Negli Stati Uniti la cybersecurity è da qualche tempo particolarmente sotto i riflettori e, in particolare, l'amministrazione Trump ha indicato alle varie agenzie governative che sono comunque responsabili della protezione delle loro infrastrutture digitali. E ovviamente anche delle conseguenze di eventuali brecce e violazioni. Per questo motivo si va delineando una sorta di linea (idealmente) comune su come le pubbliche amministrazioni USA intendono affrontare i vari temi della sicurezza informatica, linea che ovviamente avrebbe influssi molto importanti sul mercato dell'IT security in generale.

Il Department of Homeland Security e il Department of Commerce hanno in questo senso pubblicato una bozza di documento sulla sicurezza delle reti IoT che sarà presentato proprio al Presidente Trump. Nel report si delinea lo scenario attuale e potenziale delle reti fatte di oggetti smart e distribuiti globalmente, indicando anche alcuni possibili accorgimenti e politiche per tutelare la sicurezza e la privacy degli utenti, tanto business quanto consumer.

Uno dei punti più importanti del documento è la constatazione che il problema è globale, come dimostrato in maniera evidente dal caso Mirai (e non solo quello). Questo ha mostrato come sia possibile attaccare oggetti "intelligenti" che si trovano in qualsiasi parte del globo e usarli come botnet planetaria. Questo significa che nessuna nazione e men che meno azienda può affrontare il problema da sola. E comunque quello che si fa per proteggere le reti è poco: anche quando esistono tool che possono incrementare "la resilienza di Internet e degli ecosistemi di comunicazione" essi spesso non vengono usati per mancanza di competenze o per evitare maggiori costi.



Proprio l'aspetto economico è estremamente rilevante, secondo i due Dipartimenti. I singoli dispositivi smart dovrebbero essere sempre protetti, in tutto il loro ciclo di vita, e anche progettati da zero pensando alla sicurezza. Ma il modello economico di chi sviluppa e realizza i prodotti va nella direzione opposta a quella della sicurezza: costi e tempi di sviluppo e produzione devono essere ridotti al minimo, dopo la prima installazione gli aggiornamenti e le patch di sicurezza sono meno di quel che dovrebbero. O non ci sono affatto.

È piuttosto improbabile che il governo USA affronti il problema della sicurezza IoT con normative ad hoc, che complicherebbero la questione invece di semplificarla. Il report del DoHS indica però alcune linee guida che potrebbero essere fatte proprie dall'Amministrazione per tutta la PA statunitense, la quale a sua volta agirebbe come "buon esempio" che i produttori e gli sviluppatori non potrebbero ignorare. In alcuni ambiti specifici, comunque, si prevede la definizione di requisiti minimi di sicurezza per i device IoT, allo stesso modo di come la Food and Drug Administration (FDA) ha definito requisiti per i prodotti medicali.



Tra le opzioni indicate nel report c'è in primo luogo la definizione di profili di sicurezza base per i device IoT, da adottare a livello globale tramite accordi bilaterali o meglio standard di mercato. Indispensabile anche l'adozione di strumenti e metodologie per lo sviluppo sicuro "by design" dei prodotti. A livello più ampio (l'infrastruttura di rete, in particolare Internet) si auspica lo sviluppo di sistemi per la prevenzione e il controllo degli attacchi DDoS, come anche per evitare la formazione di botnet.

Altro punto chiave: l'informazione agli utenti finali, siano essi privati o aziende. Secondo il report non si può pensare che gli utilizzatori di dispositivi, servizi e reti IoT si trasformino in esperti di sicurezza, ma devono essere in qualche modo informati che i prodotti non progettati secondo i giusti requisiti sono un pericolo. Programmi trasversali di test e certificazione potrebbero essere in tal senso un aiuto.