La administración de Biden dijo que lanzará un programa de etiquetado de seguridad cibernética para dispositivos de Internet de las cosas de consumo a partir de 2023 en un esfuerzo por proteger a los estadounidenses de “riesgos significativos de seguridad nacional”.
No es ningún secreto que los dispositivos IoT generalmente tienen posturas de seguridad débiles. Las contraseñas predeterminadas débiles han permitido a los operadores de botnets secuestrar enrutadores inseguros para golpear a las víctimas con inundaciones de tráfico de Internet, desconectando sitios web y redes completos. Otros piratas informáticos maliciosos apuntan a los dispositivos IoT como una forma de ingresar a la red de la víctima, lo que les permite lanzar ataques o plantar malware desde adentro.
A medida que los consumidores estadounidenses continúan llenando sus hogares con más de estos dispositivos potencialmente inseguros, desde enrutadores y parlantes inteligentes hasta cerraduras de puertas y cámaras de seguridad conectadas a Internet, el gobierno de los EE. UU. quiere ayudar a educarlos sobre los riesgos de seguridad.
Inspirada en Energy Star, un programa de etiquetado operado por la Agencia de Protección Ambiental y el Departamento de Energía para promover la eficiencia energética, la Casa Blanca planea implementar un programa similar de etiquetado de IoT para los dispositivos de «mayor riesgo» a partir del próximo año, dijo un alto cargo. dijo el miércoles un funcionario de la administración de Biden luego de una reunión del Consejo de Seguridad Nacional con asociaciones de productos de consumo y fabricantes de dispositivos.
Los asistentes a la reunión incluyeron a la funcionaria cibernética de la Casa Blanca, Anne Neuberger, la presidenta de la FCC, Jessica Rosenworcel, el director cibernético nacional, Chris Inglis, y el senador Angus King, junto con líderes de Google, Amazon, Samsung, Sony y otros.
La iniciativa, descrita por los funcionarios de la Casa Blanca como «Energy Star para la cibernética», ayudará a los estadounidenses a reconocer si los dispositivos cumplen con un conjunto de estándares básicos de ciberseguridad elaborados por el Instituto Nacional de Estándares y Tecnología (NIST) y la Comisión Federal de Comercio (FTC). .
Aunque aún no se han confirmado los detalles del programa, la administración dijo que «mantendrá las cosas simples». Las etiquetas, que serán «reconocidas mundialmente» y debutarán en dispositivos como enrutadores y cámaras domésticas, tendrán la forma de un «código de barras» que los usuarios pueden escanear con su teléfono inteligente en lugar de una etiqueta de papel estática, dijo el funcionario de la administración.
El código de barras escaneado se vinculará a información basada en estándares, como políticas de actualización de software, cifrado de datos y reparación de vulnerabilidades.
El anuncio se produce después de que la Casa Blanca ordenara el año pasado al NIST y a la FTC que exploraran dos programas piloto de etiquetado sobre capacidades de ciberseguridad para dispositivos IoT. También se produce después de que el gobierno del Reino Unido presentara el año pasado un proyecto de ley de seguridad de IoT en el Parlamento, que requiere que los fabricantes, importadores y distribuidores de dispositivos cumplan con ciertos estándares de ciberseguridad.