venerdì, 29 marzo 2024

W la Privacy

W la Privacy

Le nuove linee guida per la sicurezza e la protezione dei dati dei dispositivi IoT

15/09/2022

Nel mese di giugno 2022 è uscita la prima versione della ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT”. Si tratta di una linea guida, lungamente attesa, che va ad integrare l’impianto sempre più complesso degli standard della famiglia ISO/IEC 27000 sulla sicurezza delle informazioni. Questo articolo si pone l’obiettivo di illustrare la struttura del documento.

Introduzione alla ISO/IEC 27400:2022 - Lo standard contiene, come indicato nel capitolo 1, linee guida, principi e controlli per mitigare i rischi sulla sicurezza delle informazioni e sulla protezione dei dati personali nelle applicazioni “Internet of Things” (IoT). Tali applicazioni possono essere sia singole, che parti di ecosistemi (definiti come “infrastrutture e servizi basati su una rete di organizzazioni e parti interessate”).

La linea guida fa riferimento esplicito, per quanto riguarda il framework di riferimento, alla ISO/IEC 30141:2018 - Internet of Things (IoT) — Reference Architecture.

Il documento prevede, tra gli altri, i seguenti capitoli:

capitolo 3: Termini e definizioni; capitolo 4: Abbreviazioni; capitolo 5: Concetti IoT; capitolo 6: Fonti del rischio per i sistemi IoT; capitolo 7: Controlli di sicurezza e privacy.

Completa il documento, un allegato di carattere informativo contenente l’analisi di uno scenario di rischio.

La linea guida richiama altre norme/linee guida, come ad esempio: ISO/IEC 20924, ISO/IEC 27000, ISO/IEC 27701, ISO/IEC 27005, ISO/IEC 29134, ISO/IEC 62443, ISO 31000, ecc.

Infine si segnala che è previsto, entro il 2023 la pubblicazione di altri standard della famiglia 27000 che riguardano il tema degli IoT come:

- ISO/IEC 27402 — Cybersecurity — IoT security and privacy — Device baseline requirements

- ISO/IEC 27403.2 — Cybersecurity — IoT security and privacy — Guidelines for IoTdomotics

- ISO/IEC 27404 — Information security — Security techniques — Universal cybersecurity labelling framework for consumer IoT

I dispositivi IoT 

Un dispositivo IoT è definito dalla ISO/IEC 27400 come una “Entità di un sistema IoT che interagisce e comunica con il mondo fisico attraverso il rilevamento o l'attivazione”. La linea guida considera ecosistemi ampi che hanno al centro tali dispositivi, ma non solo; infatti, come indicato nel paragrafo 5.2 dello standard, i sistemi IoT condividono, in tutto o in parte, le seguenti caratteristiche:

- i sistemi IoT includono dispositivi IoT, riconducibili ad apparecchiature hardware e componenti software che vengono utilizzate insieme o collegate a supporti fisici;

- i dispositivi IoT sono connessi alle reti e hanno la capacità di trasmettere e ricevere dati; possono utilizzare reti cablate e wireless;

- i dispositivi IoT di solito hanno capacità di rilevamento (es. stati o movimenti ambientali);

- i dispositivi IoT possono avere capacità di attuazione (es. ricevere dati di controllo, di movimento, ecc. per avviare azioni fisiche);

- i sistemi IoT includono applicazioni IoT per elaborare i dati dagli stessi dispositivi IoT, per generare e inviare dati di controllo e per consentire l'integrazione con altri sistemi;

- i sistemi IoT includono componenti operativi che consentono la configurazione e il funzionamento di dispositivi e applicazioni IoT;

- i sistemi IoT supportano utenti umani o digitali - approfondimenti nella ISO/IEC 30141:2018.

Le parti interessate - Le principali parti interessate individuate dallo standard (paragrafo 5.3 “Stakeholders of IoT system”), e per le quali sono definiti controlli specifici che esse devono mettere in atto, sono:

- “IoT service provider” (ISP) - responsabile della fornitura di servizi che permettono al sistema IoT di funzionare;

- “IoT service developer” (ISD) - responsabile di: sviluppo, progettazione, implementazione, produzione, configurazione, assistenza ed integrazione dei servizi IoT.

- “IoT user” (IU) - l'utilizzatore (inclusi utenti umani e digitali) di un sistema o di un servizio IoT.

L’“IoT Device Developer” (IDD) a sua volta può essere considerato come un sub-ruolo rispetto a quello del Service Developer.

I domini - I modelli di riferimento IoT illustrati nella ISO/IEC 30141 si basano su vari framework; uno di questi è quello impostato sul dominio ovvero sulle componenti, a vari livelli, riconducibili all'IoT; quelle identificati dallo standard sono:

- l’User Domain (UD) comprende gli utenti digitali e gli utenti umani, ai vari livelli, che configurano, gestiscono, usano i dispositivi IoT ed i servizi associati;

- il Physical Entity Domain (PED) include le entità fisiche in un sistema IoT;

- il Sensing and Controlling Domain (SCD) include dispositivi IoT e i sistemi di comunicazione tra i dispositivi ed altri componenti, come apparecchiature, sensori, attuatori, cloud, ecc. (gateway);

- l'Operations and Management Domain (OMD) comprende il sistema di supporto operativo e quello gestionale; include le organizzazioni che sviluppano, producono, configurano e gestiscono i sistemi IoT, compresa la fornitura di assistenza;

- il Resource Access and Interchange Domain (RAID) considera le risorse che forniscono i sistemi attraverso i quali entità esterne possono accedere ai sistemi IoT, compresa l’infrastruttura di rete;

- l’Application and Service Domain (ASD) include le applicazioni e i servizi offerti dai fornitori di servizi IoT.

