Enisa, l’European union agency for cyber security, pubblica un report sulle buone pratiche per la sicurezza dell’IoT, con particolare attenzione alle linee guida di sviluppo software per prodotti e servizi IoT sicuri per tutta la loro vita (SDLC).
Stabilire linee guida per lo sviluppo sicuro in tutto l’ecosistema IoT è un elemento fondamentale per la sicurezza dell’IoT
Lo studio affronta un aspetto per raggiungere la sicurezza in base alla progettazione, una importante raccomandazione invero già evidenziata nello studio Enisa Baseline Security Raccomandations che si è concentrato sulla sicurezza dell’ecosistema IoT. Il contributo dell’Enisa evidenzia uno scenario caratterizzato da un progressivo aumento delle connessione sempre più eterogenee tra dispositivi. In tale contesto, secondo uno studio di Gartner, è stimato che il numero di dispositivi Internet of Things (IoT) si attesterà sui 25 miliardi entro il 2021.
Non sono infrequenti le vulnerabilità rilevate. Ed infatti, notori sono gli esempi di attacchi IoT come Stuxnet e Mirai che hanno determinato significativi impatti. Per queste ragioni è importante operare in prevenzione opportunamente configurando by design un perimetro di security che metta in campo l’assessment del rischio e le opportune misure di mitigazione dei rischio valutati e dei potenziali impatti ipotizzati. Enisa ha collaborato per molti anni al fine di promuovere la security by design in base alla progettazione nell’ecosistema IoT. Ecco perché l’istituzione di linee guida per lo sviluppo sicuro è un elemento fondamentale per la sicurezza dell’IoT.
Il “Rapporto sulle buone pratiche per la sicurezza dell’IoT ” si concentra principalmente sulle linee guida per lo sviluppo del software, un aspetto chiave per raggiungere la sicurezza in base alla progettazione.
Lo studio elabora e approfondisce proprio la fase di progettazione e sviluppo, fornendo dettagli specifici su come raccogliere in modo sicuro requisiti, progettare, sviluppare, mantenere e persino eliminare sistemi e servizi IoT.
Il contributo di Enisa costituisce un autorevole punto di riferimento per lo sviluppo di soluzioni sicure mediante la progettazione nel contesto dell’IoT, assicurando un approccio di tipo olistico alla sicurezza dell’ecosistema (dispositivi, comunicazioni / reti, cloud, ecc.).
I principali contributi dello studio includono:
- Analisi dei problemi di sicurezza in tutte le fasi dell’SDLC (Software Development Life Cycle) e IoT e punti chiave da considerare;
- Tassonomie dettagliate su asset e minacce relative all’SDLC sicuro IoT;
- Buone pratiche concrete e attuabili per migliorare la sicurezza informatica della SDLC IoT;
- Mappatura delle buone pratiche Enisa alle norme, linee guida e schemi esistenti correlati;
- Sicurezza informatica durante tutto il ciclo di vita dello sviluppo del software.
Utilizzare i principi del ciclo di vita di sviluppo software (SDLC) sicuro rappresenta un mezzo efficace e proattivo per evitare le vulnerabilità dell’IoT e contribuisce allo sviluppo di applicazioni e servizi software sicuri by design.
Il direttore esecutivo dell’Enisa, Juhan Lepassaar, ha dichiarato: “Facendo un passo indietro e esaminando l’intero ciclo di vita dei prodotti e servizi IoT, Enisa con il contributo di esperti IoT ha creato linee guida di sicurezza per l’intera durata della vita: dai requisiti e progettazione, allo sviluppo e manutenzione, fino allo smaltimento. La motivazione è chiara: la sicurezza non riguarda solo il prodotto finale, ma anche i processi da seguire per sviluppare il prodotto”.
Lo studio è complementare al precedente lavoro dell’Enisa sulle raccomandazioni di sicurezza di base dell’IoT e mira a fornire linee guida su come proteggere l’intero ciclo di vita dell’IoT.
WP2019 - O.1.1.1 Good practices for security of IoT