US Cyber Trust Mark adlı yeni bir siber güvenlik sertifikası ve etiketleme programı, ABD’li tüketicilerin bilgisayar korsanlarının saldırılarına karşı daha güvenli ve dirençli bağlı cihazları seçmelerine yardımcı olmak için şekilleniyor.
Federal İletişim Komisyonu’nun bir önerisi olan programın, akıllı cihaz satıcılarının gönüllü olarak taahhütte bulunmasıyla gelecek yıl piyasaya sürülmesi bekleniyor.
ABD’deki büyük satıcılar ve üreticiler katılımlarını çoktan duyurdular. Bunların arasında Amazon, Google, Best Buy , LG Electronics USA, Logitech ve Samsung Electronics bulunuyor.
IoT için NIST düzeyinde güvenlik
ABD Siber Güven İşareti programı, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) siber güvenlik kriterlerini karşılayan, benzersiz ve güçlü varsayılan parolaların kullanımını, veri korumayı, yazılım güncellemelerini ve olay algılama yeteneklerini içeren akıllı ürünleri tanımayı amaçlamaktadır.
Katılımcı üreticiler, ürünlerini NIST onaylı bir dizi güvenlik özelliğini işaret eden “belirgin bir kalkan logosu” ile etiketleyecekti.
Biden-Harris İdaresi’nden yapılan duyuruda, etiketlemenin buzdolapları, mikrodalga fırınlar, televizyonlar, iklim kontrol sistemleri ve fitness izleyicilerine kadar tüketiciler için ortak akıllı cihazlara yönelik olduğu belirtildi.
“Kablosuz iletişim cihazlarını düzenlemek için kendi yetkileri altında hareket eden FCC’nin, 2024’te faaliyete geçmesi beklenen, önerilen gönüllü siber güvenlik etiketleme programını uygulamaya koyma konusunda kamuoyu görüşü alması bekleniyor” – Beyaz Saray
Program başlatılana kadar, Biden-Harris Yönetimi ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), FCC’nin tüketicileri satın almaya karar verdikleri ürünlerde Siber Güven Markasını aramaları konusunda eğitme çabalarını destekleyecektir.
Şeffaflığı artırmak ve rekabeti teşvik etmek için, sertifikalı cihazlar, tüketicilerin birden fazla üründe bulunan güvenlik bilgilerini karşılaştırmak için bir QR kodu aracılığıyla başvurabilecekleri ulusal bir kayıt defterinde listelenecektir.
“Diğer düzenleyiciler ve ABD Adalet Bakanlığı ile birlikte çalışan Komisyon, programa olan güveni ve güveni sürdürmek için gözetim ve uygulama güvenceleri oluşturmayı planlıyor.”
Bir diğer önemli adım, NIST’in yıl sonuna kadar, yerel ağda bir saldırgana hizmet edebilecek diğer cihazlara açılan kapı oldukları için siber suçlular için tipik hedefler olan tüketici sınıfı yönlendiriciler için bir dizi güvenlik gereksinimi tanımlamasıdır.
Program aynı zamanda geleceğin temiz, akıllı şebekesinin temelini oluşturan akıllı sayaçları ve güç çeviricilerini de kapsamayı hedefliyor. Ancak, bu cihazlar için uygun siber güvenlik etiketlemesi geliştirmek için araştırma yapılması gerekiyor.
IoT cihazlarında temel güvenliği tanımlayan çabalar, siber güvenlik uzmanlarının ilk önerileri arasında yer alan ve İnternet Mühendisliği Görev Gücü (IETF) tarafından yayınlanan standart bir ürün yazılımı güncelleme mekanizması için öneriler ve beş yıldan uzun süredir var.
Benzer bir girişim 2017’de ABD Ticaret Departmanı tarafından Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA) aracılığıyla yapıldı ve IoT üreticilerinin müşterilere bir ürünün güncelleme seçenekleri hakkında bilgi vermesi için rehberlik geliştirmeyi amaçladı.
Aynı yıl, Avrupa Birliği Ağ ve Bilgi Güvenliği Ajansı (ENISA), IoT için Temel güvenlik önerileri raporunu yayınladı. Net bir özet burada mevcuttur.
2020’de, cihaz üreticilerinin ürünlerine “makul güvenlik özellikleri” eklemelerini gerektiren ancak net bir standart sağlayamayan California IoT Yasası yürürlüğe girdi.