Sicurezza e protezione dei dati: per Nuki, valori fondamentali fin dal primo momento
Nuki NewsOgni anno, in ottobre, l’ENISA (Agenzia dell’Unione europea per la cibersicurezza) si concentra su questa materia. Ma come si vivono alla Nuki i temi della sicurezza e della privacy? Quali approcci e quali principi vengono adottati? E come si affrontano in modo trasparente le potenziali vulnerabilità? Il co-fondatore e Chief Innovation Officer Jürgen Pansy risponde alle dieci domande attualmente più importanti sull’argomento.
1. L’obiettivo dell’European Cybersecurity Month (ECSM) è quello di sensibilizzare i cittadini europei sui rischi e i pericoli di Internet, migliorando le loro conoscenze in materia di sicurezza informatica. Quale posizione assume Nuki in questo contesto?
Come azienda vogliamo contribuire attivamente ad aumentare la fiducia degli utenti nella sicurezza delle nostre Smart Lock. Ecco perché lavoriamo in quest’ambito con approcci e concetti diversificati. Intendiamo così garantire che le nostre serrature intelligenti si mantengano sicure anche in un mondo sempre più interconnesso. Fin dallo sviluppo del nostro primo prototipo, privacy e sicurezza rappresentano per noi due valori chiave. La tutela dei dati personali dei nostri clienti è per noi estremamente importante. Secondo noi, i dati più sicuri sono quelli che non vengono ceduti. Per questo, fin dalla prima generazione, le nostre Smart Lock sono state progettate in modo tale da non rendere obbligatoria la creazione di un account. I dati non vengono pertanto memorizzati sui nostri server. La sicurezza è affidata alla crittografia end-to-end.
2. A una prima lettura, il termine crittografia end-to-end può sembrare enormemente complicato. Ma, in parole povere, cosa c’è dietro?
La crittografia end-to-end utilizza una chiave segreta conosciuta soltanto dal mittente e dal destinatario. Potenti algoritmi di crittografia – simili a quelli utilizzati nel settore dell’online banking – insieme alla cosiddetta procedura challenge-response, rendono impossibile intercettare o copiare e nuovamente riprodurre i comandi di blocco sulla Smart Lock. La procedura challenge-response garantisce che due pacchetti non siano mai uguali, anche quando viene inviato lo stesso contenuto. Nel nostro sistema, ogni combinazione tra una Smart Lock e un utente – per esempio tra l’App Nuki e un Keypad o un telecomando bluetooth Fob – ha la sua combinazione esclusiva di chiavi segrete. I comandi
crittografati vengono inviati alla Smart Lock tramite Bluetooth, anche se si usa il Keypad o il Fob. E anche in caso di accesso da remoto, solo i rispettivi dispositivi finali conoscono la chiave segreta.
3. E per chi possiede una maggiore competenza tecnica sulle procedure di crittografia end-to-end: quali protocolli, quali procedure, quale software utilizza Nuki?
Abbiamo puntato sulla combinazione tra una generazione sicura delle chiavi e una procedura challenge-response con numeri casuali. Durante l’abbinamento dei dispositivi viene generata una chiave comune e avviene un cosiddetto scambio di chiavi Diffie-Hellman. Ciò permette di generare una chiave senza che sia necessario trasferirla. Tale chiave comune serve come base per la crittografia comune. Per la crittografia viene utilizzata la biblioteca open-source NaCl (Networking and Cryptography Library). Nell’ambito della procedura challenge-response, per ogni comando viene inoltre utilizzato un ulteriore numero casuale individuale che può essere utilizzato una sola volta. Se viene trasmesso un numero casuale errato o già utilizzato, il comando viene rifiutato. In questo modo si evita che un comando possa essere intercettato ed eventualmente riprodotto in un secondo momento.
4. Al contrario di altri fornitori di Smart Lock, Nuki non richiede la creazione di un account utente, con l’eccezione dell’offerta supplementare tramite Nuki Web. In questo caso, come vengono trattati i dati degli utenti?
Tutti i prodotti Nuki – tranne la Nuki Box – possono essere utilizzati senza un account utente. Ciò vale sia per l’utilizzo locale tramite Bluetooth che per l’accesso remoto. In entrambi i casi, i dati personali e quelli relativi alla sicurezza vengono salvati solo localmente sui rispettivi dispositivi e non sui server Nuki. L’unica eccezione è costituita da Nuki Web, un servizio cloud per il quale i dati vengono memorizzati nella cache dei nostri server. L’attivazione di Nuki Web è facoltativa e in alcuni casi molto pratica: i dispositivi Nuki possono essere gestiti con la massima semplicità e chiarezza tramite PC o laptop. Un account Nuki Web è indispensabile anche per l’integrazione in determinati sistemi
Smart Home basati su cloud (come Google Home e Amazon Alexa), ma anche in questo caso possiamo dire di essere tenuti a rispettare standard di sicurezza elevati. Nuki offre l’hosting esclusivamente in Europa, cosa che contribuisce ulteriormente all’affidabilità delle nostre Smart Lock. La conservazione dei dati nell’Unione europea sottopone l’hosting a rigorose disposizioni riguardanti la tutela dei dati, norme che garantiscono un elevato livello di protezione dei dati degli utenti.
5. Le Nuki Smart Lock si montano all’interno di una porta esistente; la presenza della serratura elettronica non è quindi percepibile dall’esterno. Il Keypad, viceversa, viene installato all’esterno.
In caso di furto, i codici possono essere compromessi?
