Bidenova administrativa dnes spouští nový štítek kybernetické bezpečnosti pro chytrá zařízení.
Předsedkyně Federální komunikační komise (FCC) Jessica Rosenworcel na tiskovém briefingu uvedla, že nový štítek s názvem US Cyber Trust Mark bude znamenat, že zařízení s tímto označením splňují bezpečnostní standardy založené na standardech stanovených ve zprávě Národního institutu pro standardy a technologie. (NIST). Očekává se, že dobrovolný program bude zaveden v roce 2024 a štítky se dostanou do zařízení „brzy poté“.
Bidenova administrativa odhalila nové logo Cyber Trust s přímým přenosem z Bílého domu v úterý ráno.
Varianty americké značky Cyber Trust Mark.Obrázek: Federal Communications Commission
Program má pokrýt připojená zařízení běžně se vyskytující v domácnosti, jako jsou chytré ledničky, chytré mikrovlnné trouby, chytré televize a inteligentní systémy klimatizace. Oznámení však také uvádí „inteligentní sledovače fitness“ jako zařízení, na které se vztahuje program certifikace a označování, což naznačuje ambice přesahující běžně popíraný prostor pro automatizaci inteligentní domácnosti.
Má dobrovolnou podporu od několika výrobců elektroniky, spotřebičů a spotřebního zboží, maloobchodníků a obchodních sdružení, včetně společností Google, Samsung, Logitech, Amazon, Best Buy a Connectivity Standards Alliance (domovina standardu pro inteligentní domácnost Matter).
FCC „v rámci svých úřadů reguluje bezdrátová komunikační zařízení“ a navrhuje program certifikace a označování, který by podle tiskové zprávy vyžadoval „silná výchozí hesla, ochranu dat, aktualizace softwaru a schopnosti detekce incidentů“. Rosenworcel to přirovnal k Energy Star, což označuje produkty, jako jsou počítače nebo spotřebiče, které splňují určité normy energetické účinnosti.
Štítek Cyber Trust má dvě části: logo vyražené na krabici produktu a QR kód, který mohou kupující později naskenovat, aby si ověřili, že je zařízení stále certifikováno, protože se vyvíjejí hrozby kybernetické bezpečnosti a jsou potřeba opravy.
Předchozí další
1/7
Obrázek: Federal Communications CommissionPředchozíDalší
1/7
Obrázek: Federal Communications Commission
Štítek Cyber Trust, zobrazený výše v galerii snímků obrazovky z živého vysílání Bílého domu, má prostor pro spoustu detailů, zejména poté, co naskenujete QR kód. Příklad FCC na obalu a v online výpisech ukázal rychlé informace o tom, jaká data senzorů se shromažďují a která z nich se sdílí, a také o tom, jak se používají aktualizace zabezpečení nebo jaký druh ověřování podporuje. Naskenováním QR kódu uvidíte na svém smartphonu ještě více detailů; může například zahrnovat, jak dlouho můžete očekávat aktualizace zabezpečení.
Video také ukázalo řádky nabízející, jaký druh dat se shromažďuje, proč se shromažďují a zda vás uložená data mohou identifikovat, a také zda a jaký druh dat je uložen v cloudu. Chcete vědět, zda bude výrobce zařízení sdílet nebo prodávat vaše data? Podle plánu FCC by to bylo také zveřejněno. Jsou zobrazeny další relevantní sloupce pro video, audio, zdravotní zařízení a údaje o poloze a ve spodní části pole pro další shromážděná data. Koncept také ukázal, že uživatel klikne na štítek v online seznamu a zobrazí se stejná rozšířená data.
Vysoký úředník FCC během zasedání Q&A po brífinku řekl, že Komise zvažuje každoroční recertifikace, ale o intervalech ještě nebylo rozhodnuto, protože navrhované označení prochází procesem tvorby pravidel a obdobím pro veřejné připomínky. Pokud jde o to, kdo bude provádět certifikaci, Anne Neuberger, zástupkyně poradce pro národní bezpečnost, řekla, že to bude spadající do laboratoří třetích stran, jako je Connectivity Standards Alliance nebo Consumer Technology Association.
Neuberger řekl, že štítek je nezbytný k tomu, aby „poháněl trh k vytváření bezpečnějších produktů již od návrhu“, uvedl, že společnosti, které se mohou odlišit takovým štítkem, by jim mohly lépe pomoci s vyššími náklady na lepší zabezpečení.
Řekla také, že program pomůže zvýšit odpovědnost, protože produkty pro chytrou domácnost budou muset podle potřeby nadále vydávat bezpečnostní záplaty, aby si udržely označení Cyber Trust. Neuberger řekl v rozhovoru s The Verge že vždy přijde „nový zero-day“, který nazýváme „problémovým“, že občas, když zpravodajská komunita odhalí společnostem zranitelnost IoT, říkají, že s těmito produkty skončili a nebudou vydávat náplast.
Během rozhovoru Neuberger poukázal na zprávu NIST na otázku, co bude FCC považovat za „produkt IoT“ v rámci programu označování Cyber Trust. V zásadě lze podle NIST jakékoli zařízení připojené k síti se „senzorem nebo aktuátorem“ považovat za „zařízení IoT“, zatímco celé toto zařízení – přidružená aplikace, cloudový back-end a požadované rozbočovače na míru – jsou považován za „produkt IoT“.
Samostatná síťová zařízení, jako jsou rozbočovače Zigbee a Z-Wave, která však nejsou spojena s žádným zařízením, jsou místo toho zahrnuta do směrovačů Wi-Fi, které nebyly v rámci zprávy zkoumány. NIST definuje požadavky na kybernetickou bezpečnost směrovačů spotřebitelské úrovně jako prioritu vzhledem k rizikům, která představují pro odposlechy, krádeže hesel a další nebezpečné aktivity v cílených domácnostech. Očekává, že tuto práci dokončí do konce roku 2023, aby Komise mohla zvážit požadavky na kybernetickou bezpečnost směrovačů pro zahrnutí do programu označování.
Administrativa zatím uvádí na podporu dnešního oznámení následující „účastníky“:
Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, Information Technology Industry Council, IoXT, KeySight, LG Electronics USA, Logitech, OpenPolicy, Qorvo, Qualcomm , Samsung, UL Solutions, Yale a August USA
Aktualizace 18. července, 11:55 ET: Přidal tweet a odkaz na tiskovou zprávu Bílého domu a také odkaz na živý přenos. Také přidán obrázek Cyber Trust Mark v několika variantách. Konečně aktualizováno o další podrobnosti na štítku a galerii snímků obrazovky.