La administración Biden lanzó su tan esperado programa de etiquetado de ciberseguridad de Internet de las cosas (IoT) que tiene como objetivo proteger a los estadounidenses contra la gran cantidad de riesgos de seguridad asociados con los dispositivos conectados a Internet.
El programa, oficialmente llamado «US Cyber Trust Mark», tiene como objetivo ayudar a los estadounidenses a asegurarse de que están comprando dispositivos conectados a Internet que incluyen fuertes protecciones de seguridad cibernética contra ataques cibernéticos.
El Internet de las cosas, un término que abarca todo, desde rastreadores de actividad física y enrutadores hasta monitores para bebés y refrigeradores inteligentes, se ha considerado durante mucho tiempo un vínculo débil de ciberseguridad. Muchos dispositivos se envían con contraseñas predeterminadas fáciles de adivinar y no ofrecen actualizaciones periódicas de seguridad, lo que pone a los consumidores en riesgo de ser pirateados.
La administración de Biden dice que su sistema de etiquetado voluntario influenciado por Energy Star «elevará el nivel» para la seguridad de IoT al permitir que los estadounidenses tomen decisiones informadas sobre las credenciales de seguridad de los dispositivos conectados a Internet que compran. La marca de confianza cibernética de EE.UU. tomará la forma de un logotipo de escudo distintivo, que aparecerá en los productos que cumplan con los criterios de seguridad cibernética establecidos.
Este criterio, establecido por el Instituto Nacional de Estándares y Tecnología (NIST) requerirá, por ejemplo, que los dispositivos requieran contraseñas predeterminadas únicas y seguras, protejan los datos almacenados y transmitidos, ofrezcan actualizaciones de seguridad periódicas y se envíen con capacidades de detección de incidentes.
La lista completa de estándares aún no está finalizada. La Casa Blanca dijo que el NIST comenzará a trabajar de inmediato en la definición de estándares de seguridad cibernética para enrutadores de nivel de consumidor de «mayor riesgo», dispositivos a los que los atacantes se dirigen con frecuencia. para robar contraseñas y crear botnets que pueden usarse para lanzar ataques de denegación de servicio distribuido (DDoS). Este trabajo se completará a fines de 2023, con el objetivo de que la iniciativa cubra estos dispositivos cuando se lance en 2024.
En una rueda de prensa, la Casa Blanca confirmó que Cyber Trust Mark también incluirá un código QR que se vinculará a un registro nacional de dispositivos certificados y proporcionará información de seguridad actualizada, como políticas de actualización de software, estándares de cifrado de datos y reparación de vulnerabilidades.
“Sabíamos que no queríamos crear una etiqueta que dijera que este producto había sido certificado y asegurado y ya permanece seguro para siempre”, dijo un alto funcionario de la administración. “El código QR le brindará información actualizada sobre el cumplimiento continuo de los estándares de seguridad cibernética”.
También se alentará a los minoristas de EE.UU. a priorizar los productos etiquetados cuando los coloquen en las tiendas y online, dijo la Casa Blanca, y varios ya se han registrado en la iniciativa, incluidos Amazon y Best Buy. Otro Las firmas tecnológicas de renombre que ya aceptaron la iniciativa de etiquetado voluntario incluyen a Cisco, Google, LG, Qualcomm y Samsung.
Si bien la iniciativa se centrará inicialmente en dispositivos de consumo de alto riesgo, el Departamento de Energía de EE.UU. anunció el martes que está trabajando con socios de la industria para desarrollar requisitos de etiquetado de ciberseguridad para medidores inteligentes y almacenadores de energía.
