Come migliorare la sicurezza informatica di dispositivi portatili
Da tempo gli esperti attendevano che questo organismo specializzato, che ha sede ad Antibes, in Francia, mettesse a punto una norma che permettesse di stabilire criteri oggettivi di valutazione del livello di sicurezza di dispositivi portatili, utilizzati da utenti non particolarmente preparati.
È per questa ragione che, lo European Telecommunication Standard Istitute, ha recentemente pubblicato la norma ETSI TS 103 732, dal titolo “profilo di protezione di apparati mobili ad uso del consumatore privato”.
Gli organismi tecnici di questo prezioso ente normativo da tempo si erano resi conto che gli apparati portatili di utente, come gli smartphone, vengono utilizzati sempre più spesso per la gestione di servizi digitali, come ad esempio per la gestione di applicazioni bancarie, verifica dell’identità elettronica, gestione di chiavi e codici e via dicendo.
Non sempre questi apparati sono dotati di misure di protezione informatica soddisfacenti e, quando sono presenti, talvolta l’utente non provvede ad un periodico aggiornamento.
Ecco perché si è resa necessaria l’elaborazione di una norma, che potesse ridurre i rischi potenziali e portare il livello di protezione dei dispositivi mobili ad un livello soddisfacente, e tale da poter proteggere, anche nel prossimo futuro, questi apparati, in cui uso è sempre più critico.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
Il documento identifica gli elementi che devono essere protetti in un tipico scenario di uso, da parte di un consumatore non particolarmente preparato, ed identifica le minacce di sicurezza legate a questi elementi.
Il documento definisce un profilo di protezione, abbreviato in PP, che stabilisce i criteri di valutazione del livello di sicurezza.
Il documento è mirato soprattutto ai progettisti di questi apparecchi portatili, che dovranno attuare questi requisiti di sicurezza, che permetteranno di emettere certificazioni, da parte di soggetti terzi.
Il documento, tuttavia, si premura di mettere in guardia gli utenti sul fatto che le garanzie di sicurezza, incluse in questo schema normativo, non si applicano ad applicazioni che vengano scaricate dal cliente, senza aver effettuato appropriati accertamenti di sicurezza.
Inoltre, la norma non si applica a dispositivi aggiuntivi, come ad esempio una scheda di memoria inserita nello smartphone, ed infine non si applica ad uno smartphone, che venga utilizzato da diversi utenti.
La norma si articola in vari paragrafi, di seguito illustrati:
- una definizione di cosa si intende per apparato protetto,
- una definizione dei problemi di sicurezza che vengono affrontati,
- l’individuazione degli obiettivi di sicurezza che vogliono essere raggiunti,
- i requisiti di sicurezza specifici, che comprendono aspetti crittografici, aggiornamento periodico, identificazione autentica degli utenti e via dicendo.
Un annesso informativo prende in considerazione la classificazione di attacchi fisici, che possono essere fatti da un attaccante, che abbia materialmente la possibilità di intervenire, non a distanza, sullo smartphone in esame.
Ci auguriamo che questa nuova norma venga rapidamente recepita dai produttori di questi apparati, che potranno così chiedere una certificazione.
A questo punto, gli utenti che desiderano acquistare uno smartphone potranno avanzare richieste specifiche, che li aiuteranno nel selezionare l’apparato, se non più bello, almeno più sicuro!
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.