U.S Cyber Trust Mark: добровольная сертификация - панацея или фикция?

Федеральная комиссия по связи США ( FCC ) утвердила новую программу добровольной маркировки для устройств Интернета вещей ( IoT ), предназначенных для потребителей.

Программа вводит сертификационную метку «U.S Cyber Trust Mark» для устройств, соответствующих стандартам кибербезопасности, разработанным Национальным институтом стандартов и технологий ( NIST ). Эти стандарты включают уникальные и надёжные пароли по умолчанию, защиту данных, обновления программного обеспечения и возможности обнаружения инцидентов.

Программа была единогласно одобрена на недавнем открытом заседании комиссии. Председатель FCC Джессика Розенворцел подчеркнула важность безопасности IoT-устройств, особенно акцентируя внимание на безопасности радионянь и аналогичных девайсов.

Метка «U.S Cyber Trust Mark» будет снабжена QR-кодом, который покупатели смогут просканировать, чтобы получить дополнительную информацию о кибербезопасности продукта, включая срок его поддержки, наличие программных исправлений и автоматических обновлений безопасности.

Один из вариантов дизайна сертификационной метки

Программу будет контролировать FCC, а утверждённые администраторы будут оценивать заявки на продукцию, выдавать метки и выполнять другие функции. Аккредитованные лаборатории будут отвечать за тестирование соответствия продукции.

Предполагается, что метка будет применяться к широкому спектру продуктов, включая домашние видеокамеры, подключенные к интернету бытовые приборы, фитнес-трекеры, гаражные ворота, радионяни и устройства с голосовым управлением.

Инициатива получила поддержку от нескольких крупных ритейлеров, включая Amazon, Best Buy, Google, Logitech и Samsung. Агентство по кибербезопасности и защите инфраструктуры ( CISA ) и регуляторы из Министерства юстиции будут назначены для надзора и контроля за соблюдением стандартов.

FCC всё ещё находится в процессе обсуждения дополнительных требований, включая необходимость раскрытия/нераскрытия информации о том, связана ли с разработкой умного гаджета страна, представляющая риски национальной безопасности. А также о том, будут ли данные пользователей умных гаджетов отправляться на серверы, расположенные в такой «небезопасной» стране.

Эксперты высказывают смешанные мнения относительно концепции предложенной метки, но согласны, что она может стать первым шагом к обеспечению ответственности в создании программных продуктов, особенно в отношении кибербезопасности.