imágenes falsas
La Casa Blanca emitió un comunicado hoy que decía, esencialmente, que organizó una gran reunión el miércoles, con grandes nombres, y que en la primavera de 2023 surgirá algún tipo de etiqueta de seguridad para dispositivos inteligentes. Aquí hay mucho más sobre lo que sucedió. y lo que es probable que resulte de ello.
Una de las recomendaciones de alto nivel de la Comisión de Solarium del Ciberespacio de EE. UU., nombrada así por el impulso de la administración Eisenhower para repensar la estrategia de la Guerra Fría, en su informe de marzo de 2020 fue «establecer una autoridad nacional de certificación y etiquetado de ciberseguridad». Una «organización no gubernamental sin fines de lucro» se convertirá en una autoridad de etiquetado durante al menos cinco años, etiquetando productos según el consenso de los departamentos de Comercio y Seguridad Nacional y «expertos del gobierno federal, académicos, organizaciones no gubernamentales y el sector privado”.
Y eso es sobre quién apareció, según la Casa Blanca. Aparecieron Amazon, Comcast, Google, Intel, LG, Samsung, Sony y otras entidades privadas. También lo hicieron Connectivity Standards Alliance, el consorcio detrás de Matter, junto con el American National Standards Institute (ANSI), Consumer Reports y los grupos de cabildeo de Consumer Technology Association, CTIA y National Retail Federation. Agregue casi todas las agencias gubernamentales relacionadas con la seguridad y tendrá el panel recomendado por la Comisión Solarium.
Los detalles sobre la etiqueta en sí, tal como existe hasta ahora, y lo que calificaría o mediría, no estaban disponibles, pero ha habido pistas. CyberScoop citó a un funcionario de la Casa Blanca que afirmó que las calificaciones de los dispositivos podrían basarse en «remediación de vulnerabilidades, cantidad de información recopilada sobre los consumidores, si los datos están encriptados e interoperabilidad con otros productos».
En cuanto al aspecto que podría tener la etiqueta, hay al menos una plantilla. Investigadores de la Universidad Carnegie Mellon, una de las partes invitadas a la cumbre, ya habían creado una “etiqueta nutricional” de seguridad. La etiqueta, basada en aportes de más de 22 grupos, funcionó bien con los usuarios, afirma la universidad. Proporciona múltiples niveles de divulgación, basados en puntos débiles comunes de Internet de las cosas: contraseñas predeterminadas, actualizaciones de seguridad, funcionalidad cuando está fuera de línea y similares.
Incluso puede crear su propia etiqueta de seguridad voluntaria o simplemente patearla, como hice yo.
No sé por qué creamos este timbre inteligente, pero nos comprometemos a actualizarlo durante al menos tres años.
Kevin Purdy/Carnegie Mellon
La Casa Blanca dijo a los periodistas el jueves que su objetivo es «mantener las cosas simples», con un código que puede ser escaneado por teléfonos para mostrar información de seguridad y privacidad.
¿Qué productos obtendrán las etiquetas? La Casa Blanca dijo a los periodistas el miércoles que comenzaría con el etiquetado voluntario en la primavera de 2023, centrándose en “dispositivos conectados a Internet particularmente vulnerables, como enrutadores” y cámaras domésticas.
El comunicado de prensa de la Casa Blanca señala que quiere que este esfuerzo “genere una etiqueta reconocida mundialmente”. CyberScoop informó a principios de este mes que el grupo de trabajo estaba trabajando con la Unión Europea para «alinearse con los estándares». Es notable, entonces, que la Asesora Adjunta de Seguridad Nacional para Tecnología Cibernética y Emergente, Anne Neuberger, asistió a la Semana Cibernética Internacional de Singapur, donde describió que EE. UU. mira a Singapur como un «líder mundial en IoT», según lo informado por The Register.
El Esquema de Etiquetado de Seguridad Cibernética de Singapur asigna a casi todos los dispositivos de consumo conectados a Internet en ese país una calificación en una escala de cuatro estrellas. El sistema está reconocido por Finlandia y, a partir de hoy, por Alemania. En la conferencia de esta semana se anunció que el sistema podría llegar pronto a los dispositivos médicos. Es una apuesta decente que cualquiera que sea el sistema que diseñe EE. UU. querrá alcanzar alguna reciprocidad con el sistema de Singapur, aunque sea a un solo nivel.
El Esquema de Etiquetado de Ciberseguridad en Singapur, donde los dispositivos de consumo reciben una de cuatro puntuaciones según las prácticas de seguridad.
¿Hay un aspecto Materia en este etiquetado? Casi seguro, dada la presencia de la CSA en la cumbre de la Casa Blanca. La certificación de la materia ya requiere que los dispositivos usen el cifrado AES cuando se comunican a través de redes, puedan recibir actualizaciones por aire, estén firmados con código y tengan un enclave seguro para almacenar claves y certificados que se cotejarán con un libro mayor de blockchain. Es probable que algunos o todos esos aspectos (menos el bit de blockchain) se consideren en las etiquetas de seguridad.
Si bien es casi seguro que la primera versión de esta etiqueta de seguridad será un esfuerzo comprometido y políticamente aceptable, es probable que cualquier cosa sea mejor que el sistema que tenemos ahora: buscar individualmente marcas y fabricantes de casas inteligentes en línea con las frases finales «incumplimiento» y » vulnerabilidad.»