Intervista all’analista del security vendor. Che invoca regole per accedere al mercato europeo: per offrire più garanzie al consumatore
C’è un tema che attraversa in modo trasversale questa IFA 2018: è la sicurezza delle nuove tecnologie, raccontata sotto diverse forme. Che si incarni in un dispositivo IoT o in uno smartphone, che si tratti di un frigo connesso o di una app, è indubbio che siamo davanti a un momento cruciale per la definizione di confini e regole che potrebbero condizionare (in positivo) i prossimi 20 o 30 anni. O addirittura molti decenni di più.
Di questo abbiamo parlato con Marco Preuss, Director Global Research & Analysis Team Europa di Kaspersky Lab: di come manchi al momento una piena consapevolezza delle conseguenze a medio e lungo termine nella definizione delle specifiche delle tecnologie che usiamo oggi, di come sviluppiamo oggi ecosistemi e protocolli che resteranno in circolazione per anni e anni. Se c’è qualcosa che ci ha insegnato la storia della tecnologia degli ultimi 30 o 40 anni è che bisogna imparare a gestire la legacy: la mancanza di una adeguata programmazione potrebbe tornare a tormentarci quando certi prodotti saranno obsoleti, e chi li aveva progettati e sviluppati è ormai fuori dal giro.
Un vaccino per la tecnologia
Eppure in Europa ha fatto il suo debutto la GDPR, diciamo, la norma delle norme che ha cambiato lo scenario per tutti: “Non è cambiato molto, nonostante la GDPR – ci spiega Preuss – Non sono stati risolti magicamente i problemi. E non vedo ancora particolari sforzi per risolvere questi problemi”. La questione, chiarisce, è che non basta la creazione della norma per cancellare con un colpo di spugna tutte le questioni di cui stiamo discutendo. Serve la volontà politica, innanzi tutto, ma anche una spinta degli utenti e delle aziende per andare tutti nella giusta direzione.
Un esempio calzante potrebbe essere quello dei vaccini, visto che è un tema estremamente discusso in questo periodo: “Tutti gli account dovrebbero essere protetti, anche quelli personali che pensiamo non contengano informazioni personali significative: le implicazioni di un account non protetto possono essere devastanti, spalancando la porta ad attacchi di social engineering, phishing, che magari non riguardano noi direttamente ma i nostri conoscenti”.
Quello che bisogna trasmettere come concetto è una sorta di immunità di gregge: se tutti i nostri account email sono correttamente protetti da una password robusta e da un sistema a doppio fattore, ci spiega Preuss, aumenta la sicurezza di tutti gli utenti che ricevono missive da quell’indirizzo che ritengono affidabile. “Se non ti preoccupi di garantire la sicurezza dei tuoi device IoT, potresti causare problemi a molti altri: i tuoi device potrebbero essere veicolo per altri attacchi, e le implicazioni economiche di certi attacchi possono essere devastanti. La sicurezza di un intero ecosistema è legata alla robustezza del suo anello più debole”.
La questione europea
Quello a cui stiamo assistendo nel mondo dell’IoT, al momento, è la proliferazione di soluzioni proprietarie che spesso sono inaccessibili agli analisti di sicurezza fino a quando non è ormai troppo tardi: “Ci manca una standardizzazione, accessibilità, API: gli strumenti indispensabili a creare un layer di sicurezza”.