Normy bezpieczeństwa cybernetycznego w USA przyznawane będą już już w kwietniu

Ponad 600 firm, które dołączyły do sojuszu ioXt, aby pomóc mu w budowaniu zaufania do produktów Internetu Rzeczy (IoT), będzie jednymi z pierwszych otrzymujących krajowy znak bezpieczeństwa cybernetycznego. Ten jest właśnie opracowywany przez NIST dla konsumenckich produktów Internetu Rzeczy i oprogramowania. Pierwsze urządzenia mają być certyfikowane już w kwietniu, jak wskazuje Grace Burkard (na zdjęciu po lewej), dyrektorka operacyjna sojuszu, w wywiadzie udzielonym EE Times.

Od maja 2021 roku NIST (amerykański Narodowy Instytut Standardów i Technologii), pracuje nad stworzeniem zestawu certyfikatów bezpieczeństwa dla sprzętów IoT. Działania prowadzone są w ramach rozporządzenia wykonawczego administracji Bidena nr 14028, w sprawie poprawy bezpieczeństwa cybernetycznego kraju. Mają skupiać się nad powyższym założeniem względem połączonych produktów wytwarzanych w Stanach Zjednoczonych. Zlecenie to koncentruje się na zapobieganiu, wykrywaniu, ocenie i naprawianiu incydentów cybernetycznych. Zespół z NIST badał sytuację przez około 18 miesięcy i w lutym ubiegłego roku wydał swoje zalecenia. Następnie Biały Dom zorganizował spotkanie z liderami sektora prywatnego, takimi jak ioXt i innymi, a także producentami i pracownikami Kongresu. „Zbierają się, aby powiedzieć: >OK, potrzebujemy jednej normy, pod którą każdy może się podpiąć, bezpośrednio wspieranej przez rząd USA<” — objaśnia Burkard. NIST przygotował w międzyczasie kilka sesji gromadzenia informacji i opinii na temat najnowszych zaleceń na tegorocznych targach Consumer Electronics Show (CES) w Las Vegas. „Już trwają wysiłki w celu ustanowienia narodowej instytucji, której celem jest wydawanie certyfikatów zgodnie z ogłoszonymi w kwietniu wskazaniami NIST” — dodała.

Zrzeszenie ioXt, z siedzibą w Kalifornii, założone zostało w 2019 roku. Organizacja ta intensywnie koncentruje się na zwiększaniu liczby członków wśród producentów (w tym OEM), laboratoriów, sojuszy branżowych i organizacji rządowych. „Są one bardzo ważne dla naszych grup roboczych, które tworzą nasze profile” — powiedziała Burkard. „Członkowie mogą również uzyskać certyfikat, więc ich udział jest istotny, ponieważ to oni jako pierwsi odczują wpływ budowania nowych standardów. Naszym celem jest uczynienie ich jak najbardziej świadomymi, aby mogli przygotować się na to, co ma nadejść”. Grupa zajęła się ustalaniem podstawowych wymagań w celu organizacji bezpieczniejszego świata IoT przy użyciu profili branżowych utworzonych z pomocą analityków. „W ten sposób wiemy, że profile definiują najlepsi” — mówi. „Do tej pory koncentrowaliśmy się na urządzeniach IoT w inteligentnym domu i budynku, komórkowym IoT i aplikacjach mobilnych”. NIST przyszykowała kilka profili, w tym dla sieciowych kontrolerów oświetlenia, Androida, inteligentnych głośników, kamer domowych i VPN. W tym roku zostanie również udostępniona opcja do budowy kontrolerów sieciowych. Następnie na horyzoncie sojuszu są inteligentne miasta i opieka zdrowotna, a także prywatność w Internecie, dodała Burkard. Wskazała również, że weźmie pod uwagę globalne regulacje, takie jak ogólne rozporządzenie Unii Europejskiej o ochronie danych osobowych (RODO), a także centralne rozporządzenie władz Singapuru: „Standardy Agencji Bezpieczeństwa” (CSA).

Burkard przyznała, że sieć energetyczna zauważalnie opóźnia wysiłki na rzecz cyberbezpieczeństwa: „W niektórych branżach świeże standardy będą bardzo powoli wdrażane”. Służba zdrowia prawdopodobnie również nie wyprzedza sieci energetycznej pod względem gotowości przemysłu na nowe normy i regulacje. „Jest dużo biurokracji, więc jest to większe wyzwanie, jeśli chodzi o opiekę medyczną i IoT” — zakomunikowała. „Wszyscy chcą, żeby tak się stało. Jednak trudno jest przejść przez tę biurokrację w szybkim tempie”.

Kiedy NIST przedstawi krajowy poziom cyberbezpieczeństwa, dwa cele będą oczywiste, Burkard oznajmiła, że: „Jednym z nich jest zwiększenie świadomości opinii publicznej względem przejrzystości produktów i ich poziomów bezpieczeństwa. Innym jest możliwość uczestniczenia w dyskusjach międzynarodowych. W Stanach Zjednoczonych mamy kilka organizacji normalizacyjnych, więc głównym założeniem jest przemawianie spójnym głosem pod jedną krajową marką w dysputach dotyczących międzynarodowych problemów fragmentacji standardów. [...] To pomoże USA komunikować się z innymi, globalnymi rządami, takimi jak te w Europie, a więc powiedzieć: >Hej, zobacz na nasze standardy. Spójrz na swoje. Jak możemy zacząć je harmonizować?<”. To umożliwi ujednorodnienie zasad względem całego świata i próbę zmniejszenia fragmentacji rynku, jeśli chodzi o normalizację cyberbezpieczeństwa w sektorze IoT.

Źródło: https://www.eetimes.com/cybersecurity-label-for-u-s-coming-as-early-as-april/