, riducendo notevolmente i costi.
05. Funzione remota
Con lo sviluppo flessibile della tecnologia cloud IoT, il personale di sicurezza può utilizzare gli strumenti di sicurezza in remoto utilizzando dispositivi mobili. Per esempio, il sistema di videocitofono utilizzato nell’odierno sistema di controllo accessi consente al personale di sicurezza di verificare l’identità del visitatore effettuando una videochiamata con lo smartphone del visitatore. Inoltre, il programma interfono supporta anche lo sblocco remoto. Quando l'identità del visitatore viene confermata, la porta può essere sbloccata da remoto per consentire l'ingresso del visitatore. Attraverso l’uso della tecnologia IoT basata sul cloud, la procedura di autenticazione per i visitatori è semplificata e i tempi di verifica sono notevolmente ridotti in modo che i visitatori possano entrare nell'edificio più velocemente.
06. Riassumere
Adozione di un sistema basato su cloud Soluzione IoT nella strategia di protezione della sicurezza di un’impresa è favorevole alla creazione di un sistema di sicurezza che sia al passo con i tempi. La sicurezza informatica è la minaccia e la sfida che le aziende devono affrontare quando utilizzano la tecnologia IoT. Ma combinando elementi di sicurezza fisica e digitale, I sistemi IoT basati su cloud possono essere ampiamente protetti dalle vulnerabilità e meglio protetti per aiutare le aziende a far fronte al mutevole panorama della sicurezza.
Internet delle cose(IoT) sicurezza della rete
Contemporaneamente al rapido sviluppo dell’Internet delle cose, Spesso compaiono anche problemi di sicurezza legati all'Internet delle cose. Alcuni incidenti minerari e di dirottamento di attrezzature si sono verificati ripetutamente. I prodotti per la casa intelligente continuano a risolvere le lacune della sicurezza, che causeranno perdite economiche irreversibili quando verranno sfruttate le scappatoie. Allo stesso tempo, riflette anche l'importanza della sicurezza come infrastruttura dell'applicazione Internet of Things nella fase iniziale della costruzione del settore Internet of Things.
Negli ultimi anni, con la svolta di tecnologie chiave come 5G, lo sviluppo dell’Internet delle cose ha fatto passi da gigante. Allo stesso tempo, a causa dell’impatto del Covid-19, sono aumentate le forme di lavoro a distanza in ufficio, che non solo offre comodità alle imprese, ma offre anche la possibilità agli hacker di attaccare informazioni aziendali riservate.
L’Internet delle cose è penetrato in tutti gli aspetti della nostra vita. I frequenti attacchi ai dispositivi intelligenti minacciano la privacy e la sicurezza personale. Anche le infrastrutture critiche si trovano ad affrontare enormi rischi nel realizzare la trasformazione della rete digitale. La sicurezza dell’IoT richiede l’istituzione di piani e regolamenti di gestione ragionevoli per garantire il rilevamento tempestivo e il recupero efficiente dei rischi.
I problemi di sicurezza dell’IoT riguardano principalmente la sicurezza dei dati, privacy, replica, e minacce al sistema RFID.
- Attacchi all'RFID: Tecnologia RFID è una popolare tecnologia Internet of Things, attualmente utilizzato principalmente nei “supermercati senza personale” e in altri campi.
- Attacco alla WSN: WSN è la rete di sensori wireless. Lo strato inferiore dell’Internet delle cose è lo strato della percezione. Questo livello include un gran numero di sensori. Quando i sensori funzionano, genereranno una grande quantità di dati. Una volta intercettati dai criminali durante il processo di trasmissione, le conseguenze saranno inimmaginabili. WSN ha attualmente applicazioni correlate in ambito militare.
- Attacchi ai router: I router sono dispositivi di rete molto importanti. Una volta attaccato, la rete potrebbe essere paralizzata. Inoltre, ci sono attacchi alle linee di comunicazione, attacchi agli utenti, e attacchi ai server.
