Le nuove linee guida per la sicurezza e la protezione dei dati dei dispositivi IoT
Nel mese di giugno 2022 è uscita la prima versione della ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT”. Si tratta di una linea guida, lungamente attesa, che va ad integrare l’impianto sempre più complesso degli standard della famiglia ISO/IEC 27000 sulla sicurezza delle informazioni. Questo articolo si pone l’obiettivo di illustrare la struttura del documento.
(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy. E' docente al Corso sull'Audit di conformità legislativa al Gdpr)
Introduzione alla ISO/IEC 27400:2022 - Lo standard contiene, come indicato nel capitolo 1, linee guida, principi e controlli per mitigare i rischi sulla sicurezza delle informazioni e sulla protezione dei dati personali nelle applicazioni “Internet of Things” (IoT). Tali applicazioni possono essere sia singole, che parti di ecosistemi (definiti come “infrastrutture e servizi basati su una rete di organizzazioni e parti interessate”).
La linea guida fa riferimento esplicito, per quanto riguarda il framework di riferimento, alla ISO/IEC 30141:2018 - Internet of Things (IoT) — Reference Architecture.
Il documento prevede, tra gli altri, i seguenti capitoli:
- capitolo 3: Termini e definizioni
- capitolo 4: Abbreviazioni
- capitolo 5: Concetti IoT
- capitolo 6: Fonti del rischio per i sistemi IoT
- capitolo 7: Controlli di sicurezza e privacy
Completa il documento, un allegato di carattere informativo contenente l’analisi di uno scenario di rischio.
La linea guida richiama altre norme/linee guida, come ad esempio: ISO/IEC 20924, ISO/IEC 27000, ISO/IEC 27701, ISO/IEC 27005, ISO/IEC 29134, ISO/IEC 62443, ISO 31000, ecc.
Infine si segnala che è previsto, entro il 2023 la pubblicazione di altri standard della famiglia 27000 che riguardano il tema degli IoT come:
- ISO/IEC 27402 — Cybersecurity — IoT security and privacy — Device baseline requirements
- ISO/IEC 27403.2 — Cybersecurity — IoT security and privacy — Guidelines for IoTdomotics
- ISO/IEC 27404 — Information security — Security techniques — Universal cybersecurity labelling framework for consumer IoT
I dispositivi IoT - Un dispositivo IoT è definito dalla ISO/IEC 27400 come una “Entità di un sistema IoT che interagisce e comunica con il mondo fisico attraverso il rilevamento o l'attivazione”. La linea guida considera ecosistemi ampi che hanno al centro tali dispositivi, ma non solo; infatti, come indicato nel paragrafo 5.2 dello standard, i sistemi IoT condividono, in tutto o in parte, le seguenti caratteristiche:
- i sistemi IoT includono dispositivi IoT, riconducibili ad apparecchiature hardware e componenti software che vengono utilizzate insieme o collegate a supporti fisici;
- i dispositivi IoT sono connessi alle reti e hanno la capacità di trasmettere e ricevere dati; possono utilizzare reti cablate e wireless;
- i dispositivi IoT di solito hanno capacità di rilevamento (es. stati o movimenti ambientali);
- i dispositivi IoT possono avere capacità di attuazione (es. ricevere dati di controllo, di movimento, ecc. per avviare azioni fisiche);
- i sistemi IoT includono applicazioni IoT per elaborare i dati dagli stessi dispositivi IoT, per generare e inviare dati di controllo e per consentire l'integrazione con altri sistemi;
- i sistemi IoT includono componenti operativi che consentono la configurazione e il funzionamento di dispositivi e applicazioni IoT;
- i sistemi IoT supportano utenti umani o digitali - approfondimenti nella ISO/IEC 30141:2018.
Le parti interessate - Le principali parti interessate individuate dallo standard (paragrafo 5.3 “Stakeholders of IoT system”), e per le quali sono definiti controlli specifici che esse devono mettere in atto, sono:
- “IoT service provider” (ISP) - responsabile della fornitura di servizi che permettono al sistema IoT di funzionare;
- “IoT service developer” (ISD) - responsabile di: sviluppo, progettazione, implementazione, produzione, configurazione, assistenza ed integrazione dei servizi IoT.
