Wszystko, co wiemy o wysiłkach Białego Domu w zakresie etykietowania zabezpieczeń IoT
Dziś Biały Dom wydał oświadczenie , w którym zasadniczo powiedział, że w środę odbyło się duże spotkanie z wielkimi nazwiskami i że wiosną 2023 r. pojawi się rodzaj etykiety bezpieczeństwa dla inteligentnych urządzeń. Oto dużo więcej o tym, co się stało i co z tego mogło wyniknąć.
Nazwany na cześć dążeń administracji Eisenhowera do ponownego przemyślenia strategii zimnej wojny , jednym z najwyższych zaleceń amerykańskiej Komisji Cyber Solarium w jej raporcie z marca 2020 r . było „utworzenie krajowego organu ds. certyfikacji i oznakowania cyberbezpieczeństwa”. -profit organizacja pozarządowa” stanie się organem etykietującym przez co najmniej pięć lat, znakując produkty na podstawie konsensusu Departamentów Handlu i Bezpieczeństwa Wewnętrznego oraz „ekspertów z rządu federalnego, środowisk akademickich, organizacji pozarządowych”. sektor prywatny”.
I to o tym, kto się pojawił, według Białego Domu. Pojawiły się Amazon, Comcast, Google, Intel, LG, Samsung, Sony i inne osoby. Tak samo zrobiło Connectivity Standards Alliance, konsorcjum stojące za Matter, wraz z American National Standards Institute (ANSI), Consumer Reports, Consumer Technology Association, CTIA i grupami lobbingowymi National Retail Federation. Dodaj do tego prawie każdą agencję rządową zajmującą się bezpieczeństwem, a otrzymasz panel zalecany przez Komisję ds. Solarium.
Szczegóły dotyczące samej etykiety, która nadal istnieje, oraz tego, co będzie oceniać lub mierzyć, nie były dostępne, ale były wskazówki. CyberScoop zacytował urzędnika Białego Domu, który powiedział, że oceny urządzeń mogą opierać się na „naprawionych lukach w zabezpieczeniach, ilości zebranych informacji o konsumentach, czy dane są szyfrowane i kompatybilności z innymi produktami”.
Jeśli chodzi o to, jak może wyglądać etykieta, istnieje co najmniej jeden szablon. Naukowcy z Carnegie Mellon University, jednej ze stron zaproszonych na szczyt, stworzyli już ochronną „etykietę żywieniową”. Uniwersytet twierdzi, że na podstawie recenzji z ponad 22 grup etykieta dobrze sobie radziła wśród użytkowników. Zapewnia wiele warstw ujawniania informacji w oparciu o typowe problemy IoT: domyślne hasła, aktualizacje zabezpieczeń, funkcjonalność offline i tym podobne.
Możesz nawet stworzyć własną narzuconą sobie etykietę bezpieczeństwa lub po prostu kopnąć ją, tak jak ja.
Biały Dom powiedział dziennikarzom w czwartek, że stara się „uprościć rzeczy” za pomocą kodu, który można zeskanować telefonami, aby ujawnić informacje dotyczące bezpieczeństwa i prywatności.
Jakie produkty otrzymają etykiety? Biały Dom powiedział dziennikarzom w środę, że wiosną 2023 r. rozpocznie się dobrowolne oznaczanie, koncentrując się na „szczególnie wrażliwych urządzeniach podłączonych do Internetu, takich jak routery” i kamery domowe.
W komunikacie prasowym Białego Domu zauważono, że chce, aby te wysiłki „stworzyły rozpoznawalną na całym świecie markę”. Na początku tego miesiąca CyberScoop poinformował, że grupa zadaniowa współpracuje z Unią Europejską w celu „zharmonizowania standardów”. Bezpieczeństwo i nowe technologie Ann Neuberger wzięła udział w Singapore International Cyber Week , gdzie opisała, jak Stany Zjednoczone postrzegają Singapur jako „światowego lidera Internetu przedmiotów”, jak donosi The Register .
Singapore Cybersecurity Labeling Scheme klasyfikuje prawie każde urządzenie konsumenckie podłączone do Internetu w czterogwiazdkowej skali. System jest uznawany przez Finlandię i dotychczas przez Niemcy . Na konferencji w tym tygodniu ogłoszono, że system może wkrótce pojawić się na urządzeniach medycznych. Można założyć, że jakikolwiek system zostanie opracowany w USA, będzie chciał osiągnąć jakąś wzajemność z systemem Singapuru, choćby tylko na tym samym poziomie.
Czy w tym określeniu jest aspekt materii? Prawie na pewno, biorąc pod uwagę obecność CSA na szczycie w Białym Domu. Certyfikacja materii wymaga już, aby urządzenia korzystały z szyfrowania AES podczas komunikacji między sieciami, były w stanie odbierać aktualizacje bezprzewodowo, być podpisane kodem i mieć bezpieczną enklawę do przechowywania kluczy i certyfikatów, które zostaną zweryfikowane w księdze blockchain. Niektóre lub wszystkie z tych aspektów (z wyjątkiem bitu łańcucha bloków) prawdopodobnie zostaną uwzględnione na etykietach bezpieczeństwa.
Chociaż pierwsza wersja tej etykiety bezpieczeństwa prawie na pewno będzie skompromitowaną, politycznie akceptowalną próbą, sytuacja prawdopodobnie będzie lepsza niż system, który mamy teraz: indywidualne wyszukiwanie marek i producentów inteligentnych domów w Internecie, z końcowymi zwrotami „naruszenie ”i„wrażliwość”.
Dodaj komentarz