Nello specifico, Le principali minacce alla sicurezza attualmente affrontate dall’Internet delle cose possono essere riassunte in tre aspetti del “cloud”., tubo, e porre fine” alla sicurezza:
(1)Sicurezza dei terminali Internet of Things
Il primo aspetto è la sicurezza dei terminali IoT. Come prodotto rappresentativo della profonda integrazione tra spazio informativo e spazio fisico, I terminali IoT si sono rapidamente espansi da prodotti pionieristici per il consumo personale a vari campi dell’economia e della società. Fornisce istruzione, cure mediche, vedere al dettaglio, energia, costruzione, automobile, e molte altre industrie con nuovi mezzi di servizio, e sostiene il miglioramento delle funzioni urbane di base come gli uffici governativi, sicurezza pubblica, trasporto, e logistica. Le apparecchiature terminali IoT esistenti si concentrano sulla realizzazione delle funzioni, mentre i produttori di apparecchiature tradizionali hanno capacità di sicurezza insufficienti, considerare fattori come tempi e costi, e generalmente ignorano i problemi di sicurezza nella progettazione del terminale.
I terminali IoT possono essere suddivisi in terminali intelligenti e terminali non intelligenti. La maggior parte dei dispositivi terminali intelligenti dispone di sistemi operativi e applicazioni terminali integrati, mentre la maggior parte dei dispositivi terminali non intelligenti hanno un'unica struttura e funzione, ed eseguire solo funzioni come la raccolta e la trasmissione dei dati. Perciò, i dispositivi terminali intelligenti rappresentano una minaccia maggiore per la sicurezza delle informazioni.
(2)Sicurezza della pipeline IoT
Il secondo aspetto è la sicurezza della pipeline IoT. Il “tubo” dell’Internet delle cose è la conduttura che collega il “cloud” e la “fine”. La sicurezza del “tubo” dell’Internet delle cose è la sicurezza del canale informativo di grande capacità e intelligenza. Lo rivela l'indagine condotta sul canale informativo dell'Internet delle cose, si è riscontrato che esistono quattro principali minacce alla sicurezza della pipeline dell’Internet delle cose.
(3)Sicurezza del servizio cloud Internet of Things
Terzo, Sicurezza dei servizi cloud dell'Internet of Things. Parlando in generale, I servizi cloud dell'Internet of Things vengono utilizzati quando le informazioni vengono condivise con altre parti. Perciò, Proteggere la sicurezza dei servizi cloud è anche un collegamento fondamentale per proteggere la sicurezza dell’Internet delle cose.
Modi per migliorare la sicurezza dell'Internet delle cose
Le aziende devono migliorare la sicurezza dei dispositivi IoT altrimenti causeranno enormi perdite finanziarie e di reputazione. La crittografia dei dati e il monitoraggio interno sono alcuni dei modi in cui le aziende possono concentrarsi sul miglioramento della sicurezza dei dispositivi IoT.
01. Utilizza l'infrastruttura cloud e la protezione del software
Il dispositivo di rete Cumulonimbus mantiene il dispositivo sicuro poiché aiuta a mantenere la riservatezza e l'integrità delle informazioni registrate dal dispositivo. Allo stesso tempo, le informazioni nello scambio possono essere crittografate e protette dagli hacker.
02. Progetto UN sicurezza dispositivo e creare una rete separata
È importante progettare un dispositivo migliore incentrato sul miglioramento della sicurezza dei dispositivi IoT. Una tempestiva revisione interna del comportamento del dispositivo in determinate condizioni è importante per modificare il sistema del dispositivo.
03. Fare domanda a IOoT API A difendersi dallo spoofing dell’identità
Il ruolo della protezione della sicurezza API è consentire solo ai dispositivi autorizzati di comunicare tra loro. Le aziende e gli utenti possono essere avvisati di qualsiasi accesso e funzionamento non autorizzato del sistema.
Nel mondo di oggi, il numero di dispositivi IoT in uso è in aumento. Allo stesso tempo, Lo sviluppo dell’IoT si trova ad affrontare sfide. Le imprese dovrebbero riconoscere gradualmente l’importanza della sicurezza dell’IoT e migliorare ulteriormente la tecnologia per proteggere la sicurezza dei dispositivi.
Quali sono i settori più vulnerabili IOoT minacce alla sicurezza?
I problemi di sicurezza dell’IoT pervadono tutti i settori e i campi. Vale a dire, finché l’industria è legata alla vita umana e alla proprietà, è vulnerabile alla minaccia alla sicurezza dell’Internet delle cose.
Per esempio, un attacco a un sistema di refrigerazione che ospita un farmaco, monitorato da un sistema IoT, potrebbe compromettere la vitalità di un farmaco se la temperatura fluttua. Allo stesso modo, l’impatto degli attacchi ai pozzi petroliferi, sistemi idrici, e reti energetiche, infrastrutture critiche che influiscono notevolmente sulla vita umana, può essere devastante.