- “IoT user” (IU) - l'utilizzatore (inclusi utenti umani e digitali) di un sistema o di un servizio IoT.
L’“IoT Device Developer” (IDD) a sua volta può essere considerato come un sub-ruolo rispetto a quello del Service Developer.
I domini - I modelli di riferimento IoT illustrati nella ISO/IEC 30141 si basano su vari framework; uno di questi è quello impostato sul dominio ovvero sulle componenti, a vari livelli, riconducibili all'IoT; quelle identificati dallo standard sono:
- l’User Domain (UD) comprende gli utenti digitali e gli utenti umani, ai vari livelli, che configurano, gestiscono, usano i dispositivi IoT ed i servizi associati;
- il Physical Entity Domain (PED) include le entità fisiche in un sistema IoT;
- il Sensing and Controlling Domain (SCD) include dispositivi IoT e i sistemi di comunicazione tra i dispositivi ed altri componenti, come apparecchiature, sensori, attuatori, cloud, ecc. (gateway);
- l'Operations and Management Domain (OMD) comprende il sistema di supporto operativo e quello gestionale; include le organizzazioni che sviluppano, producono, configurano e gestiscono i sistemi IoT, compresa la fornitura di assistenza;
- il Resource Access and Interchange Domain (RAID) considera le risorse che forniscono i sistemi attraverso i quali entità esterne possono accedere ai sistemi IoT, compresa l’infrastruttura di rete;
- l’Application and Service Domain (ASD) include le applicazioni e i servizi offerti dai fornitori di servizi IoT.
I controlli - L’elemento caratteristico della linea guida è il set di controlli, sia sugli aspetti di sicurezza che di protezione dei dati personali; i rischi indotti da tali sistemi sono diversi da quelli previsti per dispositivi più tradizionali ed analogamente lo sono i controlli che coprono l’intero ciclo di vita dei sistemi. Per quanto manchi una correlazione specifica e puntuale tra le fonti di rischio (paragrafo 6.2) ed i controlli (capitolo 7), questi ultimi sono identificati in relazione alle parti interessate.
La ISO/IEC 27400 individua 45 controlli di sicurezza e privacy, per i quali sono definiti, in modo analogo ad altri standard della famiglia ISO/IEC 27000, lo scopo, le parti interessate responsabili, il dominio IoT e la guida per implementare le soluzioni IoT in modo sicuro. Con tale impostazione è quindi possibile filtrare i controlli che appartengono ad un determinato dominio o di competenza di una parte interessata. Di seguito sono riportati i controlli con indicate le parti interessate.
- Politica per la sicurezza IoT - ISD/ISP
- Responsabilità per la sicurezza IoT in un'organizzazione - ISD/ISP
- Gestione delle risorse - ISP
- Attrezzature e beni siti al di fuori di aree fisicamente protette - ISP
- Smaltimento o riutilizzo sicuro delle apparecchiature - ISP
- Lesson learned dagli incidenti di sicurezza - ISD/ISP
- Principi di ingegneria del sistema IoT sicuro - ISD
- Ambiente e procedure di sviluppo sicuri - ISD
- Sicurezza dei sistemi IoT a supporto della sicurezza - ISD/ISP
- Sicurezza nella connessione dei vari dispositivi IoT - ISD/ISP
- Verifica della progettazione dei dispositivi e sistemi IoT - ISD/ISP
- Monitoraggio dei log - ISD/ISP
- Protezione dei log - ISD/ISP
- Utilizzo di reti adeguate per i sistemi IoT - ISD/ISP
- Impostazioni e configurazioni sicure nella fornitura di dispositivi e servizi IoT - ISD/ISP
- Autenticazione utente e dispositivo - ISD/ISP
- Fornitura di aggiornamenti software e firmware - ISD/ISP
- Condivisione delle informazioni sulla vulnerabilità dei sistemi - ISD/ISP
- Misure di sicurezza adeguate al ciclo di vita dei sistemi e servizi IoT - ISD/ISP
