Todo lo que sabemos sobre los esfuerzos de etiquetado de seguridad de IoT de la Casa Blanca
Hoy, la Casa Blanca emitió un comunicado que esencialmente decía que tuvo una gran reunión con grandes nombres el miércoles y que habrá una especie de etiqueta de seguridad para dispositivos inteligentes basada en ella en la primavera de 2023. Aquí hay mucho más sobre lo que sucedió y lo que podría resultar de ello.
Llamada así por el impulso de la administración de Eisenhower para repensar la estrategia de la Guerra Fría , una de las recomendaciones de alto nivel de la Comisión de Solarium Cibernético de EE. UU., en su informe de marzo de 2020 , fue “crear una autoridad nacional de certificación y etiquetado de seguridad cibernética”. «organización no gubernamental con fines de lucro» se convertirá en la autoridad de etiquetado durante al menos cinco años, etiquetando productos con base en el consenso de los Departamentos de Comercio y Seguridad Nacional, y «expertos del gobierno federal, académicos, organizaciones no gubernamentales». organizaciones y el sector privado».
Y eso es sobre quién apareció, según la Casa Blanca. Han surgido Amazon, Comcast, Google, Intel, LG, Samsung, Sony y otras personas. Lo mismo hizo Connectivity Standards Alliance, el consorcio detrás de Matter, junto con el Instituto Nacional Estadounidense de Estándares (ANSI), Consumer Reports, Consumer Technology Association, CTIA y los grupos de presión de la Federación Nacional de Minoristas. Agregue a eso casi todas las agencias gubernamentales relevantes para la seguridad y tendrá un panel recomendado por la Comisión Solarium.
Los detalles sobre la etiqueta en sí, tal como todavía existe en la actualidad, y lo que evaluaría o mediría, no estaban disponibles, pero hubo pistas. CyberScoop citó a un funcionario de la Casa Blanca diciendo que las calificaciones de los dispositivos podrían basarse en «vulnerabilidades reparadas, cantidad de información recopilada sobre los consumidores, si los datos están encriptados y compatibilidad con otros productos».
En cuanto a la apariencia de la etiqueta, hay al menos una plantilla. Investigadores de la Universidad Carnegie Mellon, una de las partes invitadas a la cumbre, ya han creado una “etiqueta nutricional” protectora. Según las reseñas de más de 22 grupos, la etiqueta ha tenido un buen desempeño entre los usuarios, dice la universidad. Proporciona múltiples capas de divulgación de información basadas en puntos débiles comunes de IoT: contraseñas predeterminadas, actualizaciones de seguridad, funcionalidad fuera de línea y similares.
Incluso puede crear su propia etiqueta de seguridad autoimpuesta o simplemente patearla como lo hice yo.
La Casa Blanca dijo a los periodistas el jueves que buscaba “simplificar las cosas” con un código que puede ser escaneado por teléfonos para revelar información de seguridad y privacidad.
¿Qué productos recibirán etiquetas? La Casa Blanca dijo a los periodistas el miércoles que comenzará con el etiquetado voluntario en la primavera de 2023, centrándose en “dispositivos conectados a Internet particularmente vulnerables, como enrutadores” y cámaras domésticas.
El comunicado de prensa de la Casa Blanca señala que quiere que estos esfuerzos «creen una etiqueta reconocida a nivel mundial». A principios de este mes, CyberScoop informó que el grupo de trabajo estaba trabajando con la Unión Europea para «armonizar los estándares». Seguridad y tecnologías emergentes Ann Neuberger asistió a la Semana Internacional de la Cibernética de Singapur , donde describió cómo EE.UU. ve a Singapur como “un líder mundial en el Internet de las Cosas”, según informa The Register .
El Esquema de Etiquetado de Ciberseguridad de Singapur clasifica casi todos los dispositivos de consumo conectados a Internet en una escala de cuatro estrellas. El sistema está reconocido por Finlandia y, hasta la fecha, por Alemania . En una conferencia esta semana, se anunció que el sistema pronto podría aparecer en dispositivos médicos. Uno puede apostar que cualquier sistema que se desarrolle en los EE.UU. querrá lograr alguna reciprocidad con el sistema de Singapur, aunque sea al mismo nivel.
¿Hay un aspecto de Materia en esta designación? Casi seguro, dada la presencia de la CSA en la cumbre de la Casa Blanca. La certificación de materia ya requiere que los dispositivos usen el cifrado AES cuando se comunican a través de redes, puedan recibir actualizaciones por aire, estén firmados con código y tengan un enclave seguro para almacenar claves y certificados que se verificarán en el libro mayor de blockchain. Es probable que algunos o todos estos aspectos (con la excepción del bit de cadena de bloques) se consideren en las etiquetas de seguridad.
Si bien es casi seguro que la primera versión de esta etiqueta de seguridad será un intento políticamente aceptable y comprometido, es probable que las cosas sean mejores que el sistema que tenemos ahora: buscar individualmente marcas y fabricantes de hogares inteligentes en Internet, con las frases finales «violación». ”y “vulnerabilidad”.
Deja una respuesta