Biden-administrasjonen takler smarte enheter med en ny cybersikkerhetsetikett
Biden-administrasjonen lanserer en ny cybersikkerhetsetikett for smarte enheter i dag.
I en pressebriefing sa styreleder for Federal Communications Commission (FCC) Jessica Rosenworcel at den nye etiketten, kalt US Cyber Trust Mark, vil bety at enheter som bærer den oppfyller sikkerhetsstandarder basert på de som er etablert i en rapport fra National Institute of Standards and Technology (NIST). Det frivillige programmet forventes å være på plass i 2024, med etikettene som treffer enheter «snart etter».
Biden-administrasjonen avslørte den nye Cyber Trust-logoen med en livestream fra Det hvite hus tirsdag morgen.
US Cyber Trust Mark-varianter.Bilde: Federal Communications Commission
Programmet er ment å dekke tilkoblede enheter som vanligvis finnes i hjemmet, som smarte kjøleskap, smarte mikrobølger, smarte TV-er og smarte klimakontrollsystemer. Men kunngjøringen lister også opp “smarte treningssporere” som en enhet som vil dekkes av sertifiserings- og merkeprogrammet, noe som antyder ambisjoner utover det ofte utfordrede smarthusautomatiseringsområdet.
Den har frivillig støtte fra flere produsenter av elektronikk, apparater og forbrukerprodukter, forhandlere og bransjeforeninger, inkludert Google, Samsung, Logitech, Amazon, Best Buy og Connectivity Standards Alliance (Home of the Matter smarthusstandard).
FCC “opptrer under sine myndigheter for å regulere trådløse kommunikasjonsenheter” for å foreslå sertifiserings- og merkeprogrammet, som det sier vil kreve “sterke standardpassord, databeskyttelse, programvareoppdateringer og hendelsesdeteksjonsmuligheter,” ifølge en pressemelding. Rosenworcel sammenlignet det med Energy Star, som betegner produkter som datamaskiner eller apparater som oppfyller visse energieffektivitetsstandarder.
Cyber Trust-etiketten har to deler: en logo stemplet på esken til et produkt og en QR-kode som kjøpere kan skanne senere for å bekrefte at enheten fortsatt er sertifisert ettersom cybersikkerhetstrusler utvikler seg og oppdateringer er nødvendige.
Forrige neste
1/7
Bilde: Federal Communications CommissionForrigeNeste
1/7
Bilde: Federal Communications Commission
Cyber Trust-etiketten, vist ovenfor i et galleri med skjermbilder fra Det hvite hus livestream, har plass til massevis av detaljer, spesielt etter at du skanner QR-koden. På emballasjen og i online-oppføringer viste FCCs eksempel rask informasjon om hvilke sensordata som samles inn og hvilke av dem som deles, samt hvordan sikkerhetsoppdateringer brukes eller hva slags autentisering den støtter. Ved å skanne QR-koden vil du se enda flere detaljer på smarttelefonen din; for eksempel kan det inkludere hvor lenge du kan forvente sikkerhetsoppdateringer.
Videoen viste også rader som viser hva slags data som samles inn, hvorfor de samles inn, og om dataene som er lagret kan identifisere deg, samt om og hva slags data som er lagret i skyen. Vil du vite om enhetsprodusenten vil dele eller selge dataene dine? Under FCCs plan vil det også bli avslørt. Andre relevante kolonner for video, lyd, helseenheter og plasseringsdata vises, og nederst et felt for andre innsamlede data. Konseptet viste også at en bruker klikket på etiketten i en online oppføring for å se de samme utvidede dataene.
En senior FCC-tjenestemann sa under Q&A-sesjonen etter orienteringen at kommisjonen vurderer årlige resertifiseringer, men intervallene er ennå ikke bestemt, ettersom den foreslåtte etiketten går gjennom regelutformingsprosessen og offentlig kommentarperiode. Når det gjelder hvem som skal håndtere sertifisering, sa Anne Neuberger, nestleder nasjonal sikkerhetsrådgiver, at dette vil falle på tredjepartslaboratorier som Connectivity Standards Alliance eller Consumer Technology Association.
Neuberger sa at etiketten er nødvendig for å “drive markedet til å bygge sikrere produkter ved design,” og sa at selskaper som er i stand til å differensiere seg med en slik etikett kan gjøre dem mer komfortable med de høyere kostnadene ved bedre sikkerhet.
Hun sa også at programmet ville bidra til å drive ansvarlighet, ettersom smarthusprodukter må fortsette å utstede sikkerhetsoppdateringer etter behov for å beholde deres Cyber Trust-merke. Neuberger sa i et intervju med The Verge at det alltid kommer til å være «en ny null-dag», og kaller det «plagsomt» at til tider, når etterretningssamfunnet avslører en IoT-sårbarhet til selskaper, sier de at de er ferdige med disse produktene og ikke vil utstede en lapp.
Under intervjuet pekte Neuberger på NIST-rapporten da han ble spurt om hva FCC vil vurdere som et “IoT-produkt” under Cyber Trust-merkeprogrammet. I hovedsak, ifølge NIST, kan enhver nettverkstilkoblet enhet med en “sensor eller aktuator” betraktes som en “IoT-enhet”, mens hele den enheten – den tilknyttede appen, nettskyen-backend og nødvendige skreddersydde huber – er betraktet som “IoT-produktet.”
Separate nettverksenheter som Zigbee- og Z-Wave-huber som ikke er assosiert med noen enhet, er i stedet satt sammen med Wi-Fi-rutere, som ikke ble undersøkt som en del av rapporten. NIST definerer cybersikkerhetskravene til rutere av forbrukergrad som en prioritet gitt risikoen de utgjør for avlytting, passordtyveri og andre uhyggelige aktiviteter i målrettede hjem. Den forventer å fullføre dette arbeidet innen utgangen av 2023, slik at kommisjonen kan vurdere cybersikkerhetskravene til rutere for inkludering i merkeprogrammet.
Så langt lister administrasjonen opp følgende “deltakere” til støtte for dagens kunngjøring:
Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, Information Technology Industry Council, IoXT, KeySight, LG Electronics USA, Logitech, OpenPolicy, Qorvo, Qualcomm , Samsung, UL Solutions, Yale og August USA
Oppdatering 18. juli kl. 11:55 ET: La til kvitring og link til pressemeldingen fra Det hvite hus samt en lenke til direktestrømming. La også til et bilde av Cyber Trust Mark i flere varianter. Endelig oppdatert med flere detaljer på etiketten og et galleri med skjermbilder.