Product Security Verified è il nuovo standard globale per la sicurezza dei dispositivi smart home

I dispositivi connessi come i campanelli con telecamere e i sistemi di illuminazione smart sono stati spesso al centro di preoccupazioni riguardo alla sicurezza e alla privacy, a seguito di vari episodi di attacchi informatici che hanno sollevato la necessità di prestare attenzione quando si utilizzano dispositivi smarthome connessi alla rete.

Chiaramente le cause che minano la sicurezza di un dispositivo possono essere di varia natura, compresa l'inesperienza o la superficialità dell'utente nel momento in cui si trova a configurare e allestire un dispositivo smarthome. In ogni caso fino ad ora non è mai esistito un modo semplice che consenta al consumatore di valutare a priori le intrinseche capacità di sicurezza di un determinato prodotto.

La Connectivity Standards Alliance, il gruppo che ha definito e promosso lo standard Matter, sta cercando di risolvere questo problema: questa settimana è stato annunciato il nuovo marchio PSV - Product Security Verified che mira a garantire la rispondenza ad uno standard di sicurezza di base tramite un programma di certificazione riconosciuta a livello globale.

Per Tobin Richardson, CEO della CSA, l'obiettivo è che il marchio PSV venga riconosciuto dai governi del mondo, in modo che i produttori possano passare attraverso un solo processo di certificazione per tutti i principali mercati con il beneficio di ridurre ridurre i costi e la complessità e offrire potenzialmente una maggiore scelta ai consumatori.

Perché un dispositivo possa fregiarsi del marchio PSV, dovrà superare il programma di certificazione IoT Device Security Specification 1.0 che prevede un questionario assieme ad una serie di prove materiali ad un laboratorio di test autorizzato. Esistono una serie di requisiti chiave, tra cui:

• identità univoca per ciascun dispositivo IoT
• nessuna password predefinita codificata (hardcoded)
• archiviazione sicura dei dati sensibili sul dispositivo
• comunicazioni sicure di informazioni rilevanti per la sicurezza
• aggiornamenti software sicuri per tutto il periodo di supporto
• processo di sviluppo sicuro, inclusa la gestione delle vulnerabilità
• documentazione pubblica riguardante la sicurezza, compreso il periodo di supporto

E' bene osservare che si tratta di un programma del tutto volontario: i produttori non saranno obbligati a sottostare al processo di certificazione se non vogliono usare il marchio PSV.  La CSA prevede che questo programma di certificazione si potrà applicare alla maggior parte dei dispositivi smart home connessi, come lampadine, interruttori, termostati e telecamere di sicurezza. Un aspetto interessante è che la certificazione potrà essere applicata in maniera retroattiva a prodotti già presenti sul mercato.

Il programma di certificazione PSV della CSA si concentra in maniera specifica sulla sicurezza del dispositivo, assicurandosi che non sia possibile (o, per meglio dire, che intrinsecamente risulti molto complicato) accedere fisicamente al dispositivo. Non si tratta quindi di un programma a garanzia della privacy dell'utente, per quanto ovviamente il legame tra privacy e sicurezza è particolarmente stretto, dal momento che non si può garantire la prima se non esiste la seconda. Gli aspetti più strettamente relativi alla privacy sono discussi in un gruppo di lavoro separato della CSA che si occupa di questo tema.

Il marchio PSV è al momento stato riconosciuto dalla Cyber Security Agency di Singapore e la CSA sta lavorando al riconoscimento reciproco con programmi simili negli Stati Uniti, nell'UE e nel Regno Unito. Secondo Richardson i prodotti con il marchio PSV potrebbero iniziare ad apparire già durante la stagione dello shopping natalizio.