Оформя се нова програма за сертифициране и етикетиране на киберсигурността, наречена U.S. Cyber Trust Mark, която да помогне на потребителите в САЩ да избират свързани устройства, които са по-сигурни и устойчиви на хакерски атаки.

По предложение на Федералната комисия по комуникации програмата се очаква да започне да действа през следващата година, като доставчиците на смарт устройства ще се ангажират с нея доброволно.

Големите доставчици и производители в САЩ вече обявиха участието си. Сред тях са Amazon, Google, Best Buy , LG Electronics U.S.A., Logitech и Samsung Electronics.

Сигурност на ниво NIST за IoT

Програмата U.S. Cyber Trust Mark има за цел да признае интелигентните продукти, които отговарят на критериите за киберсигурност на Националния институт за стандарти и технологии (NIST), които включват използването на уникални и силни пароли по подразбиране, защита на данните, актуализации на софтуера и възможности за откриване на инциденти.

Участващите производители ще обозначават своите продукти с „отличителен знак на щита“, който сигнализира за одобрен от NIST набор от функции за сигурност.

Етикетирането е предназначено за широко разпространени интелигентни устройства за потребителите, като се започне от хладилници, микровълнови печки, телевизори, системи за контрол на климата и се стигне до фитнес тракери, се казва в съобщението на администрацията на Байдън-Харис.

„Действайки в рамките на правомощията си за регулиране на безжичните комуникационни устройства, се очаква FCC да потърси обществения коментар относно въвеждането на предложената доброволна програма за етикетиране на киберсигурността, която се очаква да бъде въведена и да започне да функционира през 2024 г.“ – се казва в изявление на Белия дом.

До стартирането на програмата администрацията на Байдън-Харис и Агенцията за киберсигурност и инфраструктурна сигурност (CISA) ще подкрепят усилията на FCC да образова потребителите да търсят знака за кибердоверие върху продуктите, които са решили да закупят.

За да се подобри прозрачността и да се стимулира конкуренцията, сертифицираните устройства ще бъдат включени в национален регистър, в който потребителите ще могат да правят справка чрез QR код, за да сравняват информацията за сигурността на различни продукти.

„Работейки с други регулаторни органи и Министерството на правосъдието на САЩ, Комисията планира да създаде гаранции за надзор и прилагане, за да поддържа доверието в програмата.“

Друга важна стъпка се отнася до определянето от NIST до края на годината на набор от изисквания за сигурност за рутерите от потребителски клас, които са типични мишени за киберпрестъпниците, тъй като са врата към други устройства в локалната мрежа, които биха могли да послужат и на нападателя.

Програмата има за цел да обхване и интелигентните измервателни уреди и инвертори на енергия, които са в основата на чистата и интелигентна мрежа на бъдещето. Необходими са обаче изследвания за разработване на подходящи етикети за киберсигурност за тези устройства.

Усилията за определяне на базово ниво на сигурност в устройствата на интернет на нещата съществуват от повече от пет години, като предложенията и за стандартен механизъм за актуализация на фърмуера са сред първите препоръки на експерти по киберсигурност и са публикувани от работната група по интернет инженерство (IETF).

Подобна инициатива беше обявена през 2017 г. от Министерството на търговията на САЩ, чрез неговата Национална администрация по телекомуникации и информация (NTIA), която имаше за цел да разработи насоки за производителите на IoT, които да информират клиентите за възможностите за актуализация на даден продукт.

През същата година Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA) публикува доклада Baseline security recommendations for IoT.

През 2020 г. влезе в сила Калифорнийският закон за интернет на нещата, който изисква от производителите на устройства да включат „разумни функции за сигурност“ в своите продукти, но не предоставя ясен стандарт.