Nelle scorse settimane il parlamento statunitense ha varato un disegno di legge che obbliga le agenzie governative ad acquistare dispositivi informatici che rispettino standard di sicurezza minimi. Si tratta del Cybersecurity Improvement Act che entrerà in vigore nel 2020. La mancanza di una vera e propria cultura alla sicurezza all'interno di numerose aziende IT è un problema noto da anni, ecco perché i parlamentari americani hanno deciso di introdurre una normativa più rigida a riguardo.
Essa si focalizza sui device acquistati dal governo federale statunitense e definisce nuovi obblighi per i fornitori e per le aziende che intendono vendere tali device alle agenzie governative.
La nuova legge stabilisce di fatto nuovi standard minimi di sicurezza per i device IoT presenti negli uffici federali. I sistemi e le piattaforme adottati dovranno infatti dotarsi di protocolli di adeguati agli standard moderni.
Per essere usati dalle pubbliche amministrazioni tali device dovranno essere sviluppati e costruiti in modo da essere facilmente aggiornabili, cosi da correggere le vulnerabilità rilevate dopo la commercializzazione, e dovranno sfruttare dei protocolli comuni per semplificarne la messa in sicurezza.
Una volta che una vulnerabilità verrà resa pubblica i produttori dovranno informare le agenzie governative preposte, fornendo assistenza su su come correggere i bug. Ad esempio suggerendo l'upgrade del firmware o la disattivazione di una determinata feature.
Le legge limita anche l'uso delle hard-coded credential ovvero quei set di credenziali che vengono configurati di default sui device. Secondo il legislatore statunitense i dipendenti federali devono poter usare un dispositivo anche tramite le proprie credenziali personali.
Il senatore Mark Warner, che ha partecipato alla stesura del testo della nuova normativa, ha dichiarato:
"Sono entusiasta dei cambiamenti che tali device stanno apportando alla società. Tuttavia sono anche preoccupato che tali prodotti vengano venduti senza adeguati standard di sicurezza, spesso le aziende preferiscono risparmiare sulla sicurezza esponendo gli utenti a seri rischi per la propria privacy."