Dün, Beyaz Saray kablosuz ağlar için bir siber güvenlik etiketleme programı başlattı İnternete bağlı cihazlarAmerikalıların satın aldıkları ürünler ve güvenlikleri konusunda daha bilinçli kararlar vermelerine yardımcı olmayı amaçlıyor.
Amerikalılar bebek monitörlerinden güvenlik kameralarına kadar her şeyi ev ağlarına Nesnelerin İnterneti (IoT) cihazlarını eklemeye devam ettikçe, bu cihazların güvenliği ve bilgisayar korsanlarına karşı savunmasızlıkları konusunda artan endişeler var. Bu etiketin amacı tüketicileri daha güvenli ürünlere yönlendirmek ve satıcıları siber uygulamalarında teşvik etmektir.
“ABD Siber Güven İşareti” olarak bilinen bu etiket, Federal İletişim Komisyonu’nun son 18 ayda görüş toplamasıyla uzun zamandır gündemdeydi. İki partili ve oybirliğiyle yapılan bir oylamada, FCC programa izin verdi ve 11 satıcının etiket yöneticisi olarak hareket edeceğini, UL Solutions’ın ise baş yönetici olarak görev yapacağını söyledi.
“Beyaz Saray, Amerikalı tüketicileri eğitmek ve onlara bu tür ürünlerin siber güvenliğini değerlendirmeleri için kolay bir yol sağlamak ve aynı zamanda EnergyStar etiketlerinin enerji verimliliği için yaptığı gibi şirketleri daha siber güvenli cihazlar üretmeye teşvik etmek için bu iki partili çabayı başlattı.” Beyaz Saray özeti Okumak.
Sadece İyi Niyet mi?
Bu yeni sistemin hem tüketiciler hem de satıcılar açısından iyi niyetleri olsa da bu siber güvenlik etiketinin ne kadar etkili olacağına dair endişeler ve spekülasyonlar mevcut.
FCC kullanmayı planlıyor QR kodları Sertifikalı cihazların ulusal kayıt defterine bağlantı verilmesi ve bu ürünler hakkında, varsayılan şifrenin nasıl değiştirileceği, cihazın güvenli bir şekilde yapılandırılacağı, güncellemelerin ve yamaların otomatik olup olmadığının belirleneceği, bunlara nasıl erişileceği ve satıcının cihaz güvenliğini ne kadar süreyle destekleyeceği gibi bilgiler .
KnowBe4’teki veri odaklı savunma savunucusu Roger Grimes, e-postayla gönderilen bir açıklamada, “Tüketicilerin bir QR kodunu taramasına ve merkezi olmayan bir IoT kayıt defterinden bilgi almasına izin vermek harika bir fikir” diye yazdı. “Bu programda beğenilecek pek çok şey var; özellikle de varsayılan parolaların değiştirilmesi, yama uygulama, veri koruma ve yazılım/donanım malzeme listesi gibi IoT siber güvenliğinin temellerine odaklanılması.”
Yalnızca bu nedenlerden dolayı bile bu programın desteklenmeye değer olduğuna inanıyor. Ancak bazı çekinceleri var.
Grimes, “Şeytan ayrıntıda gizlidir ve güvenlik gereksinimlerinin çoğu aslında yalnızca tavsiye niteliğindedir, örneğin tüm programın kendisi (yani satıcıların katılmasına gerek yoktur), gönüllüdür ve yalnızca öneridir,” diye yazdı Grimes. “Keşke müşterinin varsayılan şifreyi değiştirmeye zorlanması, otomatik yamalama gibi birçok temel siber güvenlik savunmasının programda bulunması gerekseydi. Programı çok daha değerli hale getirirdi.”
Programın gönüllü olmasının bir nedeni de FCC’nin “bir siber güvenlik etiketleme programının başarısının federal hükümet, endüstri ve diğer paydaşlar arasındaki istekli, yakın ortaklığa ve işbirliğine bağlı olacağına” inanmasıdır ve kayıtlar “önemli ölçüde” olduğunu göstermektedir. Gönüllü yaklaşımın desteklenmesi.”
Varsayımlarda Bulunmak
Uygunluk kriterlerini karşılayan üreticilerin, ABD Siber Güven İşaretini kullanabilmeleri için, program gerekliliklerinin karşılandığından emin olmak amacıyla ürünlerini FCC tarafından tanınan ve akredite bir üçüncü taraf laboratuvar tarafından test etmesi gerekir. Bundan sonra gerekli destekleyici belgelerle birlikte bir Siber Güvenlik Etiketi Yöneticisine başvuruda bulunmaları gerekir.
Ancak gereksinimlerin yazılma şekli, kuruluşlar adına yama uygulanması mutlaka otomatik değildir; bu, bir kuruluşun siber onay etiketi olsa da siber güvenlik standartlarını güncel tutmanın yine de tüketicinin sorumluluğunda olduğunu gösterir.
Grimes şöyle yazdı: “Yani, bazı IoT satıcılarının tüketicinin çok az dikkat etmesini gerektiren çok güvenli ürünler yapmak için gerçekten kendi yollarından çekilmesine ve diğer IoT satıcılarının aynı yüksek siber güvenlik uygulamalarını uygulamamasına ve aynı markayı kullanmasına neden olabilirsiniz.” .
FCC güvenlik işareti bir cihazın güvenli bir şekilde tasarlandığını gösterse de ABD Siber Güven İşareti mutlaka aynı anlama gelmeyebilir. Bu, tüketicilerin markayı görmesine ve güvende olduklarına inanmalarına yol açar.
Optiv’in kritik altyapı ve operasyonel teknolojiden sorumlu yönetici ortağı Sean Tufts, e-postayla gönderdiği bir açıklamada, “Bu güven işaretinin tüketicilere sahte bir ‘hacklenemez’ olma hissi ve sahte bir rahatlık hissi verip vermeyeceğini de düşünmeliyiz.” “Akıllı bir cihaz yerleşik güvenlik özelliklerine sahip olsa bile, kullanıcıların ekstra güvenlik önlemleri alarak (örneğin, varsayılan şifreleri değiştirerek ve sürücüleri/yazılım/ürün yazılımını güncelleyerek) kendi üzerlerine düşeni yapma konusunda kişisel sorumlulukları vardır.”
