Все, что мы знаем об усилиях Белого дома по маркировке безопасности IoT

Сегодня Белый дом опубликовал заявление , в котором, по сути, говорилось, что в среду у него состоялась большая встреча с громкими именами и что весной 2023 года на ее основе появится своего рода этикетка безопасности для смарт-устройств. произошло и что из этого могло получиться.

Названная в честь стремления администрации Эйзенхауэра переосмыслить стратегию холодной войны , одна из рекомендаций высшего уровня Комиссии США по киберсолярию в ее отчете за март 2020 года заключалась в том, чтобы «создать национальный орган по сертификации и маркировке кибербезопасности». -коммерческая неправительственная организация» станет органом по маркировке на срок не менее пяти лет, маркируя продукты на основе консенсуса Министерства торговли и внутренней безопасности, а также «экспертов из федерального правительства, научных кругов, неправительственных организаций». организаций и частный сектор».

И это о том, кто появился, согласно Белому дому. Появились Amazon, Comcast, Google, Intel, LG, Samsung, Sony и другие. То же самое сделал Альянс стандартов подключения, консорциум, стоящий за Matter, вместе с Американским национальным институтом стандартов (ANSI), Consumer Reports, Ассоциацией потребительских технологий, CTIA и лоббистскими группами Национальной федерации розничной торговли. Добавьте к этому почти каждое государственное учреждение, имеющее отношение к безопасности, и вы получите группу, рекомендованную Комиссией по солярию.

Подробности о самой этикетке, как она существует сегодня, и о том, что она будет оценивать или измерять, были недоступны, но намеки были. CyberScoop цитирует представителя Белого дома, который заявил, что рейтинги устройств могут основываться на «исправленных уязвимостях, объеме собранной информации о потребителях, зашифрованности данных и совместимости с другими продуктами».

Что касается того, как может выглядеть этикетка, существует по крайней мере один шаблон. Исследователи из Университета Карнеги-Меллона, одной из приглашенных на саммит сторон, уже создали защитную «этикетку питания». Согласно отзывам более чем 22 групп, лейбл хорошо зарекомендовал себя среди пользователей, говорится в сообщении университета. Он обеспечивает несколько уровней раскрытия информации на основе общих проблем IoT: паролей по умолчанию, обновлений безопасности, автономных функций и т. д.

Вы даже можете создать свой собственный ярлык безопасности или просто удалить его, как это сделал я.

В четверг Белый дом сообщил журналистам, что стремился «упростить ситуацию» с помощью кода, который можно сканировать с помощью телефонов, чтобы раскрыть информацию о безопасности и конфиденциальности.

Какие продукты получат этикетки? Белый дом сообщил журналистам в среду, что он начнет с добровольной маркировки весной 2023 года, сосредоточив внимание на «особенно уязвимых устройствах, подключенных к Интернету, таких как маршрутизаторы» и домашние камеры.

В пресс-релизе Белого дома отмечается, что он хочет, чтобы эти усилия «создали всемирно признанный лейбл». Ранее в этом месяце CyberScoop сообщил, что целевая группа работает с Европейским союзом над «гармонизацией стандартов». Безопасность и новые технологии Энн Нойбергер посетила Сингапурскую международную кибернеделю , где рассказала о том, как США относятся к Сингапуру как к «глобальному лидеру Интернета вещей», как сообщает The Register .

Сингапурская схема маркировки кибербезопасности оценивает почти каждое потребительское устройство, подключенное к Интернету, по четырехзвездочной шкале. Система признана Финляндией и, на сегодняшний день, Германией . На конференции на этой неделе было объявлено, что вскоре система может появиться на медицинских устройствах. Можно поспорить, что какая бы система ни была разработана в США, она захочет достичь некоторой взаимности с системой Сингапура, даже если только на том же уровне.

Есть ли в этом обозначении аспект Материи? Почти наверняка, учитывая присутствие CSA на саммите в Белом доме. Сертификация Matter уже требует, чтобы устройства использовали шифрование AES при общении по сетям, могли получать обновления по воздуху, иметь кодовую подпись и иметь безопасный анклав для хранения ключей и сертификатов, которые будут проверены в реестре блокчейна. Некоторые или все эти аспекты (за исключением бита блокчейна), вероятно, будут учитываться на метках безопасности.

Хотя первая версия этой метки безопасности почти наверняка будет скомпрометированной, политически приемлемой попыткой, все, вероятно, будет лучше, чем система, которая у нас есть сейчас: индивидуальный поиск брендов и производителей умного дома в Интернете с заключительными фразами «нарушение » и «уязвимость».