I codici di accesso per il Keypad vengono salvati esclusivamente nella serratura elettronica, che si trova fissata sul lato interno della porta. Chiunque rubasse il tastierino non sarebbe in ogni caso in possesso dei codici utilizzati, e se anche tentasse di aprire il Keypad per leggere le aree di memoria interne del Keypad, non sarebbe in grado di farlo. La lettura è protetta contro le manomissioni. Il registro delle attività della Smart Lock garantisce un’ulteriore livello di sicurezza. Tutto questo permette di seguire ogni azione della Smart Lock, ma anche della Smart Door e dell’Opener. Il registro delle attività rileva l’orario, l’utente e la funzione che è stata utilizzata. Inoltre è possibile ricevere una notifica push per essere informati ogni volta che qualcuno interviene su un dispositivo Nuki.
6. I rischi e le minacce, nel campo della cybersicurezza, sono soggetti a continui e rapidi cambiamenti. Come reagisce Nuki a queste evenienze?
Un vantaggio significativo delle nostre Smart Lock è la possibilità di effettuare aggiornamenti per la sicurezza attraverso una connessione online. In questo modo, gli aggiornamenti si ricevono automaticamente ed è possibile mantenere costantemente aggiornate le funzioni di sicurezza. Eventuali lacune nella sicurezza possono essere colmate e le nuove minacce possono essere affrontate in modo affidabile. Se la Nuki Smart Lock – intenzionalmente o meno – è in stato di offline, l’app per smartphone con cui è fornita consente di installare manualmente gli ultimi aggiornamenti. L’app controlla periodicamente la disponibilità di aggiornamenti e informa gli utenti in modo
proattivo. Grazie ai regolari aggiornamenti e all’utilizzo di app per gli aggiornamenti sulla sicurezza, le Nuki Smart Lock rappresentano pertanto una soluzione moderna e sicura per la sicurezza delle porte. Le serrature elettroniche si adattano continuamente ai nuovi requisiti per poter garantire una protezione affidabile.
7. Oltre a quanto è già stato detto, cosa può fare personalmente il cliente per rendere più sicura possibile la sua Smart Lock?
Un aspetto centrale della sicurezza delle serrature smart è anche la sicurezza delle relative app per smartphone, scaricabili da diversi app store, come Apple App Store, Google Play Store o Huawei AppGallery. Questi store sono dotati di propri meccanismi di sicurezza, allo scopo di garantire che vengano pubblicate esclusivamente app affidabili e sicure. Nonostante i suddetti meccanismi di sicurezza, è comunque importante che gli utenti scarichino le app associate alle proprie Smart Lock solo da fonti affidabili. Effettuare il download da fonti non protette o sconosciute comporta dei rischi significativi. Tali fonti potrebbero infatti contenere software potenzialmente dannosi, sfruttare le vulnerabilità della sicurezza o rubare dati personali.
8. Una cosa è imporsi autonomamente degli standard elevati in materia di sicurezza e protezione dei dati, altra cosa è chiedere a un organismo esterno indipendente di verificare questi standard. Qual è la strada percorsa da Nuki in tal senso?
Sin dalla prima generazione, le nostre Smart Lock sono state certificate dall’istituto indipendente AV-TEST come prodotto “Secure IOT”. Siamo orgogliosi, da anni, di aver regolarmente ottenuto queste certificazioni che dimostrano un livello di sicurezza costantemente elevato: l’ultima per la quarta generazione delle nostra Smart Lock. Inoltre, siamo molto lieti di avere ottenuto quest’estate una certificazione particolarmente prestigiosa anche per l’Ultion Nuki, un prodotto sviluppato congiuntamente con il nostro partner britannico Brisant Secure, espressamente per il mercato del Regno Unito. Il “BSI Kitemark for the Internet of Things” attesta, anche per questa Smart Lock, standard di sicurezza fisica e digitale di altissimo livello.
9. Quanto è trasparente Nuki nel trattare potenziali vulnerabilità nella sicurezza?
Essendo uno dei pochi produttori di Smart Lock, abbiamo reso pubbliche gran parte delle nostre API. Ciò permette agli sviluppatori di verificare l’architettura di sicurezza della nostra serratura elettronica e di escludere eventuali punti deboli. Questa trasparenza garantisce che le tecnologie utilizzate siano conformi agli standard di sicurezza attuali e proteggano da potenziali attacchi. La Responsible Disclosure (divulgazione responsabile) e i cosiddetti programmi bug bounty sono altri elementi essenziali della nostra strategia per la sicurezza. I ricercatori della sicurezza hanno la possibilità di segnalare i punti deboli direttamente a Nuki, prima che diventino di pubblico dominio. Questo ci permette di intervenire tempestivamente e di colmare ogni possibile lacuna nella sicurezza. Un programma bug bounty offre anche incentivi monetari per individuare e segnalare le criticità. Tutti questi passi in direzione della trasparenza contribuiscono in modo decisivo al continuo miglioramento delle nostre misure di sicurezza.
10. Cosa significano il Cyber Security Act (CSA) e il Cyber Resilience Act (CRA) dell’UE per i dispositivi IoT e Nuki?
Il CSA e il CRA rappresentano due pietre miliari per la sicurezza dei dispositivi IoT. Adottati dal Parlamento dell’Unione europea nel 2023 e nel 2024, i regolamenti denominati Cyber Security Act e Cyber Resilience Act troveranno applicazione rispettivamente a partire dal 1° agosto 2025 e dal 2027. Entrambi gli atti puntano a rendere i dispositivi IoT più sicuri nell’UE e ad aumentare la fiducia nei confronti di questa tecnologia. Nuki soddisfa già oggi tutti i requisiti fondamentali del CSA e del CRA.
