Federal İletişim Komisyonu
2024’ün sonuna kadar Nesnelerin İnterneti (IoT) cihazlarına gönüllü olarak gelecek olan yeni ABD Siber Güven İşaretinin amacı, insanları bir termostat, sprinkler denetleyicisi veya bebek telsizi satın almadan önce derinlemesine araştırma yapmaktan kurtarmaktır.
İçinde belirli bir renk olan mikroçip bulunan bir kalkan görürseniz, onu diğer kalkanlarla karşılaştırarak bir şeyler anlarsınız. Bu kalkanın tam olarak ne anlama geleceğine henüz karar verilmedi. İlgili Ulusal Standartlar ve Teknoloji Enstitüsü raporu, bunun şifreli iletim ve depolama, yazılım güncellemeleri ve bir alıcının parolalar ve veri saklama üzerinde ne kadar kontrole sahip olduğunu içereceğini öne sürüyor. Ancak inisiyatifin Ekim 2022 duyurusundan bu yana gerçekten yeni olan tek şey, etiketin görünümü, biraz daha sağlam bir zaman çizelgesi ve ardından yapılacak daha fazla girdi ve tartışma toplantısı.
Şu anda İşaret, Federal İletişim Komisyonunda Önerilen Kural Koyma Bildirimi (NPRM) olarak bulunmaktadır. FCC, etiketlenebilecek cihazların kapsamı ve programı hangi kuruluşun denetlemesi, standartları doğrulaması ve tüketici eğitimini ele alması gerektiği hakkında paydaşlardan bilgi almak istiyor.
Beyaz Saray’a göre, tüketici sınıfı yönlendiriciler öncelikli hedef ve 2023 yılı sonuna kadar değerlendirmelerinin tamamlanması planlanıyor. Enerji Bakanlığı, akıllı sayaçlar ve güç dönüştürücüler için etiketleme geliştirmeyi planlıyor.
Otomat vektörleri
Bir standardı uygulama hareketi yavaş ve belirsizdir, ancak IoT cihazları için sorun gerçektir. FCC’nin açıklaması, 2021’in ilk altı ayında IoT cihazlarına yönelik 1,5 milyardan fazla saldırının “bir üçüncü taraf tahmininden” (görünüşe göre Kaspersky) bahsediyor.
Bağlı cihazlar çok yaygın ve her yerde hazır olduğunda, gözden kaçırmaları kolay hale gelir. FCC Başkanı Jessica Rosenworcel, Salı günü yaptığı açıklamalarda ilk olarak siber suç yazarı Misha Glenny tarafından anlatılan bir vakaya atıfta bulundu. Hesabında, havalesinde ve diğer siber güvenliğinde büyük ölçüde güçlendirilmiş bir bankaya sonunda sızıldı. Vektör bir sunucu, bilgisayar ve hatta yanılabilir bir insan değildi. Kendi IP adresi verilen ve yaygın tehditlere karşı güncellenmeyen bir satış makinesiydi.
Programın duyurusunda Rosenworcel, standardı uygulamanın “küçük bir görev olmadığını” söyledi. “Çünkü akıllı cihazların geleceği büyük. Ve satış makinesi olan her tüketicinin, işletmenin ve her bankanın kullandıkları bağlı cihazlar hakkında akıllı seçimler yapabilmesini sağlama fırsatımız daha da büyük. O halde başlayalım.”
Neler “güvenli” sayılır?
Bir ev güvenlik kamerasındaki “Aqua” kalkanının siyah, yeşil, kırmızı veya siyah üzerine beyaz bir kalkana karşı ne anlama geldiği henüz net değil. Her kalkan, bir müşterinin o cihazın belirli kalkan gölgesini nasıl kazandığının ayrıntılarını görebileceği bir QR koduyla birlikte gelir.
Karşılaştırmalı alışveriş deneyimini tanımlayan birçok etiket geldi: UL, EnergyStar, JD Power ve benzerleri. Ancak IoT cihazları, bir kutuda (veya e-ticaret ürün sayfasında) belirgin şekilde gölgeli bir kalkan etiketi için daha karmaşık bir senaryo sunar. Bazıları savunucuların kendileri tarafından dile getirilen bu komplikasyonlardan sadece birkaçı:
- Yönlendiriciler gibi kendi içlerinde birbirine bağlı birden fazla IoT cihazı içeren cihazlar
- Bir IoT cihazının diğer parçaları nasıl derecelendirilir: bulut sunucusu, akıllı telefon uygulamaları, onu oluşturmak için kullanılan açık kaynaklı yazılım
- “Kutunun” artık yansıtmayabileceği tamamen yeni özellikler ve güvenlik değişiklikleriyle güncellenen ürünler
- Bir zamanlar ciddi şekilde maruz kalmaya karşı güvenli olduğu düşünülen cihazları açığa çıkaran yeni güvenlik açıkları
- Akıllı ekranlı veya iklim sensörlü bir buzdolabına karşı kameralı veya sensörlü cihazlar için neyin güvenli sayıldığı konusunda farklı standartlar.
- Veri gizliliği “güvenlik” kapsamında nasıl sayılır veya sayılmaz?
- Bir şirketin belirtilen güncelleme taahhüdünün bir derecelendirmeye etki edip etmediği
FCC ve Beyaz Saray’ın danıştığı kilit gruplardan biri olan Carnegie Mellon Üniversitesi’nden CyLab, hepsini bir telefon tarayıcısına yüklemek yerine ürün kutuları ve veri toplamayla ilgili sayfalar hakkında daha fazla bilgi için baskı yapıyor. “Son araştırmamız, tüketicilerin bu bilgilere bir QR kodu aracılığıyla erişmenin yardımcı olabileceğini, ancak önemli güvenlik ve gizlilik bilgilerinin ürün ambalajında kolayca bulunmasını tercih ettiğini gösteriyor.”
Amazon, Best Buy, LG, Samsung, Google ve diğer firmalar, Tüketici Teknolojisi Derneği endüstri grubunun yaptığı gibi girişime desteklerini ifade ettiler. The Washington Post’tan Geoffrey Fowler’ın da belirttiği gibi, Apple bariz bir şekilde yok. Tanınmış bir satıcı katılmayı reddederse, bir etiketin etkinliği hakkında başka bir soruyu gündeme getirir.
Federal İletişim Komisyonu tarafından listeleme resmi
