Hoa Kỳ chuẩn bị triển khai Cyber Trust Mark cho các thiết bị thông minh an toàn hơn

Một đề xuất từ Ủy ban Truyền thông Liên bang, chương trình dự kiến sẽ được triển khai vào năm tới do các nhà cung cấp thiết bị thông minh cam kết tự nguyện thực hiện.

Các nhà cung cấp và nhà sản xuất lớn ở Hoa Kỳ đã tuyên bố sẽ tham gia chương trình này. Trong số các đơn vị tham gia có Amazon, Google, Best Buy , LG Electronics U.S.A., Logitech và Samsung Electronics.

Bảo mật cấp NIST cho IoT

Chương trình Cyber Trust Mark của Hoa Kỳ nhằm công nhận các sản phẩm thông minh đáp ứng các tiêu chí an ninh mạng của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), bao gồm việc sử dụng mật khẩu mặc định mạnh và duy nhất, bảo vệ dữ liệu, cập nhật phần mềm và khả năng phát hiện sự cố.

Các nhà sản xuất khi tham gia mà nhận được chứng nhận của NIST về các tính năng bảo mật sẽ được nhận “logo hình cái khiên đặc trưng”.

Việc gán nhãn này dành cho các thiết bị thông minh phổ biến cho người tiêu dùng, từ tủ lạnh, lò vi sóng, tivi, hệ thống kiểm soát khí hậu, cho đến máy theo dõi thể dục, đọc thông báo từ Cơ quan quản lý Biden-Harris.

“Hoạt động theo thẩm quyền của mình để quản lý các thiết bị truyền thông không dây, FCC dự kiến sẽ lấy ý kiến của công chúng về việc triển khai chương trình gán nhãn an ninh mạng tự nguyện được đề xuất, dự kiến sẽ được triển khai vào năm 2024” - Nhà Trắng cho biết.

Cho đến khi chương trình ra mắt, Cơ quan quản lý Biden-Harris và Cơ quan an ninh cơ sở hạ tầng và an ninh mạng (CISA) sẽ cố gắng hỗ trợ FCC trong việc hướng dẫn người tiêu dùng tìm kiếm Dấu hiệu tin cậy mạng trên các sản phẩm mà họ quyết định mua.

Để cải thiện tính minh bạch và kích thích cạnh tranh, các thiết bị được chứng nhận sẽ được liệt kê trong cơ quan đăng ký quốc gia mà người tiêu dùng có thể tham khảo thông qua mã QR để so sánh thông tin bảo mật có trong nhiều sản phẩm.

“Làm việc với các cơ quan quản lý khác và Bộ Tư pháp Hoa Kỳ, Ủy ban có kế hoạch thiết lập các biện pháp bảo vệ giám sát và thực thi để duy trì niềm tin và sự tin tưởng vào chương trình.”

Một bước quan trọng khác đề cập đến việc NIST xác định vào cuối năm nay một tập hợp các yêu cầu bảo mật cho bộ định tuyến cấp độ người tiêu dùng, là mục tiêu điển hình của tội phạm mạng vì đây là cánh cửa dẫn đến các thiết bị khác trên mạng cục bộ có thể phục vụ kẻ tấn công.

Chương trình cũng hướng mục đích đến các đồng hồ thông minh và bộ biến tần điện là nền tảng của lưới điện thông minh, sạch sẽ trong tương lai. Tuy nhiên, cần nghiên cứu để phát triển việc gán nhãn an ninh mạng phù hợp cho các thiết bị này.

Những nỗ lực xác định bảo mật cơ bản trong các thiết bị IoT đã tồn tại hơn 5 năm, với các đề xuất và cơ chế cập nhật chương trình cơ sở tiêu chuẩn nằm trong số các đề xuất đầu tiên từ các chuyên gia an ninh mạng và được xuất bản bởi Lực lượng đặc nhiệm kỹ thuật Internet (IETF).

Một sáng kiến tương tự là vào năm 2017 từ Bộ Thương mại Hoa Kỳ, thông qua Cục Quản lý Thông tin và Viễn thông Quốc gia (NTIA), nhằm phát triển hướng dẫn cho các nhà sản xuất IoT để thông báo cho khách hàng về các tùy chọn cập nhật của sản phẩm.

Cùng năm đó, Cơ quan An ninh Mạng và Thông tin Liên minh Châu Âu (ENISA) đã công bố báo cáo Khuyến nghị bảo mật cơ bản cho IoT và đây là một bản tóm tắt rõ ràng.

Năm 2020, Đạo luật IoT của California có hiệu lực, yêu cầu các nhà sản xuất thiết bị đưa "các tính năng bảo mật hợp lý" vào sản phẩm của họ nhưng không đưa ra tiêu chuẩn rõ ràng.

Nguồn: bleepingcomputer.com