Getty bilder
Det hvite hus utstedte en uttalelse i dag Når det er sagt, var det i hovedsak vert for et stort møte på onsdag, med store navn, og at det vil komme en slags sikkerhetsetikett for smarte enheter våren 2023. Her er mye mer om hva som skjedde, og hva som sannsynligvis kommer ut av det.
En av anbefalingene på toppnivå fra US Cyberspace Solarium Commission, oppkalt etter Eisenhower-administrasjonens innsats for å revurdere strategien for den kalde krigeni sin rapport fra mars 2020 var å “etablere en nasjonal myndighet for sertifisering og merking av nettsikkerhet.” En “non-profit, ikke-statlig organisasjon” vil bli en merkemyndighet i minst fem år, og merke produkter basert på konsensus fra avdelingene for handel og hjemmesikkerhet, og “eksperter fra den føderale regjeringen, akademia, ikke-statlige organisasjoner og privat sektor.”
Og det er omtrent hvem som dukket opp, ifølge Det hvite hus. Amazon, Comcast, Google, Intel, LG, Samsung, Sony og andre private enheter dukket opp. Det samme gjorde Connectivity Standards Alliance, den konsortium bak Matter, sammen med American National Standards Institute (ANSI), Consumer Reports og lobbygrupper fra Consumer Technology Association, CTIA og National Retail Federation. Legg til omtrent alle offentlige etater som berører sikkerhet, og du har panelet Solarium Commission anbefalte.
Detaljer på selve etiketten, slik den eksisterer så langt, og hva den vil vurdere eller måle, var ikke tilgjengelig, men det har vært hint. CyberScoop siterte en tjenestemann i Det hvite hus som uttalte at enhetsvurderinger kan være basert på “utbedring av sårbarhet, mengden informasjon som samles inn om forbrukere, om data er kryptert og interoperabilitet med andre produkter.”
Når det gjelder hvordan etiketten kan se ut, er det minst én mal. Forskere fra Carnegie Mellon University, en av partene som er invitert til toppmøtet, hadde allerede opprettet en sikkerhets-næringsetikett.”Merket, basert på innspill fra mer enn 22 grupper, fungerte bra hos brukerne, hevder universitetet. Den gir flere nivåer av avsløring, basert på vanlige Internet of Things smertepunkter: standard passord, sikkerhetsoppdateringer, funksjonalitet når du er offline og lignende.
Du kan til og med lage din egen frivillige sikkerhetsetikett, eller bare sparke dekkene på den, som jeg gjorde.
Jeg vet ikke hvorfor vi laget denne smarte ringeklokken, men vi er forpliktet til å oppdatere den i minst tre år.
Kevin Purdy / Carnegie Mellon
Det hvite hus fortalte journalister torsdag at det hadde som mål å “holde ting enkelt,” med en kode som kan skannes av telefoner for å vise informasjon om sikkerhet og personvern.
Hvilke produkter vil få etikettene? Det hvite hus fortalte journalister onsdag at det ville starte med frivillig merking våren 2023, med fokus på “spesielt sårbare internett-tilkoblede enheter som rutere” og hjemmekameraer.
Det hvite hus’ pressemelding bemerker at de ønsker at denne innsatsen skal “generere en globalt anerkjent etikett.” CyberScoop rapporterte tidligere denne måneden at arbeidsgruppen jobbet sammen med EU for å «innrette seg etter standarder». Det er derfor bemerkelsesverdig at nestleder nasjonal sikkerhetsrådgiver for cyber og fremvoksende teknologi Anne Neuberger deltok Singapore International Cyber Weekhvor hun beskrev at USA så til Singapore som en “verdensleder innen IoT,” som rapportert av Registeret.
Singapores merkeordning for cybersikkerhet tildeler nesten alle Internett-tilkoblede forbrukerenheter i det landet en rangering på en firestjerners skala. Systemet er anerkjent av Finland og, per i dag, Tyskland. Annonsert på konferansen denne uken er at systemet snart kan komme til medisinsk utstyr. Det er en anstendig innsats at uansett hvilket system USA lager vil ønske å oppnå en viss gjensidighet med Singapores system, selv om det bare er på et enkelt nivå.
Cybersecurity Labeling Scheme i Singapore, der forbrukerenheter får en av fire poengsummer basert på sikkerhetspraksis.
Er det et materieaspekt ved denne merkingen? Nesten sikkert, gitt tilstedeværelsen av CSA på toppmøtet i Det hvite hus. Saksertifisering krever allerede at enheter bruker AES-kryptering når de kommuniserer på tvers av nettverk, kan motta oppdateringer over luften, være kodesignert og ha en sikker enklave for lagring av nøkler og sertifikater som skal sjekkes mot en blokkjedebok. Noen eller alle disse aspektene (minus blokkjedebiten) vil sannsynligvis bli vurdert på sikkerhetsetiketter.
Selv om den første versjonen av denne sikkerhetsetiketten nesten helt sikkert vil være en kompromittert, politisk velsmakende innsats, vil alt sannsynligvis være bedre enn systemet vi har nå: individuelt søk etter merkenavn og produsenter for smarthus på nettet med etterfølgende setninger “brudd” og ” sårbarhet.”