U.S Cyber Trust Mark: добровольная сертификация - панацея или фикция?

Федеральная комиссия по связи США (FCC) утвердила новую программу добровольной маркировки для устройств Интернета вещей (IoT), предназначенных для потребителей.

Программа вводит сертификационную метку «U.S Cyber Trust Mark» для устройств, соответствующих стандартам кибербезопасности, разработанным Национальным институтом стандартов и технологий (NIST). Эти стандарты включают уникальные и надёжные пароли по умолчанию, защиту данных, обновления программного обеспечения и возможности обнаружения инцидентов.

Программа была единогласно одобрена на недавнем открытом заседании комиссии. Председатель FCC Джессика Розенворцел подчеркнула важность безопасности IoT-устройств, особенно акцентируя внимание на безопасности радионянь и аналогичных девайсов.

Метка «U.S Cyber Trust Mark» будет снабжена QR-кодом, который покупатели смогут просканировать, чтобы получить дополнительную информацию о кибербезопасности продукта, включая срок его поддержки, наличие программных исправлений и автоматических обновлений безопасности.

Один из вариантов дизайна сертификационной метки

Программу будет контролировать FCC, а утверждённые администраторы будут оценивать заявки на продукцию, выдавать метки и выполнять другие функции. Аккредитованные лаборатории будут отвечать за тестирование соответствия продукции.

Предполагается, что метка будет применяться к широкому спектру продуктов, включая домашние видеокамеры, подключенные к интернету бытовые приборы, фитнес-трекеры, гаражные ворота, радионяни и устройства с голосовым управлением.

Инициатива получила поддержку от нескольких крупных ритейлеров, включая Amazon, Best Buy, Google, Logitech и Samsung. Агентство по кибербезопасности и защите инфраструктуры (CISA) и регуляторы из Министерства юстиции будут назначены для надзора и контроля за соблюдением стандартов.

FCC всё ещё находится в процессе обсуждения дополнительных требований, включая необходимость раскрытия/нераскрытия информации о том, связана ли с разработкой умного гаджета страна, представляющая риски национальной безопасности. А также о том, будут ли данные пользователей умных гаджетов отправляться на серверы, расположенные в такой «небезопасной» стране.

Эксперты высказывают смешанные мнения относительно концепции предложенной метки, но согласны, что она может стать первым шагом к обеспечению ответственности в создании программных продуктов, особенно в отношении кибербезопасности.