Tuttavia, altri attacchi non dovrebbero essere sottovalutati. Per esempio, un attacco a una serratura intelligente potrebbe consentire ai ladri di entrare in una casa intelligente. O, in altri casi, come il 2013 Hacking o altre violazioni della sicurezza, gli aggressori possono diffondere malware attraverso i sistemi connessi (il sistema HVAC nel caso di riferimento) per rubare informazioni di identificazione personale e devastare le persone colpite.
01. Come può IOoT sistemi e dispositivi siano protetti
L'approccio alla sicurezza dell'IoT dipende dall'applicazione IoT e dalla posizione dell'azienda nell'ecosistema IoT. Lo sviluppo e l’integrazione di software sicuro devono essere uno degli obiettivi principali all’inizio del software IoT. L’implementazione dei sistemi IoT richiede attenzione all’autenticazione e alla sicurezza hardware. Allo stesso modo, per gli operatori, mantenendo i sistemi aggiornati, riducendo il malware, infrastruttura di controllo, e la protezione delle credenziali è fondamentale.
Standard di sicurezza e legislazione per l'Internet delle cose (gli Stati Uniti e l’Europa)
01. Linee guida dell'UE sulla sicurezza dell'Internet delle cose
L’Agenzia europea per la sicurezza informatica ha pubblicato le linee guida sulla sicurezza per l’Internet delle cose. SU 9 novembre 2020, l’Agenzia per la sicurezza informatica dell’Unione europea (ENISA) ha pubblicato le Linee Guida sulla Sicurezza per l’Internet delle Cose (IoT) (di seguito denominate Linee Guida), che mira ad aiutare i produttori di IoT, sviluppatori, integratori, e le parti interessate che possiedono le catene di fornitura IoT prendono le decisioni migliori durante la costruzione, schieramento, o valutare le tecnologie IoT. L’obiettivo delle Linee guida è definire e identificare le sfide e le minacce alla sicurezza dell’IoT per garantire la sicurezza della catena di fornitura dell’IoT. Le Linee Guida forniscono cinque raccomandazioni: Primo, Le entità IoT dovrebbero costruire relazioni migliori tra loro, compresa la priorità alla cooperazione con i fornitori che forniscono garanzie di sicurezza informatica, lavorare per migliorare la trasparenza, sviluppare modelli di fiducia innovativi, e fornire impegni di sicurezza ai clienti. Il secondo è diffondere ulteriormente la conoscenza professionale della sicurezza della rete, rafforzare il mantenimento e la formazione dei professionisti, e migliorare la consapevolezza della sicurezza degli utenti dell’Internet delle cose. Terzo, la sicurezza si ottiene migliorando gli standard di progettazione dell’IoT, compresa l’adozione di principi di progettazione della sicurezza, l’uso delle tecnologie emergenti per il controllo e l’audit della sicurezza, e l'implementazione di meccanismi di aggiornamento remoto. Il quarto, adottare un approccio più completo ed esplicito per migliorare la sicurezza, inclusa la definizione di piani di test completi, integrare meccanismi di autenticazione nei circuiti, e utilizzando le impostazioni di fabbrica per impostazione predefinita. Quinto, fare pieno uso degli standard esistenti e delle pratiche di successo per migliorare la sicurezza dei prodotti e la qualità del servizio nella catena di fornitura.
02. Gli Stati Uniti. Internet delle cose Cyber Legge sul miglioramento della sicurezza del 2020
Il disegno di legge è stato approvato a settembre 14, 2020. Dato che la sicurezza dei dispositivi IoT è una sfida informatica emergente con una priorità in termini di sicurezza nazionale, il disegno di legge mira a migliorare la sicurezza dei dispositivi federali connessi a Internet affrontando i problemi di sicurezza informatica prima che i dispositivi IoT vengano introdotti nell’uso federale. La legge richiede che tutti i dispositivi IoT utilizzati dal governo federale soddisfino gli standard minimi di sicurezza pubblicati dal NIST.
