Lunedì, il Regno Unito è diventato il primo paese al mondo a vietare nomi utente e password predefiniti e facilmente intuibili da questi dispositivi IoT. Le password univoche installate per impostazione predefinita sono ancora permesse.

La legge sulla sicurezza del prodotto e dell’infrastruttura delle telecomunicazioni 2022 (PSTI) introduce nuovi standard minimi di sicurezza per i produttori e richiede che queste aziende siano trasparenti con i consumatori su quanto a lungo i loro prodotti riceveranno aggiornamenti di sicurezza.

A tal proposito vi consigliamo di consultare il nostro articolo su Come mantenere al sicuro le password

Nuova legge contro le password facilmente hackerabili

Le pratiche di produzione e progettazione significano che molti prodotti IoT introducono rischi aggiuntivi alle reti domestiche e aziendali a cui sono collegati. In un caso spesso citato descritto dalla società di cybersecurity Darktrace, i pirati informatici sono stati presumibilmente in grado di rubare dati dalla rete informatica di un casinò altrimenti ben protetta dopo essersi introdotti attraverso un sensore di temperatura connesso a internet in un acquario.

In base al PSTI, le password predefinite deboli o facilmente intuibili come “admin” o “12345” sono esplicitamente vietate, e i produttori devono anche pubblicare i dettagli di contatto in modo che gli utenti possano segnalare bug. I prodotti che non rispettano le regole potrebbero essere soggetti a richiami, e le aziende responsabili potrebbero affrontare una multa massima di £10 milioni ($12,53 milioni) o il 4% del loro fatturato globale, a seconda di quale sia più alto.

La legge sarà regolata dall’Ufficio per la sicurezza e gli standard dei prodotti (OPSS), che fa parte del Dipartimento per il Commercio e gli Affari, anziché essere un organo indipendente. Rocio Concha, direttore della politica e della difesa presso l’organizzazione per i diritti dei consumatori Which?, ha detto: “L’OPSS deve fornire all’industria linee guida chiare e essere pronto a intraprendere azioni di controllo decise contro i produttori se violano la legge, ma ci aspettiamo anche che i marchi dei dispositivi intelligenti facciano bene ai loro clienti fin dall’inizio e assicurino che gli acquirenti possano facilmente trovare informazioni su quanto a lungo i loro dispositivi saranno supportati e fare acquisti informati.”

Visconte Camrose, uno dei pari ereditari del legislatore britannico, che è stato nominato ministro per la sicurezza informatica dal governo, ha detto: “Poiché la vita di tutti i giorni diventa sempre più dipendente dai dispositivi connessi, le minacce generate dall’internet si moltiplicano e diventano ancora più grandi. “D’ora in poi, i consumatori avranno una maggiore tranquillità sapendo che i loro dispositivi intelligenti sono protetti dai criminali informatici, poiché introduciamo leggi mondiali che garantiranno che la loro privacy personale, i dati e le finanze siano al sicuro”, ha detto. Leggi simili stanno avanzando anche altrove, anche se nessuna è entrata in vigore. La Cyber Resilience Act dell’Unione Europea deve ancora essere definitivamente concordata, ma le sue disposizioni simili non dovrebbero applicarsi nel blocco prima del 2027.

Negli Stati Uniti non esiste una legge federale sulla sicurezza dei dispositivi IoT per i consumatori, anche se l’IoT Cybersecurity Improvement Act del 2020 richiede al National Institute of Standards and Technology “di sviluppare e pubblicare norme e linee guida per il governo federale” su come utilizzare i dispositivi IoT.