L’amministrazione Biden ha lanciato il tanto atteso programma di etichettatura della sicurezza informatica Internet of Things (IoT) che mira a proteggere gli americani dalla serie di rischi per la sicurezza associati ai dispositivi connessi a Internet.
Il programma, ufficialmente chiamato “US Cyber Trust Mark”, mira ad aiutare gli americani a garantire l’acquisto di dispositivi connessi a Internet che includano forti protezioni di sicurezza informatica contro gli attacchi informatici.
L’Internet delle cose, un termine che comprende di tutto, dai fitness tracker e router ai baby monitor e ai frigoriferi intelligenti, è stato a lungo considerato un anello debole della sicurezza informatica. Molti dispositivi vengono forniti con password predefinite facili da indovinare e non offrono aggiornamenti di sicurezza regolari, esponendo i consumatori al rischio di essere hackerati.
L’amministrazione Biden afferma che il suo sistema di etichettatura volontaria influenzato da Energy Star “alzerà il livello” per la sicurezza dell’IoT consentendo agli americani di prendere decisioni informate sulle credenziali di sicurezza dei dispositivi connessi a Internet che acquistano. Il Cyber Trust Mark statunitense assumerà la forma di un logo distintivo a forma di scudo, che apparirà sui prodotti che soddisfano i criteri di sicurezza informatica stabiliti.
Questo criterio, istituito dal National Institute of Standards and Technology (NIST) richiederà, ad esempio, che i dispositivi richiedano password predefinite uniche e complesse, proteggano i dati archiviati e trasmessi, offrano aggiornamenti di sicurezza regolari e siano dotati di funzionalità di rilevamento degli incidenti.
L'elenco completo degli standard non è ancora definitivo. La Casa Bianca ha affermato che il NIST inizierà immediatamente a lavorare sulla definizione degli standard di sicurezza informatica per i router di livello consumer “a più alto rischio”, dispositivi che sono spesso presi di mira dagli aggressori. per rubare password e creare botnet che possono essere utilizzate per lanciare attacchi DDoS (Distributed Denial of Service). Questo lavoro sarà completato entro la fine del 2023, con l’obiettivo che l’iniziativa copra questi dispositivi quando verrà lanciata nel 2024.
In una conferenza stampa, la Casa Bianca ha confermato che il Cyber Trust Mark includerà anche un codice QR che si collegherà a un registro nazionale di dispositivi certificati e fornirà informazioni aggiornate sulla sicurezza come politiche di aggiornamento del software, standard di crittografia dei dati e riparazione delle vulnerabilità.
"Sapevamo di non voler creare un'etichetta che dicesse che questo prodotto è stato certificato e assicurato e ora rimane sicuro per sempre", ha affermato un alto funzionario dell'amministrazione. “Il codice QR ti fornirà informazioni aggiornate sul conformità continua degli standard di sicurezza informatica.
I rivenditori statunitensi saranno inoltre incoraggiati a dare priorità ai prodotti etichettati quando li collocano nei negozi e online, ha affermato la Casa Bianca, e molti hanno già aderito all’iniziativa, tra cui Amazon e Best Buy. Altre grandi aziende tecnologiche che hanno già aderito all’iniziativa di etichettatura volontaria includono Cisco, Google, LG, Qualcomm e Samsung.
Sebbene l’iniziativa si concentrerà inizialmente sui dispositivi di consumo ad alto rischio, il Dipartimento dell’Energia degli Stati Uniti ha annunciato martedì che sta lavorando con i partner del settore per sviluppare requisiti di etichettatura di sicurezza informatica per contatori intelligenti e dispositivi di stoccaggio dell’energia.