Sicurezza del prodotto FAQ

Qual è lo scopo del gruppo di lavoro sulla sicurezza del prodotto?

Lo scopo del gruppo di lavoro sulla sicurezza del prodotto è quello di sviluppare un programma di certificazione della sicurezza del prodotto basato sulle migliori pratiche di sicurezza, sulle capacità tecniche e sulle norme di sicurezza del prodotto esistenti utilizzate per garantire la sicurezza dei dispositivi IoT e, infine, garantire un marchio riconosciuto dai consumatori che i prodotti che stanno utilizzando soddisfano una soglia di sicurezza di base e possono essere approvati dalle autorità di regolamentazione come conformi ai requisiti di sicurezza applicabili. I laboratori di test autorizzati vengono impiegati per fornire questo punteggio su larga scala.

Cos'è la sicurezza del prodotto e in cosa differisce dalla sicurezza del protocollo?

Standard come Zigbee ed Matter definire i requisiti per la sicurezza dei protocolli di rete. Il gruppo di lavoro sulla sicurezza del prodotto li integra creando un programma di certificazione per la sicurezza dei prodotti nel loro complesso, comprese funzionalità di sicurezza come l'avvio sicuro che sono inerenti al prodotto ma non fanno parte di un protocollo di rete. Inoltre, questo programma è disponibile per i prodotti che non implementano alcun protocollo standardizzato da Alliance.

Perché abbiamo bisogno del gruppo di lavoro sulla sicurezza del prodotto quando l'altro Alliance tecnologie hanno già requisiti di sicurezza per le loro certificazioni?

La certificazione di sicurezza del prodotto differisce sostanzialmente dai test funzionali e di interoperabilità utilizzati dagli altri nostri gruppi di lavoro. Con la sicurezza del prodotto, i tester devono verificare non solo che un prodotto funzioni e interagisca correttamente, ma anche che possa resistere a determinati attacchi ostili. Pertanto, la certificazione della sicurezza del prodotto richiede competenze e metodi diversi.

Ad esempio, un prodotto con una password amministratore o una backdoor ben nota potrebbe superare i test funzionali e di interoperabilità ma non i test di sicurezza del prodotto.

Perché il Alliance devi creare una certificazione di sicurezza del prodotto?

Gli attacchi contro i sistemi IoT continuano a crescere, in numero, sofisticatezza e impatto. Tali attacchi sfruttano ogni possibile vulnerabilità oltre l’ambito tradizionale dei protocolli di connettività, che in genere si limitano a proteggere la messa in servizio e i dati in transito.

Stanno iniziando a emergere programmi nazionali di certificazione/etichettatura della sicurezza informatica (ad esempio a Singapore e in Finlandia) e i governi stanno rispondendo con standard e regolamenti; per elencarne alcuni già esistenti o in divenire:

• USA – NIST IR 8259, NIST IR 8425, NIST SP 800-213 e varie leggi
• UE – Legge sulla sicurezza informatica, direttiva rivista sulle apparecchiature radio (RED) e legge sulla resilienza informatica
• Standard di riferimento come IEC 62443 e ETSI EN 303 645
• Regno Unito – Legge 2022 sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione
• Singapore, Finlandia, Cina, ecc.

La continua divergenza dei requisiti e la proliferazione di diversi programmi di certificazione porterà a costi elevati e alla complessità di dimostrare la sicurezza del prodotto prima del collocamento sul mercato, soprattutto per gli attori globali. 

I AllianceL'ambizione di è porre rimedio a questa situazione sfruttando i propri punti di forza e le proprie competenze: fornire un programma di certificazione con valore di mercato sviluppato in un processo di standardizzazione basato sul consenso, informato dalle migliori pratiche di sicurezza, dalle capacità tecniche e dalle normative esistenti sulla sicurezza dei prodotti.

Come funziona Connectivity Standards Alliance La certificazione di sicurezza del prodotto si riferisce agli standard nazionali, regionali e internazionali in questo settore?

La certificazione Sicurezza del prodotto si basa sui requisiti inclusi negli standard nazionali, regionali e internazionali relativi alla sicurezza dei prodotti IoT. Ci aspettiamo che i prodotti che ricevono il file Alliance La certificazione di sicurezza del prodotto rispetterà anche questi altri standard, semplificando il processo di certificazione sia per i produttori che per i consumatori.

Quanti Alliance le aziende associate sono coinvolte nel gruppo di lavoro sulla sicurezza del prodotto?

Al momento del rilascio della Specifica di sicurezza dei dispositivi IoT Product Security 1.0, ce n'erano quasi 200 Connectivity Standards Alliance Le aziende associate promotrici e partecipanti rappresentate nel gruppo di lavoro sulla sicurezza del prodotto.

Quali sono le caratteristiche e i requisiti di sicurezza inclusi nella specifica e che devono essere certificati dal Alliance? Cosa significa o comporta un prodotto sicuro con questo marchio?

Le specifiche di sicurezza dei dispositivi IoT di Product Security includono decine di disposizioni specifiche sulla sicurezza del prodotto. I produttori di dispositivi IoT devono attestare la propria conformità a tali disposizioni, fornendo giustificazioni e prove a un laboratorio di prova accettato certificato con competenza nella valutazione della sicurezza ed esperienza nella certificazione di prodotti relativi a questa specifica.

• I requisiti specifici includono
• Identità univoca per ciascun dispositivo IoT
• Nessuna password predefinita codificata
• Archiviazione sicura dei dati sensibili sul Dispositivo
• Comunicazioni sicure di informazioni rilevanti per la sicurezza
• Aggiornamenti software sicuri per tutto il periodo di supporto
• Processo di sviluppo sicuro, inclusa la gestione delle vulnerabilità
• Documentazione pubblica riguardante la sicurezza, compreso il periodo di supporto

Insieme, questi requisiti garantiscono che i requisiti di sicurezza fondamentali siano stati soddisfatti.

Se certificato, è necessario che il marchio verificato per la sicurezza del prodotto sia presente sul dispositivo o sulla confezione?

No, il marchio verificato sarà facoltativo per i produttori di dispositivi da apporre sul dispositivo o sulla confezione. Possono seguire il programma di certificazione e richiedere la certificazione senza mostrare il marchio.