Acquisto di tecnologia IoT sicura per le aziende

La cautela dovrebbe essere esercitata quando si acquistano dispositivi IoT - cioè dispositivi che sono integrati in una rete IT. In campioni casuali, più del 50 per cento dei dispositivi testati ha mostrato vulnerabilità evidenti che permetterebbero un attacco hacker su un'intera infrastruttura IT. "Le aziende stanno portando una scatola nera imprevedibile nelle loro case con stampanti, router, telecamere di sicurezza o soluzioni di illuminazione intelligente. Gli hacker conoscono le vulnerabilità e possono facilmente accedere alle informazioni sensibili. Pertanto, quando si acquistano questi dispositivi, è importante garantire che ci siano specifiche di sicurezza e che queste siano anche controllate", dice Florian Lukavsky, CEO e fondatore di IoT Inspector. 

Questi potenziali problemi sono spesso mascherati nei prodotti dei fornitori: In media, ogni dispositivo contiene componenti software di più di dieci diversi produttori, i cosiddetti produttori OEM. Gli esperti di sicurezza di IoT Inspector forniscono una linea guida sotto forma di una lista di controllo.

Lista di controllo per l'acquisto sicuro di dispositivi IoT

Per ottenere un'adeguata protezione di base dell'infrastruttura IoT all'interno dell'azienda, si raccomandano le seguenti misure: 

• In primo luogo, una valutazione dei bisogni di protezione e un'analisi delle minacce dovrebbero avere luogo per stabilire linee guida chiare per la sicurezza dell'IoT. 
• Definizione di requisiti concreti di sicurezza tecnica per gli appalti. Questi sono registrati in una specifica di sicurezza e devono essere implementati in modo verificabile dal produttore. L'orientamento per questo è fornito da specifiche internazionali, come ISA/IEC 62443 o ETSI 303 645. Inoltre, ci sono piattaforme di approvvigionamento incentrate sulla sicurezza, come "IT - Acquista in sicurezza", da cui si possono prendere testi concreti di appalti. 
• Controllare il produttore per quanto riguarda l'affidabilità e la diligenza nel contesto dello sviluppo di hardware e software. Modelli di maturità stabiliti come OWASP SAMM o BSIMM servono come orientamento. Il fabbricante deve dimostrare che implementa il livello di maturità richiesto - a seconda delle esigenze di protezione del dispositivo - per tutte le attività di sviluppo. 
• Esecuzione di test di sicurezza automatizzati del firmware dell'unità, sia durante l'accettazione che a intervalli fissi, al fine di rilevare eventuali nuove vulnerabilità introdotte dagli aggiornamenti del firmware.
• Si raccomandano audit whitebox basati sulle OWASP IoT Testing Guides. 
• Richiedere al produttore l'assicurazione scritta che tutti i requisiti di sicurezza definiti sono stati soddisfatti. 
• Revisione della documentazione di sicurezza creata durante lo sviluppo del software (per esempio documentazione dell'architettura di sicurezza, analisi del flusso di dati, risultati dei test di sicurezza interni del produttore). 
• Se un dispositivo IoT ottiene l'accesso a informazioni riservate o viene utilizzato in aree particolarmente vulnerabili, dovrebbe essere condotta una revisione completa del codice sorgente di sicurezza del firmware, così come una revisione della sicurezza fisica del dispositivo IoT stesso, concentrandosi sulle backdoor nascoste nel software e nell'hardware.

Per gli interessati, IoT Inspector offre un Whitepaper scaricare.

Altri argomenti:

Suissedigital espande il suo controllo della sicurezza informatica