La sicurezza delle case intelligenti è regolarmente scossa da attacchi di virus e hacker a livello globale. L’istituto di ricerca AV-Test si sta concentrando su questo aspetto dei prodotti e dei servizi IoT per la casa intelligente. Il CTO Maik Morgenstern ha risposto alle 5 domande di home&smart sugli standard di sicurezza IoT in Germania.
Maik Morgenstern si occupa di scenari di test e minacce dell’IoT ( AV-Test GmbH )
L’AV-Test Institute è stato il primo istituto di ricerca a concentrarsi sulla sicurezza di prodotti e servizi nei settori smart home, IoT ed eHealth. Maik Morgenstern, CTO di AV-Test GmbH, gestisce la pianificazione e l’implementazione di nuovi scenari di test, le innovazioni tecniche e la risposta continua alle nuove minacce. Ha condiviso con home&smart la sua valutazione della sicurezza dei prodotti IoT e ha azzardato una previsione per il futuro.
Intervista a Maik Morgenstern
Quali dispositivi intelligenti avete in casa?
A casa nostra siamo supportati da assistenti vocali ed elettrodomestici collegati in rete. Tuttavia, i prodotti che uso privatamente devono essere davvero intelligenti, cioè, oltre alla loro funzione, devono anche garantire la sicurezza della mia famiglia o almeno non metterla a repentaglio. Questo include la sicurezza dei prodotti stessi, ma anche dei dispositivi e dei servizi collegati e soprattutto la corrispondente protezione dei nostri dati privati. Ecco perché i test di prodotto dell’Istituto AV-TEST includono la raccolta, l’inoltro, l’archiviazione e l’utilizzo dei dati come criterio di prova da non sottovalutare.
Qual è lo stato attuale della sicurezza dei prodotti smart home e IoT?
Purtroppo non per il meglio, come dimostrano regolarmente i nostri test. Molti dei prodotti attualmente presenti sul mercato sono insicuri e facili da attaccare. Spesso la sicurezza degli utenti non viene affatto presa in considerazione durante lo sviluppo di dispositivi e servizi. Per molti produttori è molto più importante conquistare rapidamente il mercato con il maggior numero possibile di funzioni, mentre la sicurezza è spesso percepita come un fattore di costo superfluo. Di conseguenza, sul mercato sono presenti molti dispositivi che non hanno né funzioni di sicurezza utili né la possibilità di aggiornarle. I criminali possono accedere a questi dispositivi via Internet con mezzi spaventosamente semplici e sfruttarli in vari modi. Ad esempio, le funzioni di una telecamera IP possono essere utilizzate contro il suo effettivo proprietario: Le falle di sicurezza nei dispositivi stessi o nelle app, nelle applicazioni e nei servizi online collegati possono essere utilizzate per accedere alle telecamere, controllarle a distanza e spiare i loro occupanti.
Oltre agli attacchi da parte di terzi, anche la protezione dei dati svolge un ruolo importante. I dispositivi collegati in rete raccolgono dati, alcuni dei quali molto sensibili, e li trasmettono al produttore. Spesso non è chiaro chi abbia accesso a quali dati e che fine facciano.
La soluzione ottimale: dispositivi sicuri e certificati con una buona protezione tramite password, raccolta e inoltro dei dati sicuri in una WLAN ben schermata con aree diverse, ad esempio una rete ospite separata dalla rete della smart home. Tutti i dispositivi connessi vengono aggiornati regolarmente e automaticamente con gli ultimi aggiornamenti di sicurezza e i produttori reagiscono immediatamente quando si scoprono vulnerabilità di sicurezza.
Come si colloca la Germania a livello internazionale in termini di sicurezza IoT?
L’esperienza con i prodotti tedeschi è generalmente molto più positiva rispetto ai fornitori di altri Paesi. Ma anche in Germania ci sono ovviamente fornitori che lanciano rapidamente un prodotto sul mercato senza concentrarsi sulla sicurezza. Durante la campagna elettorale, un partito ha fatto pubblicità con lo slogan «Prima il digitale. Le preoccupazioni vengono dopo». Questa è una buona illustrazione della mancanza di consapevolezza prevalente nonostante gli attacchi chiaramente riconoscibili contro i prodotti e i servizi smart home e IoT.
Tuttavia, in nessun altro Paese i clienti sono così sensibilizzati alla sicurezza informatica e alla protezione dei dati come in Germania. Qui, lo sviluppo di prodotti e servizi per la protezione dei dati degli utenti potrebbe diventare una vera e propria caratteristica di qualità dei prodotti, che potrebbe anche fornire un vantaggio competitivo a livello internazionale.
Come si aiutano i consumatori?
Finora il governo ha pianificato una serie di cose, ma non ha attuato praticamente nulla. Si sta cercando di sviluppare uno standard minimo sigillato per i dispositivi IoT, come AV-TEST sta facendo da tempo attraverso test e procedure di certificazione corrispondenti con produttori come Qivicon, Bosch, e-Q3, Devolo e Smartfrog. Gli utenti finali possono riconoscere tali prodotti sicuri dal sigillo di approvazione «Certified Smart Home Product» di AV-TEST.
Sul nostro sito web, forniamo ai consumatori test gratuiti di prodotti IoT critici per il mercato. Sotto ogni test, i sigilli di prova con una valutazione a 3 stelle indicano la sicurezza dei prodotti testati. Non metterei in casa mia nessun prodotto che sia stato valutato meno di due stelle dai nostri ingegneri di test.
Diamo uno sguardo al futuro: lo scenario peggiore e migliore in termini di IoT/Smart Home?
Non c’è bisogno di guardare così lontano nel futuro: I sistemi smart home sicuri e certificati forniscono già oggi servizi validi per la sicurezza di case e appartamenti, ad esempio per prevenire danni alle persone in caso di incendio. In questo caso, i rilevatori di fumo possono già salvare vite umane insieme ai sistemi di illuminazione, chiusura e oscuramento, ad esempio.
D’altra parte, il monitoraggio completo della casa attraverso sistemi di telecamere IoT insicuri da parte di criminali e gli attacchi di massa che utilizzano dispositivi domestici intelligenti infettati con malware da botnet come Mirai o IoT_reaper sono da tempo una realtà. Segnaliamo regolarmente le conseguenze degli attacchi terroristici mirati ai sistemi in rete, come quelli utilizzati per gli aeroporti, i sistemi di controllo ferroviario, gli impianti di approvvigionamento o di produzione. Nonostante l’elevato numero di sistemi a rischio, il numero di tali attacchi è ancora abbastanza gestibile, ma è comunque necessario intervenire.
I link contrassegnati con * sono i cosiddetti link di affiliazione. Se viene effettuato un acquisto tramite tale link, riceveremo una commissione. Non ci sono costi aggiuntivi per voi.
