Il braccio esecutivo dell’Unione Europea ha proposto un nuovo atto legislativo per garantire che i dispositivi intelligenti soddisfino gli standard di sicurezza informatica, rendendo il blocco meno vulnerabile ad attacchi come quello subito da Uber.
Dai laptop ai frigoriferi alle app mobili, i dispositivi intelligenti connessi a Internet dovranno essere valutati per i loro rischi per la sicurezza informatica secondo il progetto di regole dell’Unione Europea annunciato giovedì.
“[The Act] metterà la responsabilità dove spetta, con coloro che immettono i prodotti sul mercato”, ha affermato in una nota il capo digitale dell’UE Margrethe Vestager.
In base al disegno di legge proposto, noto come Cyber Resilience Act, le aziende dovrebbero affrontare multe fino a 15 milioni di euro (13 milioni di sterline) o fino al 2,5% del loro fatturato globale totale se non riescono a risolvere eventuali problemi identificati.
La pandemia di Covid-19 e la guerra in Ucraina hanno aumentato il rischio di attacchi informatici, secondo le autorità dell’UE. Sebbene la maggior parte delle aziende abbia in atto piani per proteggere la propria infrastruttura digitale, la Commissione ha sottolineato che la maggior parte dell’hardware e prodotti software non sono attualmente soggetti ad alcun obbligo di sicurezza informatica.
L’UE ha affermato che un attacco ransomware ha luogo ogni 11 secondi e che il costo annuale globale della criminalità informatica è stimato a 5,5 trilioni di euro (4,8 miliardi di sterline) nel 2021.
“Quando si tratta di sicurezza informatica, l’Europa è forte quanto il suo anello più debole, che si tratti di uno Stato membro vulnerabile o di un prodotto non sicuro lungo il catena di fornitura“, ha affermato Thierry Breton, commissario Ue per il mercato interno. “Computer, telefoni, elettrodomesticidispositivi di assistenza virtuale, automobili, giocattoli… ognuno di queste centinaia di milioni di prodotti connessi è un potenziale punto di ingresso per un attacco informatico.”
Se adottato, il regolamento richiederebbe ai produttori di tenere conto della sicurezza informatica nella progettazione e nello sviluppo dei loro dispositivi e le aziende rimarrebbero responsabili della loro sicurezza per tutta la vita prevista dei prodotti, o per un minimo di cinque anni. Le autorità di mercato avrebbero il potere di ritirare o ritirare i dispositivi non conformi e di sanzionare le aziende che non rispettano le regole.
La nuova politica si basa sulle regole esistenti proposte dalla Commissione europea nel 2020, note come le Direttiva NIS 2che, a sua volta, amplia il campo di applicazione dell’attuale direttiva NSI.
La Commissione ha affermato che la legge andrà a beneficio dei consumatori poiché migliorerà la protezione dei dati e della privacy, nonché le aziende, che potrebbe risparmiare fino a 290 miliardi di euro (253 miliardi di euro) all’anno in incidenti informatici contro costi di conformità di circa 29 miliardi di euro (25 miliardi di sterline).
L’UE non è l’unica a spingere verso misure di sicurezza informatica più rigorose. Anche la Casa Bianca degli Stati Uniti ha rilasciato questa settimana nuovi requisiti di sicurezza software federali a seguito dell’attacco informatico SolarWinds del 2020, che ha compromesso diverse agenzie governative.
La nuova guida,Migliorare la sicurezza della catena di fornitura del software per offrire un’esperienza governativa sicura‘, fornisce consulenza alle agenzie su come garantire che l’utilizzo di software di terze parti sia conforme alle linee guida del National Institute of Standards and Technology (NIST). I fornitori di software possono anche fornire un “piano d’azione e pietre miliari” se gli standard NIST non possono essere raggiunti.
“Non molto tempo fa, l’unico vero criterio per la qualità di un software era se funzionasse come pubblicizzato”, ha affermato Chris DeRusha, responsabile federale della sicurezza delle informazioni. “Con le minacce informatiche che devono affrontare le agenzie federali, la nostra tecnologia deve essere sviluppata in modo da renderla resiliente e sicura, garantendo la fornitura di servizi critici al popolo americano proteggendo al tempo stesso i dati del pubblico americano e proteggendosi dagli avversari stranieri”.
La guida è stata pubblicata lo stesso giorno in cui la società di trasporti Uber ha rivelato di aver contattato le forze dell’ordine statunitensi dopo aver sofferto un enorme incidente di sicurezza.
La violazione è probabilmente più estesa della violazione dei dati del 2016 e potenzialmente potrebbe aver compromesso l’intera rete. L’hacker si credeva che avesse violato più sistemi interni, con accesso amministrativo ai servizi cloud di Uber, inclusi Amazon Web Services (AWS) e Google Cloud (GCP). Non vi era alcuna indicazione che la flotta di veicoli di Uber o il suo funzionamento fossero stati in qualche modo interessati.
“L’attaccante afferma di aver completamente compromesso Uber, mostrando schermate in cui sono amministratori completi su AWS e GCP”, Sam Curry ha scritto in un tweet. L’ingegnere della sicurezza di Yuga Labs, in corrispondenza con l’hacker, ha aggiunto: “Questo è un totale compromesso da come appare”.
Da allora Uber ha bloccato l’accesso online alle sue comunicazioni interne e ai suoi sistemi di ingegneria, mentre indagava sulla violazione, secondo a segnalazione di Il New York Times. I tempi ha detto che l’hacker ha riferito di avere 18 anni e ha affermato di aver fatto irruzione perché la società aveva una sicurezza debole.
Uber ha detto via e-mail che “sta attualmente rispondendo a un incidente di sicurezza informatica. Siamo in contatto con le forze dell’ordine”. Tuttavia, gli esperti di sicurezza informatica hanno colto l’occasione per sottolineare l’importanza di stabilire forti protezioni informatiche, per evitare di cadere vittime degli hacker.
“La violazione dei dati di Uber ci ricorda che nessuna organizzazione è al sicuro e che tutti hanno un ruolo da svolgere nella fortificazione digitale”, ha affermato John Davis, direttore Regno Unito e Irlanda, SANS Institute, EMEA, dopo aver appreso la notizia.
“Consapevolezza e vigilanza sono armi vitali nella nostra risposta a queste minacce. Le aziende stanno affrontando enormi pressioni nel clima odierno, tra l’aumento dell’inflazione e i problemi della catena di approvvigionamento, e gli hacker stanno cercando di sfruttarlo. I criminali informatici stanno aumentando di livello. I loro attacchi sono più diffusi, più sofisticati e più difficili da rilevare.”
Dan Davies, CTO presso Maintel, ha aggiunto: “La recente violazione della sicurezza informatica di Uber dimostra come garantire la sicurezza dei canali di comunicazione dovrebbe essere una priorità numero uno per le aziende. Gli hacker in grado di comprendere questi sistemi hanno quindi il potenziale per prendere di mira ulteriori reti interne e causare gravi interruzioni. Una fessura nell’armatura potrebbe portare a un colpo mortale per l’intera organizzazione”.
Nell’ultimo anno, organizzazioni di tutto il mondo, dal NHS del Regno Unito all’Apple degli Stati Uniti, e persino il governo albanese, hanno subito gravi attacchi informatici che hanno interrotto i loro servizi e messo a rischio le informazioni personali dei loro utenti.
Iscriviti all’e-mail di E&T News per ricevere notizie fantastiche come questa nella tua casella di posta ogni giorno.