I controlli - L’elemento caratteristico della linea guida è il set di controlli, sia sugli aspetti di sicurezza che di protezione dei dati personali; i rischi indotti da tali sistemi sono diversi da quelli previsti per dispositivi più tradizionali e analogamente lo sono i controlli che coprono l’intero ciclo di vita dei sistemi. Per quanto manchi una correlazione specifica e puntuale tra le fonti di rischio (paragrafo 6.2) ed i controlli (capitolo 7), questi ultimi sono identificati in relazione alle parti interessate.

La ISO/IEC 27400 individua 45 controlli di sicurezza e privacy, per i quali sono definiti, in modo analogo ad altri standard della famiglia ISO/IEC 27000, lo scopo, le parti interessate responsabili, il dominio IoT e la guida per implementare le soluzioni IoT in modo sicuro. Con tale impostazione è quindi possibile filtrare i controlli che appartengono ad un determinato dominio o di competenza di una parte interessata. Di seguito sono riportati i controlli con indicate le parti interessate.

- Politica per la sicurezza IoT - ISD/ISP; - Responsabilità per la sicurezza IoT in un'organizzazione - ISD/ISP; Gestione delle risorse - ISP; Attrezzature e beni siti al di fuori di aree fisicamente protette - ISP; Smaltimento o riutilizzo sicuro delle apparecchiature - ISP;  Lesson learned dagli incidenti di sicurezza - ISD/ISP; Principi di ingegneria del sistema IoT sicuro - ISD; Ambiente e procedure di sviluppo sicuri - ISD; Sicurezza dei sistemi IoT a supporto della sicurezza - ISD/ISP; Sicurezza nella connessione dei vari dispositivi IoT - ISD/ISP; Verifica della progettazione dei dispositivi e sistemi IoT - ISD/ISP; Monitoraggio dei log - ISD/ISP; Protezione dei log - ISD/ISP; Utilizzo di reti adeguate per i sistemi IoT - ISD/ISP; Impostazioni e configurazioni sicure nella fornitura di dispositivi e servizi IoT - ISD/ISP; Autenticazione utente e dispositivo - ISD/ISP; Fornitura di aggiornamenti software e firmware - ISD/ISP; Condivisione delle informazioni sulla vulnerabilità dei sistemi - ISD/ISP; Misure di sicurezza adeguate al ciclo di vita dei sistemi e servizi IoT - ISD/ISP; Linee guida per gli utenti IoT sull'uso corretto di dispositivi e servizi IoT - ISD/ISP; Determinazione dei ruoli di sicurezza per gli stakeholder - ISD/ISP; Gestione dei dispositivi vulnerabili - ISP.

A seguire:

- Gestione dei rapporti con i fornitori in sicurezza IoT - ISD/ISP; Divulgazione sicura delle informazioni relative alla sicurezza dei dispositivi IoT - ISD; Contatti e servizio di supporto - IU; Impostazioni iniziali del dispositivo e del servizio IoT - IU; Disattivazione dei dispositivi non utilizzati - IU; Smaltimento o riutilizzo sicuro del dispositivo IoT - IU; Prevenzione di eventi invasivi per la privacy - ISD/ISP; Privacy by default dei dispositivi IoT - ISD/ISP; Fornitura dell'informativa sulla privacy - ISP; Verifica della funzionalità dei dispositivi IoT - ISD/ISP; Considerazione sugli utenti IoT - ISD/ISP; Gestione dei controlli sulla privacy dell'IoT - ISP; Identità univoca del dispositivo IoT - ISD; Autenticazione “a prova di errore” - ISD/ISP; Minimizzazione della raccolta indiretta di dati – Privacy by default - ISP; Comunicazione delle preferenze sulla privacy - ISP; Verifica delle decisioni automatizzata - ISP; Accountabilty degli stakeholder - ISD/ISP; Unlinkability di PII* - ISD/ISP; Condivisione di informazioni sulle misure di protezione PII dei dispositivi IoT - IDD; Controlli sulla privacy per l'utente IoT - IU; Uso mirato per la connessione con altri dispositivi e servizi - UI/ISP/ISD;  Certificazione/convalida della protezione PII - IU.

Conclusioni - Per quanto possano esserci delle riserve sullo standard, come espresso da alcuni autorevoli commentatori, per la prima volta vengono fornite indicazioni, applicabili alle varie parti interessate, per mitigare i rischi introdotti dai dispositivi IoT.

La pervasività di tali sistemi nella vita di tutti i giorni non può essere trascurata e diventa ancora più complessa se si considerano l’enorme varietà di sistemi IoT presenti ed in continuo sviluppo, sempre più interfacciati tra loro e talvolta applicati in contesti non previsti in fase di sviluppo; la vulnerabilità dovuta sia alla presenza di malintenzionati che ad errori di progettazione/configurazione/manutenzione degli stessi dispositivi, ed i conseguenti impatti sia a livello di sicurezza che di protezione dei dati personali; nonché la ridotta attenzione talvolta posta, sulle misure da applicare, sia dagli utilizzatori dei dispositivi IoT, che dai soggetti incaricati di progettare, gestire e manutenere i sistemi durante il loro intero ciclo di vita (compresa la cessione e lo smaltimento).

La Norma ISO/IEC 27400:2022Linee Guida per la sicurezza e privacy dei dispositivi IoT” è al momento disponible in lingua inglese sul sito della ISO.

Articolo di Monica Perego, membro del Comitato Scientifico di Federprivacy; docente al Corso sull'Audit di conformità legislativa al Gdpr.


maggiori informazioni su:
www.federprivacy.org



Tutte le news

Privacy e Videosorveglianza

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia