Il governo degli Stati Uniti lancia il Cyber Trust Mark, il suo tanto atteso programma di etichettatura di sicurezza IoT

L'amministrazione Biden ha lanciato il tanto atteso programma di etichettatura per la sicurezza informatica dell'Internet of Things (IoT) che mira a proteggere gli americani dalla miriade di rischi per la sicurezza associati ai dispositivi connessi a Internet.
Il programma, ufficialmente denominato "US Cyber Trust Mark", mira ad aiutare gli americani a garantire che stiano acquistando dispositivi connessi a Internet che includano forti protezioni di sicurezza informatica contro gli attacchi informatici.
L'Internet of Things, un termine che comprende tutto, dai fitness tracker e router ai baby monitor e ai frigoriferi intelligenti, è stato a lungo considerato un debole collegamento alla sicurezza informatica.
Molti dispositivi vengono forniti con password predefinite facili da indovinare e offrono una mancanza di aggiornamenti regolari della sicurezza, mettendo i consumatori a rischio di essere hackerati.
L'amministrazione Biden afferma che il suo sistema di etichettatura volontario influenzato da Energy Star "alzerà l'asticella" per la sicurezza dell'IoT consentendo agli americani di prendere decisioni informate sulle credenziali di sicurezza dei dispositivi connessi a Internet che acquistano.
Il Cyber Trust Mark degli Stati Uniti assumerà la forma di un logo scudo distinto, che apparirà sui prodotti che soddisfano i criteri di sicurezza informatica stabiliti.
Questo criterio, stabilito dal National Institute of Standards and Technology (NIST), richiederà, ad esempio, che i dispositivi richiedano password predefinite univoche e complesse, proteggano i dati archiviati e trasmessi, offrano aggiornamenti di sicurezza regolari e vengano forniti con funzionalità di rilevamento degli incidenti.
L'elenco completo degli standard non è ancora finalizzato.
La Casa Bianca ha affermato che il NIST inizierà immediatamente a lavorare alla definizione degli standard di sicurezza informatica per i router di livello consumer "ad alto rischio", dispositivi che gli aggressori prendono spesso di mira per rubare password e creare botnet che possono essere utilizzate per lanciare DDoS (Distributed Denial-of-Service).
) attacchi.
Questo lavoro sarà completato entro la fine del 2023, con l'obiettivo che l'iniziativa riguardi questi dispositivi quando verrà lanciata nel 2024.
In una chiamata con i giornalisti, la Casa Bianca ha confermato che il Cyber Trust Mark includerà anche un codice QR che collegarsi a un registro nazionale di dispositivi certificati e fornire informazioni aggiornate sulla sicurezza, come criteri di aggiornamento del software, standard di crittografia dei dati e risoluzione delle vulnerabilità.
"Sapevamo che non volevamo creare un'etichetta che dicesse che questo prodotto era stato certificato e protetto e poi è rimasto protetto per sempre", ha detto un alto funzionario dell'amministrazione.
"Il codice QR ti fornirà informazioni aggiornate sulla continua aderenza agli standard di sicurezza informatica." I rivenditori statunitensi saranno inoltre incoraggiati a dare la priorità ai prodotti etichettati quando li collocano nei negozi e online, ha affermato la Casa Bianca, e alcuni hanno già aderito all'iniziativa, tra cui Amazon e Best Buy.
Altre grandi aziende tecnologiche che hanno già aderito all'iniziativa di etichettatura volontaria includono Cisco, Google, LG, Qualcomm e Samsung.
Mentre l'iniziativa si concentrerà inizialmente sui dispositivi di consumo ad alto rischio, il Dipartimento dell'Energia degli Stati Uniti ha annunciato martedì che sta lavorando con i partner del settore per sviluppare requisiti di etichettatura di sicurezza informatica per contatori intelligenti e inverter di potenza.
Amit Serper blocca le falle di sicurezza dell'IoT al TechCrunch Disrupt 2023