Wie könnte ein Cyber ​​Trust-Siegel Bedrohungen der Cybersicherheit abwehren? TechHQ

Aug 12, 2023

Tony Fyler

@more__hybrid

[email protected]

Das neue Cyber ​​Trust-Siegel soll Bedrohungen der IoT-Cybersicherheit abschwächen.

• IoT-Geräte sind äußerst anfällig für Cybersicherheitsbedrohungen. • Die FCC hat ein Cyber ​​Trust-Siegel angekündigt, um Standards für die Cyber-Resilienz des IoT festzulegen. • Viele führende Akteure der Branche haben sich bereits angemeldet.

Sicherheits-, Effizienz- und Prozesszertifizierungszeichen sind nichts Neues – vom Energy Star auf Ihrer Waschmaschine oder Ihrem Kühlschrank über das USDA-Bio-Siegel auf den Karotten Ihrer Familie bis hin zur R-Bewertung für Filme, die Sie Ihren Kindern nicht zeigen, sie sind es eine verständliche Realität: Marken, die beweisen, dass das X-Produkt die Y-Standards erfüllt hat, bevor es an die Öffentlichkeit verkauft wird. Aber es gibt jetzt ein neues Kind in diesem alten Block, und es ist eines, das darauf abzielt, die Cybersicherheitsbedrohungen zu bekämpfen, die Verbraucher in ihren Häusern und im Leben angreifen.

Die Biden-Regierung kündigte unter der Schirmherrschaft der Federal Communications Commission (FCC) die Einführung des „Cyber ​​Trust“-Zeichens im Juli 2023 an, das voraussichtlich im Jahr 2024 in Kraft treten wird. Unternehmen können sich freiwillig dafür anmelden Unter der Voraussetzung, dass ihre Produkte die Tests bestehen und sich gegen Cyber-Sicherheitsbedrohungen behaupten, können sie das Siegel auf diesen Produkten anbringen, um zu zeigen, dass ihre Produkte nicht nur widerstandsfähig sind, sondern dass sich das Unternehmen um den Cyber-Angriff kümmert -Belastbarkeit der Produkte, die sie an ihre Kunden verkaufen.

Zertifizierungszeichen haben die Angewohnheit, sich de facto zu „Regeln“ zu entwickeln, wobei die gesamte Einkaufskette die individuelle Bewertung von Risiken und Bewertungen aufgibt – wenn ein Produkt das „Zeichen“ trägt, wird es in der Regel zumindest als gut genug beurteilt , für eine sorgenfreie Nutzung.

Im Fall des Cyber ​​Trust-Siegels gibt es jedoch im Vergleich zu den meisten früheren Zertifizierungszeichen einen interessanten Zusatz. Da sich Cybersicherheitsbedrohungen und Cybersicherheitsresilienz im Laufe der Zeit ändern können und sich so entwickeln können, dass Geräte angegriffen werden, die zuvor sicher waren, oder frühere Patches überwältigt werden, besteht das Cyber ​​Trust-Siegel aus zwei Teilen.

Erstens wird es, wie bei der Energy Star- oder USDA-Bio-Zertifizierung, ein Zeichen auf den Produkten geben, mit dem eine Zertifizierungsbehörde (in diesem Fall die FCC) davon überzeugt ist, dass das Produkt beim Verkauf die erforderlichen Standards erfüllt und erreicht hat die erforderliche Cyber-Resilienz, um sich für die Zertifizierung zu qualifizieren.

Da sich der IoT- und IIoT-Markt – und die Art der Cybersicherheitsbedrohungen – jedoch deutlich von beispielsweise dem Markt für Hersteller von Energy Star-Produkten unterscheidet, wird es einen zweiten Teil des Cyber ​​Trust-Siegels geben. Der zweite Teil wird ein scannbarer QR-Code sein, mit dem Benutzer zu einem späteren Zeitpunkt überprüfen können, ob ihr Produkt noch Cyber-resistent ist, und Benutzer möglicherweise dazu auffordern, die neuesten verfügbaren Sicherheitspatches herunterzuladen.

Während das Cyber-Vertrauenszeichen selbst höchstwahrscheinlich eine Reihe von Informationen zur Cybersicherheits-Bedrohungsresistenz für das jeweilige Produkt, an dem es angebracht ist, enthält, ermöglicht der QR-Code Käufern den Zugriff auf deutlich mehr Informationen, beispielsweise welche Art von Daten das Gerät erfasst , wo und wie sie gespeichert werden und sogar die Richtlinien des Herstellers zur Weitergabe gesammelter Daten. Dies könnte dazu führen, dass im Laufe der Zeit eine relative Meritokratie der Datenpraxis auf den IoT- und IIoT-Märkten entsteht.

IOT

Erstens kann heutzutage fast alles ein vernetztes Gerät sein – von Ihrer Zahnbürste bis zu Ihrer Waschmaschine, Ihrem Kühlschrank bis zu Ihrem Fleischthermometer, Ihrem Smartphone über Ihren Medikamentenmonitor bis hin zu Ihrem „Share Control“-Analplug.

Ein Heimnetzwerk kann viele Schwachstellen aufweisen.