- Linee guida per gli utenti IoT sull'uso corretto di dispositivi e servizi IoT - ISD/ISP
- Determinazione dei ruoli di sicurezza per gli stakeholder - ISD/ISP
- Gestione dei dispositivi vulnerabili - ISP
- Gestione dei rapporti con i fornitori in sicurezza IoT - ISD/ISP
- Divulgazione sicura delle informazioni relative alla sicurezza dei dispositivi IoT - ISD
- Contatti e servizio di supporto - IU
- Impostazioni iniziali del dispositivo e del servizio IoT - IU
- Disattivazione dei dispositivi non utilizzati - IU
- Smaltimento o riutilizzo sicuro del dispositivo IoT - IU
- Prevenzione di eventi invasivi per la privacy - ISD/ISP
- Privacy by default dei dispositivi IoT - ISD/ISP
- Fornitura dell'informativa sulla privacy - ISP
- Verifica della funzionalità dei dispositivi IoT - ISD/ISP
- Considerazione sugli utenti IoT - ISD/ISP
- Gestione dei controlli sulla privacy dell'IoT - ISP
- Identità univoca del dispositivo IoT - ISD
- Autenticazione “a prova di errore” - ISD/ISP
- Minimizzazione della raccolta indiretta di dati – Privacy by default - ISP
- Comunicazione delle preferenze sulla privacy - ISP
- Verifica delle decisioni automatizzata - ISP
- Accountabilty degli stakeholder - ISD/ISP
- Unlinkability di PII* - ISD/ISP
- Condivisione di informazioni sulle misure di protezione PII dei dispositivi IoT - IDD
- Controlli sulla privacy per l'utente IoT - IU
- Uso mirato per la connessione con altri dispositivi e servizi - UI/ISP/ISD
- Certificazione/convalida della protezione PII - IU
Conclusioni - Per quanto possano esserci delle riserve sullo standard, come espresso da alcuni autorevoli commentatori, per la prima volta vengono fornite indicazioni, applicabili alle varie parti interessate, per mitigare i rischi introdotti dai dispositivi IoT. La pervasività di tali sistemi nella vita di tutti i giorni non può essere trascurata e diventa ancora più complessa se si considerano l’enorme varietà di sistemi IoT presenti ed in continuo sviluppo, sempre più interfacciati tra loro e talvolta applicati in contesti non previsti in fase di sviluppo; la vulnerabilità dovuta sia alla presenza di malintenzionati che ad errori di progettazione/configurazione/manutenzione degli stessi dispositivi, ed i conseguenti impatti sia a livello di sicurezza che di protezione dei dati personali; nonché la ridotta attenzione talvolta posta, sulle misure da applicare, sia dagli utilizzatori dei dispositivi IoT, che dai soggetti incaricati di progettare, gestire e manutenere i sistemi durante il loro intero ciclo di vita (compresa la cessione e lo smaltimento).
La Norma ISO/IEC 27400:2022 “Linee Guida per la sicurezza e privacy dei dispositivi IoT” è al momento disponible in lingua inglese sul sito della ISO.
*Nota: definizione di “Unlinkability”: si riferisce alla capacità di nascondere il legame tra due o più azioni (ad esempio tra due messaggi anonimi inviati dalla stessa persona), tra identità (ad esempio due pagine web visitate dallo stesso utente o da due persone collegate da una relazione di amicizia in un social network), o tra informazioni (ad esempio voci presenti in due distinti database relativi alla stessa persona). La unlinkability consiste nel separare due o più elementi di interesse, detti IOI, (quali ad esempio, soggetti, messaggi, azioni, ecc.). Questa separazione assicura che all'interno del sistema (comprendente questi ed eventualmente altri elementi), l'aggressore non sia in grado di identificare in modo efficace se questi IOI siano collegati o meno.” Fonte: Agenzia per l’Italia Digitale “Linee guida per la modellazione delle minacce ed individuazione delle azioni di mitigazione conformi ai principi del secure/privacy by design”.