La metafora è stata usata dall'esperto di sicurezza informatica Robert Graham che nel suo blog Security Errata ha commentato la nuova normativa in California per contrastare gli attacchi informatici ai miliardi di dispositivi connessi. La "SB-327 Information privacy: connected devices" per diventare operativa aspetta soltanto la firma del governatore Jerry Brown e anticipa la normativa federale che al momento prevede atti di indirizzo soprattutto per le aziende governative.
Secondo la "SB 327", i fabbricatori di dispositivi connessi devono prevedere una password univoca per ogni prodotto e assicurare "una ragionevole funzionalità di sicurezza o di caratteristiche appropriate per le informazioni che possono raccogliere, contenere o trasmettere". Il dibattito è molto acceso, soprattutto dopo che nel 2016, il malware Mirai (in giapponese “futuro”) ha eseguito la scansione di dispositivi in Rete non sicuri, videocamere e altri prodotti IoT, rendendo inaccessibili piattaforme come Netflix, Twitter e Reddit.
Il malware è riuscito a penetrare nei sistemi verificando se nome utente e password di accesso al software di gestione del dispositivo fossero quelli predefiniti dal produttore. Molti utenti infatti non cambiano i nomi utente e le password predefinite.
Secondo Graham però la nuova legge "è basata su una comprensione superficiale della cybersecurity-hacking che farà poco per migliorare la sicurezza, mentre fa molto per imporre costi e danneggiare l'innovazione".
L'esperto ha scritto: "La chiave non è aggiungere funzionalità di sicurezza ma rimuovere funzionalità non protette".
Secondo altri esperti, la legge fornisce protezioni soltanto contro le minacce automatiche più basilari. Inoltre il requisito per una procedura di sicurezza "appropriata" sarebbe troppo ambiguo.
© RIPRODUZIONE RISERVATA