Alles, was ein verbundenes Gerät in Ihrem Heimnetzwerk ist, kann ein Einstiegspunkt für potenzielle Hacker sein, die diese Schwachstelle im System nutzen können, um sich seitlich zu bewegen und die Kontrolle über andere Teile des Systems zu übernehmen, wie zum Beispiel Ihren datenreichen Laptop .

Es kann einige Zeit dauern, bis solche Cybersicherheitsbedrohungen in einem Heimnetzwerk verschwinden, da das Cyber ​​Trust-Siegel zu einem immer wichtigeren Teil der täglichen Realität wird. Letztendlich kann es jedoch nur sein, einen Industriestandard für Cybersicherheitsbedrohungen und die Widerstandsfähigkeit intelligenter Geräte zu haben eine positive Entwicklung.

Aber nicht zuletzt könnte die Kennzeichnung von Geräten mit dem Cyber ​​Trust-Siegel durchaus dazu beitragen, die breite Öffentlichkeit über das Ausmaß und die Art der Cybersicherheitsbedrohungen aufzuklären, denen sie ausgesetzt waren, und die durch die allgegenwärtige Welt der vernetzten Geräte, in der sie leben, anfällig sein könnten .

Die Maschinen werden nicht aufstehen und uns töten – aber sie könnten durchaus anfällig für Hackerangriffe durch Leute sein, die uns auslaugen wollen.

Während das Cyber ​​Trust-Siegel in seiner aktuellen Form nur für vernetzte Haushaltsgeräte gelten soll (mit einer bereits bestehenden Option zur Erweiterung auf Fitness-Tracker, die üblicherweise mit mehreren Netzwerken verbunden sind und nicht nur mit dem heimischen Netzwerk), könnte die Idee durchaus zutreffen zumindest theoretisch im Laufe der Zeit auf IIoT-Geräte in kommerziellen Lieferketten ausgeweitet werden.

Jedes Lagerhaus, jedes Bürogebäude, jeder Arbeitsplatz in der entwickelten Welt ist garantiert mit IIoT-Geräten gefüllt, und genau wie die ungesicherte Zahnbürste in einem häuslichen Umfeld könnte jedes einzelne davon eine Schwachstelle in der Sicherheit eines Ganzen darstellen Netzwerk.

Die Idee, dass ganze Lieferketten und ganze Branchen plötzlich nur noch die Möglichkeit haben, sich nur noch für IIoT-Geräte mit Cyber ​​Trust-Kennzeichnung zu entscheiden, wird wahrscheinlich einen ähnlichen Tugendkreis schaffen, da Unternehmen nicht nur danach streben, ihre eigenen Systeme zu schützen, sondern auch die Fähigkeit zu erlangen, dies anderen Akteuren zu zeigen in ihrer Lieferkette, dass sie Bedrohungen der Cybersicherheit ernst nehmen.

Geht man davon aus, dass sich das Cyber ​​Trust-Siegel als wirksam erweist, wenn es darum geht, die Anzahl und/oder Wirksamkeit von Cybersicherheitsbedrohungen in der häuslichen Welt vernetzter Geräte zu reduzieren, gibt es außer der reinen logistischen Herausforderung des Umzugs keinen Grund, warum nicht irgendwann eine kommerzielle Version eingeführt werden sollte.

Einige der größten Akteure der vernetzten Gerätebranche haben sich bereits freiwillig der Cyber ​​Trust-Markeninitiative angeschlossen, darunter Google, Samsung, Logitech, Amazon, Best Buy und die Connectivity Standards Alliance.

Es ist neu und wird wahrscheinlich funktionieren – aber wird es den Markt einengen?

Tatsächlich ist dies der einzige Punkt, der das Cyber ​​Trust-Siegel potenziell umstritten macht. Es lässt sich zwar argumentieren, dass die Einführung eines Standards zur Bekämpfung von Cybersicherheitsbedrohungen in IoT-Geräten die Branche und diejenigen, die ihre Produkte verwenden, nur sicherer und besser machen kann, es lässt sich aber auch argumentieren, dass eine solche Marke den Markt tendenziell konzentrieren wird relatives Monopol, da nur die produktiveren Akteure sich die Tests sowie Hardware- und Software-Upgrades leisten können, um potenzielle jährliche Rezertifizierungsanforderungen zu erfüllen.

Die enorme Zahl von IoT- und IIoT-Geräten auf der Welt (ungefähr 15,4 Milliarden im Jahr 2023, etwas mehr als das Doppelte der Anzahl der Menschen) bedeutet, dass wesentliche Veränderungen aufgrund der Entwicklung des Cyber ​​Trust-Siegels wahrscheinlich nur langsam vonstatten gehen werden.

Aber als Schritt in eine bewusstere Richtung zum Schutz von Einzelpersonen und Haushalten – und letztendlich möglicherweise ganzer Lieferketten und Industrien vor Bedrohungen der Cybersicherheit – muss es wahrscheinlich begrüßt werden, ob Monopolbedenken hin oder her.

Tony Fyler

@more__hybrid

[email protected]

4. August 2023

4. August 2023

4. August 2023