Non posso dirti quale soluzione funzionerà per il tuo caso specifico, ma posso darti alcuni suggerimenti sulla sicurezza tecnologica per aiutarti a fare quella ricerca e determinare quale soluzione potrebbe soddisfare meglio le tue esigenze e aiutarti a rimanere al sicuro mentre lo fai. Molti di questi consigli funzioneranno indipendentemente dal prodotto IoT che desideri acquistare; tuttavia, consiglio di dedicare del tempo all’esecuzione di alcuni di questi passaggi di base della ricerca sulla sicurezza del prodotto.
La prima cosa che consiglio è di visitare il sito del fornitore e cercare cosa hanno da dire sulla sicurezza dei loro prodotti. Inoltre, hanno un programma di divulgazione delle vulnerabilità (VDP)? Se un’organizzazione che produce e vende tecnologia IoT non ha molto da dire sulla sicurezza dei propri prodotti o su un modo semplice per te o qualcun altro di segnalare un problema di sicurezza, allora ti consiglio vivamente di voltare pagina.
Ciò indicherebbe che la sicurezza del prodotto probabilmente non è importante per loro quanto dovrebbe. Lo dico anche ai venditori di prodotti là fuori: se non prendete la sicurezza dei prodotti abbastanza seriamente da aiutare noi consumatori a capire perché i vostri prodotti sono i migliori in termini di sicurezza, allora perché dovremmo acquistare i vostri prodotti?
L’esistenza di una vulnerabilità in un prodotto IoT non è necessariamente una cosa negativa: troveremo sempre vulnerabilità nei prodotti IoT. La domanda a cui stiamo cercando di rispondere effettuando questa ricerca è questa: in che modo questo fornitore gestisce le vulnerabilità segnalate? Ad esempio, li rattoppano rapidamente o ci vogliono mesi (o anni!) prima che reagiscano – o alla fine non faranno nulla? Se non vengono pubblicate informazioni sulla vulnerabilità di uno specifico prodotto IoT, è possibile che nessuno si sia preso la briga di testare la sicurezza del prodotto. È anche possibile che il fornitore abbia risolto silenziosamente i propri problemi e non abbia mai rilasciato alcun CVE.
È improbabile, ma non impossibile, che un prodotto non contenga mai una vulnerabilità. Nel corso degli anni ho riscontrato prodotti in cui non sono riuscito a trovare alcun problema; tuttavia, non riuscire a individuare le vulnerabilità all’interno di un prodotto non significa che non possano esistere.
Recentemente, sono diventato curioso di sapere come si collocano in termini di sicurezza i fornitori che producono e/o modificano gli apriporta dei garage, quindi ho seguito il processo di ricerca discusso sopra. Ho dato un’occhiata a diversi fornitori per vedere e la cosa triste è che praticamente nessuno di loro menziona la parola “sicurezza” sui propri siti web. Una chiara eccezione è stata Tuya, un’organizzazione globale di hardware IoT e software-as-a-service (SaaS) IoT.
Quando ho esaminato il sito web di Tuya, ho individuato rapidamente la loro pagina di sicurezza ed era piena di informazioni utili. In questa pagina, Tuya illustra le politiche di sicurezza, gli standard e la conformità. Oltre ad avere un VDP, eseguono anche un programma di ricompensa dei bug. I programmi di bug bounty consentono ai ricercatori di collaborare con un fornitore per segnalare problemi di sicurezza e di essere pagati per farlo. Le informazioni sulla ricompensa dei bug di Tuya si trovano presso il Tuya Security Response Center. I fornitori prendono nota: ecco come un fornitore di prodotti IoT dovrebbe presentare se stesso e il proprio programma di sicurezza.
In conclusione, consumatori, se state cercando di spendere i vostri sudati guadagni, prendetevi il tempo per fare alcune ricerche di base per vedere se il fornitore ha un programma di sicurezza proattivo. Inoltre, i venditori ricordano che i consumatori stanno diventando sempre più consapevoli e preoccupati per la sicurezza dei prodotti. Se desideri che il tuo prodotto raggiunga lo status di “migliore soluzione in circolazione”, ti consiglio vivamente di iniziare a prendere sul serio la sicurezza del prodotto, nonché di condividere i dettagli e l’accesso al programma di sicurezza per la tua azienda e i tuoi prodotti. Questi dati aiuteranno i consumatori a prendere decisioni più informate su quale prodotto soddisfa meglio le loro esigenze e aspettative.
Scarica il report di Rapid7
