La administración Biden presenta hoy una nueva etiqueta de ciberseguridad para dispositivos inteligentes. En una conferencia de prensa, la presidenta de la Comisión Federal de Comunicaciones (FCC), Jessica Rosenworcel, dijo que la nueva etiqueta, llamada US Cyber Trust Mark, indicará que los dispositivos que la portan cumplen con los estándares de seguridad basados en los establecidos en un informe del Instituto Nacional. de Estándares y Tecnología (NIST). Se espera que el programa voluntario entre en vigencia en 2024, con etiquetas dirigidas a dispositivos «inmediatamente después».
El programa tiene como objetivo cubrir los dispositivos conectados que se encuentran comúnmente en el hogar, como refrigeradores inteligentes, microondas inteligentes, televisores inteligentes y sistemas de aire acondicionado inteligentes. Pero el anuncio también enumera los «seguidores inteligentes de actividad física» como dispositivos que estarían cubiertos por el programa de certificación y etiquetado, lo que sugiere ambiciones más allá del hogar inteligente. Cuenta con el apoyo voluntario de numerosos fabricantes de productos electrónicos, electrodomésticos y productos de consumo, minoristas y asociaciones comerciales, incluidos Google, Samsung, Logitech, Amazon, Best Buy y Connectivity Standards Alliance (hogar del estándar de hogar inteligente Matter).
Piense en Energy Star, pero para la seguridad de los dispositivos inteligentes.
La FCC está «actuando bajo su autoridad para regular los dispositivos de comunicación inalámbrica» para proponer el programa de certificación y etiquetado, que dijo que requeriría «contraseñas predeterminadas seguras, protección de datos, actualizaciones de software y capacidades de detección de incidentes según un comunicado de prensa. Rosenworcel lo comparó con Energy Star, que denota productos como computadoras o electrodomésticos que cumplen con ciertos estándares de eficiencia energética.
La etiqueta Cyber Trust consta de dos partes: un logotipo grabado en el empaque de un producto y un código QR que los compradores luego pueden escanear para verificar que el dispositivo aún está certificado a medida que surgen amenazas de ciberseguridad que evolucionan y se necesitan parches. En una entrevista con la asesora adjunta de Seguridad Nacional, Anne Neuberger, me pregunté si el código QR se usaría para brindar a las personas información de seguridad más detallada sobre un producto, por ejemplo, si un producto requiere una conexión constante a Internet para funcionar. Neuberger reiteró que el código QR ayudará a mantener a los clientes actualizados, fomentando ideas como esta a través de comentarios públicos cuando llegue el momento.
Un alto funcionario de la FCC dijo durante la sesión de preguntas y respuestas que siguió a la sesión informativa que la Comisión está considerando recertificaciones anuales, pero los intervalos aún no se han decidido. En cuanto a quién manejará la certificación, Neuberger dijo que recaerá en laboratorios de terceros como Connectivity Standards Alliance o Consumer Technology Association.
Neuberger dijo que la etiqueta es necesaria para «liderar el mercado en la creación de productos más seguros por diseño», y dijo que las empresas que pueden diferenciarse con dicha etiqueta podrían sentirse más cómodas con los costos más altos de una mejor seguridad.
También dijo que el programa ayudaría a promover la responsabilidad, ya que los productos para el hogar inteligente deberán continuar lanzando parches de seguridad según sea necesario para mantener su etiqueta Cyber Trust. Neuberger dijo en una entrevista con El límite que siempre habrá «un nuevo día cero», llamándolo «problemático» que a veces, cuando la comunidad de inteligencia revela una vulnerabilidad de IoT a las empresas, dicen que han terminado con esos productos y no lanzarán un parche.
Durante la entrevista, Neuberger señaló el informe del NIST cuando se le preguntó qué considerará la FCC un «producto IoT» bajo el programa de etiquetado Cyber Trust. Esencialmente, según NIST, cualquier dispositivo conectado a la red con un «sensor o actuador» puede considerarse un «dispositivo IoT», mientras que el dispositivo completo (la aplicación asociada, el backend en la nube y los concentradores personalizados requeridos) se considera el «producto IoT». «.
Sin embargo, los dispositivos de red separados, como los concentradores Zigbee y Z-Wave, que no están asociados con ningún dispositivo, se agrupan con enrutadores Wi-Fi, que no se examinaron como parte del informe. NIST está priorizando los requisitos de seguridad cibernética de los enrutadores de nivel de consumidor dados los riesgos que representan para las escuchas ilegales, el robo de contraseñas y otras actividades nefastas en los hogares objetivo. Planea completar este trabajo para fines de 2023 para que la Comisión pueda considerar los requisitos de ciberseguridad del enrutador para su inclusión en el programa de etiquetado.
Se espera que la administración de Biden revele el nuevo logotipo de Cyber Trust más tarde hoy con una transmisión en vivo desde la Casa Blanca de 9:30 am a 11 am ET, revelando más detalles sobre el programa y qué empresas ya se han comprometido.
Hasta el momento, la administración enumera los siguientes «participantes» en apoyo del anuncio de hoy:
Amazon, Best Buy, Carnegie Mellow University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, Information Technology Industry Council, IoXT, KeySight, LG Electronics USA, Logitech, OpenPolicy, Qorvo, Qualcomm, Samsung, UL Solutions, Yale y August EE. UU.
Actualización 18 de julio, 9:01 a. m. ET: Agregado tweets Y conexión al comunicado de prensa de la Casa Blanca, así como un enlace a la transmisión en vivo.