03. Codice di condotta australiano: IOoT Tutela dei consumatori
La legge è stata pubblicata dal governo australiano a settembre 3, 2020, ed è stato visto come un primo passo verso il miglioramento della sicurezza dei dispositivi IoT nel Paese. Considerata la natura globale della sicurezza dei dispositivi IoT, gli standard di settore proposti dal Codice di Condotta sono coerenti con altri standard internazionali e su cui si basano 13 i principi, principalmente includendo l'assenza di ripetizione di password deboli o predefinite, implementazione di politiche di divulgazione delle vulnerabilità, aggiornamenti continui della sicurezza del software, Le credenziali sono archiviate in modo sicuro, è assicurata la protezione dei dati personali, l'esposizione alle superfici attaccate è ridotta al minimo, le comunicazioni sono protette, l'integrità del software è garantita, i sistemi sono resistenti alle interruzioni, sistemi di monitoraggio dei dati di misura, eccetera. Tra loro, crittografia, divulgazione delle vulnerabilità, e l'azione di aggiornamento della sicurezza sono consigliati come i tre principi principali a cui il settore dà priorità perché consentono i maggiori vantaggi in termini di sicurezza in un breve periodo di tempo.
04. Somiglianze e differenze tra europei, NOI, e leggi e linee guida australiane sulla sicurezza dell'IoT
Le leggi migliorano gli standard di protezione della sicurezza per i dispositivi IoT in molti modi. Questo articolo introduce una serie di standard di sicurezza per i dispositivi IoT nell'Unione Europea, gli Stati Uniti, e Australia, ad esempio garantire che la complessità della password del dispositivo sia sufficientemente elevata, metodi di autenticazione a più fattori, garantire la sicurezza delle credenziali di identità come l'archiviazione sicura, tempestiva divulgazione, e riparazione delle vulnerabilità della sicurezza, fornire aggiornamenti di sicurezza regolari per ridurre al minimo l'esposizione alla superficie di attacco informatico e altro ancora.
Tutte e tre le leggi si concentrano sul rafforzamento della tutela della privacy personale nell’Internet delle cose. Leggi e linee guida nell’UE, NOI, e l’Australia fanno della protezione della privacy una parte importante della sicurezza dell’IoT. Per esempio, L’Australia ha proposto nel suo codice di condotta che i dispositivi IoT dovrebbero avere una protezione della privacy per impostazione predefinita, e che i dati personali devono essere trattati previo consenso dell'utente. E il dispositivo dovrebbe supportare gli utenti nella cancellazione dei dati personali in qualsiasi momento e avere il diritto e il tempo di revocare la privacy, in modo da massimizzare la tutela della privacy personale e dei dati sensibili degli utenti.
La copertura e l’obiettivo degli Atti sono diversi. Il Codice di condotta australiano è orientato al consumatore, contribuire ad aumentare la consapevolezza delle protezioni di sicurezza associate ai dispositivi IoT, aumentare la fiducia dei consumatori nella tecnologia IoT, e consentire all’Australia di trarre vantaggio dalla sua implementazione. Le linee guida dell’UE si rivolgono ai soggetti della catena di fornitura dell’IoT come gli sviluppatori di dispositivi e software IoT, produttori, esperti di sicurezza, squadre di approvvigionamento, e altre entità della catena di fornitura. Studiando e rispondendo alle diverse minacce alla sicurezza affrontate dalla catena di fornitura in diverse fasi, lo scopo di costruire un ecosistema IoT sicuro è raggiunto. La legge statunitense riguarda principalmente il governo federale degli Stati Uniti e mira a regolamentare la valutazione della sicurezza dei dispositivi IoT da parte del governo e a garantire che i dispositivi IoT acquistati e utilizzati dalle agenzie governative soddisfino gli standard di sicurezza.
La regolamentazione governativa della sicurezza IoT ha effetti diversi. Le linee guida dell’UE e il codice di condotta australiano non sono obbligatori in quanto misure raccomandate dalle agenzie governative competenti. Gli Stati Uniti. il disegno di legge è governativo e contiene diversi mandati, come un requisito esplicito per il National Institute of Standards and Technology (NIST) pubblicare standard e linee guida per l'utilizzo dei dispositivi abilitati a Internet in materia di sicurezza 90 giorni dall’entrata in vigore del disegno di legge da parte dell’agenzia federale per guidare le agenzie esecutive e i budget. Condurre la censura di Internet; il governo federale e le agenzie non acquisteranno né utilizzeranno dispositivi IoT che non soddisfano i requisiti di sicurezza.
