Tudo o que sabemos sobre os esforços de rotulagem de segurança IoT da Casa Branca
Hoje, a Casa Branca divulgou um comunicado que basicamente disse que teve uma grande reunião com grandes nomes na quarta-feira e que haverá uma espécie de etiqueta de segurança para dispositivos inteligentes com base nela na primavera de 2023. Aqui está muito mais sobre o que aconteceu e o que pode acontecer.
Nomeado para o esforço do governo Eisenhower para repensar a estratégia da Guerra Fria , uma das recomendações de alto nível da US Cyber Solarium Commission, em seu relatório de março de 2020 , era “criar uma autoridade nacional de certificação e rotulagem de segurança cibernética”. -organização não governamental com fins lucrativos” se tornará a autoridade de rotulagem por pelo menos cinco anos, rotulagem de produtos com base no consenso dos Departamentos de Comércio e Segurança Interna e “especialistas do governo federal, academia, organizações não governamentais”.organizações e O setor privado”.
E isso é sobre quem apareceu, de acordo com a Casa Branca. Amazon, Comcast, Google, Intel, LG, Samsung, Sony e outros indivíduos surgiram. O mesmo aconteceu com a Connectivity Standards Alliance, o consórcio por trás da Matter, junto com o American National Standards Institute (ANSI), Consumer Reports, a Consumer Technology Association, CTIA e os grupos de lobby da National Retail Federation. Acrescente a isso quase todas as agências governamentais relevantes para a segurança e você terá um painel recomendado pela Solarium Commission.
Detalhes sobre o rótulo em si, como ainda existe hoje, e o que ele avaliaria ou mediria, não estavam disponíveis, mas havia dicas. A CyberScoop citou um funcionário da Casa Branca dizendo que as classificações do dispositivo podem ser baseadas em “vulnerabilidades corrigidas, quantidade de informações coletadas sobre os consumidores, se os dados são criptografados e compatibilidade com outros produtos”.
No que diz respeito à aparência do rótulo, há pelo menos um modelo. Pesquisadores da Carnegie Mellon University, uma das partes convidadas para o encontro, já criaram um “rótulo nutricional” protetor. Com base em análises de mais de 22 grupos, a marca teve um bom desempenho entre os usuários, diz a universidade. Ele fornece várias camadas de divulgação de informações com base em pontos problemáticos comuns da IoT: senhas padrão, atualizações de segurança, funcionalidade off-line e afins.
Você pode até criar sua própria etiqueta de segurança auto-imposta ou simplesmente chutá-la como eu fiz.
A Casa Branca disse a repórteres na quinta-feira que procurou “simplificar as coisas” com um código que pode ser escaneado por telefones para revelar informações de segurança e privacidade.
Quais produtos receberão rótulos? A Casa Branca disse a repórteres na quarta-feira que começará com a rotulagem voluntária na primavera de 2023, com foco em “dispositivos conectados à Internet particularmente vulneráveis, como roteadores” e câmeras domésticas.
O comunicado de imprensa da Casa Branca observa que deseja que esses esforços “criem um rótulo reconhecido globalmente”. Security and Emerging Technologies Ann Neuberger participou da Singapore International Cyber Week , onde descreveu como os EUA olham para Cingapura como “um líder global na Internet das Coisas”, conforme relatado pelo The Register .
O Singapore Cybersecurity Labeling Scheme classifica quase todos os dispositivos de consumo conectados à Internet em uma escala de quatro estrelas. O sistema é reconhecido pela Finlândia e, até o momento, pela Alemanha . Em uma conferência esta semana, foi anunciado que o sistema poderia aparecer em breve em dispositivos médicos. Pode-se apostar que qualquer que seja o sistema desenvolvido nos Estados Unidos, ele vai querer alcançar alguma reciprocidade com o sistema de Cingapura, mesmo que apenas no mesmo nível.
Existe um aspecto da Matéria nesta designação? Quase certamente, dada a presença do CSA na cúpula da Casa Branca. A certificação da Matter já exige que os dispositivos usem a criptografia AES ao se comunicarem em redes, sejam capazes de receber atualizações pelo ar, sejam assinados por código e tenham um enclave seguro para armazenar chaves e certificados que serão verificados no registro do blockchain. Alguns ou todos esses aspectos (com exceção do bit blockchain) provavelmente serão considerados nos rótulos de segurança.
Embora a primeira versão dessa etiqueta de segurança quase certamente seja uma tentativa comprometida e politicamente aceitável, é provável que as coisas sejam melhores do que o sistema que temos agora: pesquisar individualmente marcas e fabricantes de casas inteligentes na Internet, com as frases finais “violação ”e “vulnerabilidade”.
Deixe um comentário