Perché dovresti preoccuparti della legge sulla casa intelligente che la California ha appena approvato
Il primo atto americano sulla sicurezza domestica intelligente è stato appena convertito in legge in California, ma indipendentemente da dove vivi, è qualcosa che dovresti probabilmente rispolverare.
Il disegno di legge (SB-327) prevede che dal 1° gennaio 2020 tutti i produttori di dispositivi IoT (altoparlanti intelligenti, termostati intelligenti, ecc.) debbano includere funzionalità di sicurezza "ragionevoli". Fondamentalmente, si tratta di proteggere tutti i dispositivi connessi da dannosi menti che potrebbero altrimenti manometterli dall'esterno della tua casa.
Leggi questo: la battaglia per la sicurezza della tua tecnologia domestica è iniziata
Il disegno di legge ha suscitato molte discussioni, con alcuni elogiando le legislazioni e sottolineando l'importanza di gettare queste basi in anticipo, ma è stato criticato da altri per essere inefficace e persino dannoso. Analizziamolo.
Ok, cosa fa effettivamente il disegno di legge?
L'editto centrale del disegno di legge stabilisce che i produttori di dispositivi IoT devono dotare la propria tecnologia di funzionalità di sicurezza "ragionevoli" che impediscano "l'accesso non autorizzato, la distruzione, l'uso, la modifica o la divulgazione" delle informazioni dell'utente.
Un requisito specifico stabilito nel disegno di legge è che qualsiasi tecnologia per la casa intelligente con modalità di accesso al di fuori di una rete locale deve avere una password univoca per quel dispositivo o consentire agli utenti di impostare una password univoca quando configurano il dispositivo.
Alcuni dispositivi domestici intelligenti sono dotati di password codificate a cui potrebbero accedere estranei con intenzioni malevole (queste password sono spesso facilmente disponibili sul Web) per irrompere da remoto.
Sì, è vero, le password codificate sono ancora un problema nella casa intelligente. L'anno scorso, un'indagine della società finlandese di sicurezza informatica F-Secure ha rilevato che le telecamere di sicurezza domestica costruite dalla società Foscam utilizzavano queste password codificate. Sembra ridicolo che possa esistere un difetto del genere, ma è tristemente vero.
Non sono in California. Perchè dovrebbe interessarmi?
Vacci piano, amico. Mentre il disegno di legge è stato approvato solo in California (finora), gli effetti saranno avvertiti dai clienti di tutti gli Stati Uniti, poiché le stesse disposizioni di sicurezza saranno presumibilmente incluse in tutti i dispositivi. Cioè non possiamo prevedere una situazione in cui aziende come Samsung e Amazon modifichino i loro prodotti solo per il mercato californiano.
Anche se un dispositivo è prodotto al di fuori della California o degli Stati Uniti, dovrà comunque rispettare la legge se intende vendere i suoi dispositivi nello stato, nel caso pensassi che potrebbe esserci una scappatoia lì.
Suona bene. Perché non tutti sono d'accordo?
Perché mentre lo spirito del disegno di legge è giusto, gli esperti di sicurezza informatica non pensano che avrà gli effetti previsti.
L'esperto di IoT Robert Graham afferma che il disegno di legge si basa su una "comprensione superficiale" della sicurezza informatica, affermando che non migliorerà la sicurezza. Graham paragona il problema alla dieta: nel modo in cui mangiare di meno è la chiave per la dieta, la sicurezza informatica non dovrebbe riguardare l'aggiunta di ulteriori funzionalità di sicurezza, ma la rimozione di funzionalità meno sicure. "L'aggiunta di funzionalità è la tipica ‘pillola magica' o ‘proiettile d'argento' pensando che passiamo gran parte del nostro tempo a lottare contro la sicurezza informatica", ha affermato.
Graham ha anche criticato il linguaggio "vago" del disegno di legge che richiede che i dispositivi abbiano caratteristiche di sicurezza "ragionevoli" e "appropriate". “È impossibile per qualsiasi azienda sapere cosa significano queste parole, impossibile sapere se sono conformi alla legge".
Graham ritiene inoltre che l'attenzione sulle password codificate sia fuorviante. È d'accordo che dovrebbero essere rimossi, ma dice che "sbagliano la lingua". Dice che il problema è più complesso: un dispositivo tipico “non ha una singola password, ma molte cose che possono o meno essere chiamate password”.
Altri esperti concordano sul fatto che la lingua sia troppo vaga in alcuni punti, ritenendo che le regole siano per lo più lasciate indefinite. In effetti, il disegno di legge afferma ripetutamente che le disposizioni dovrebbero essere "adeguate" al dispositivo senza stabilire specifiche. Ma alcuni hanno suggerito che questa formulazione sia intenzionale, in quanto consente ai produttori di dispositivi di adattarsi ed evolversi con la tecnologia.
Un altro punto sollevato dalla California Manufacturers and Technology Association è che il disegno di legge potrebbe allontanare la concorrenza nello stato, ma come abbiamo detto sopra, sembra improbabile che le aziende prendano in considerazione la creazione di dispositivi più sicuri in California rispetto ad altri stati. Inoltre, è probabile che altri stati seguano le orme della California.
Insomma, questo sarà l'inizio di una conversazione più lunga. Il cuore del conto è al posto giusto; tutto questo è importante per mantenere sicura la casa intelligente. Ma sarà una discussione in corso prima e dopo gennaio 2020.