Alles, was wir über die IoT-Sicherheitskennzeichnungsbemühungen des Weißen Hauses wissen
Heute gab das Weiße Haus eine Erklärung heraus, in der es im Wesentlichen hieß, dass am Mittwoch ein großes Treffen mit großen Namen stattgefunden habe und dass es im Frühjahr 2023 eine Art darauf basierendes Sicherheitsetikett für Smart Devices geben werde. Hier erfahren Sie noch viel mehr darüber passiert ist und was dabei herauskommen könnte.
Benannt nach dem Vorstoß der Eisenhower-Regierung, die Strategie des Kalten Krieges zu überdenken , lautete eine der obersten Empfehlungen der US Cyber Solarium Commission in ihrem Bericht vom März 2020 , „eine nationale Zertifizierungs- und Kennzeichnungsbehörde für Cybersicherheit zu schaffen“. „Eine gewinnorientierte Nichtregierungsorganisation“ wird für mindestens fünf Jahre die Kennzeichnungsbehörde sein und Produkte auf der Grundlage eines Konsenses der Ministerien für Handel und Heimatschutz sowie „Experten aus der Bundesregierung, der Wissenschaft und Nichtregierungsorganisationen“ kennzeichnen der private Sektor“.
Und dabei geht es darum, wer aufgetaucht ist, so das Weiße Haus. Amazon, Comcast, Google, Intel, LG, Samsung, Sony und andere sind entstanden. Dies gilt auch für die Connectivity Standards Alliance, das Konsortium hinter Matter, zusammen mit dem American National Standards Institute (ANSI), Consumer Reports, der Consumer Technology Association, CTIA und den Lobbygruppen der National Retail Federation. Wenn man dazu so gut wie alle sicherheitsrelevanten Regierungsbehörden hinzufügt, erhält man ein von der Solarium Commission empfohlenes Panel.
Details zum Label selbst, wie es heute noch existiert, und was es bewerten oder messen würde, waren nicht verfügbar, aber es gab Hinweise. CyberScoop zitierte einen Beamten des Weißen Hauses mit den Worten, Gerätebewertungen könnten auf „behobenen Schwachstellen, der Menge der über Verbraucher gesammelten Informationen, ob Daten verschlüsselt sind und der Kompatibilität mit anderen Produkten“ basieren.
Für die Art und Weise, wie das Etikett aussehen könnte, gibt es mindestens eine Vorlage. Forscher der Carnegie Mellon University, einer der zum Gipfel eingeladenen Parteien, haben bereits ein schützendes „Nährwertetikett“ erstellt. Basierend auf Bewertungen von über 22 Gruppen schneidet das Label bei den Nutzern gut ab, so die Universität. Es bietet mehrere Ebenen der Informationsoffenlegung basierend auf häufigen IoT-Problempunkten: Standardkennwörter, Sicherheitsupdates, Offline-Funktionalität und dergleichen.
Sie können sogar Ihr eigenes Sicherheitsetikett erstellen oder einfach darauf treten, wie ich es getan habe.
Das Weiße Haus teilte Reportern am Donnerstag mit, dass es versucht habe, die Dinge mit einem Code zu „vereinfachen“, der von Telefonen gescannt werden könne, um Sicherheits- und Datenschutzinformationen preiszugeben.
Welche Produkte erhalten Etiketten? Das Weiße Haus teilte Reportern am Mittwoch mit, dass es im Frühjahr 2023 mit der freiwilligen Kennzeichnung beginnen werde und sich dabei auf „besonders gefährdete, mit dem Internet verbundene Geräte wie Router“ und Heimkameras konzentrieren werde.
In der Pressemitteilung des Weißen Hauses heißt es, dass diese Bemühungen „ein weltweit anerkanntes Label schaffen“ sollen. Anfang des Monats berichtete CyberScoop, dass die Task Force mit der Europäischen Union zusammenarbeite, um „Standards zu harmonisieren“. Insbesondere der stellvertretende nationale Sicherheitsberater für Cyber Sicherheit und neue Technologien Ann Neuberger nahm an der Singapore International Cyber Week teil und beschrieb, wie die USA Singapur als „weltweit führenden Anbieter im Internet der Dinge“ sehen, wie The Register berichtet .
Das Singapore Cybersecurity Labeling Scheme bewertet nahezu jedes mit dem Internet verbundene Verbrauchergerät auf einer Vier-Sterne-Skala. Das System wird von Finnland und bisher auch von Deutschland anerkannt . Auf einer Konferenz diese Woche wurde bekannt gegeben, dass das System bald auf medizinischen Geräten erscheinen könnte. Man kann darauf wetten, dass welches System auch immer in den USA entwickelt wird, es eine gewisse Gegenseitigkeit mit dem System Singapurs erreichen möchte, wenn auch nur auf dem gleichen Niveau.
Gibt es in dieser Bezeichnung einen Aspekt der Materie? Angesichts der Anwesenheit der CSA beim Gipfeltreffen im Weißen Haus mit ziemlicher Sicherheit. Die Matter-Zertifizierung erfordert bereits, dass Geräte bei der Kommunikation über Netzwerke AES-Verschlüsselung verwenden, Aktualisierungen drahtlos empfangen können, codesigniert sind und über eine sichere Enklave zum Speichern von Schlüsseln und Zertifikaten verfügen, die im Blockchain-Ledger überprüft werden. Einige oder alle dieser Aspekte (mit Ausnahme des Blockchain-Bits) werden wahrscheinlich auf Sicherheitsetiketten berücksichtigt.
Auch wenn es sich bei der ersten Version dieses Sicherheitslabels mit ziemlicher Sicherheit um einen kompromittierten, politisch akzeptablen Versuch handelt, dürften die Dinge besser sein als das System, das wir jetzt haben: individuelle Suche nach Smart-Home-Marken und -Herstellern im Internet, mit den letzten Worten „Verstoß“. „und „Verletzlichkeit“.
Schreibe einen Kommentar