הפרויקט שאמור היה להציל את אבטחת ה-IoT בארה"ב – תקוע
Cyber Trust Mark, התווית שאמורה לסמן מוצרים בטוחים, נעצרה אחרי שהגוף המנהל נכנס לחקירה נגד החברה שנבחרה לפקח על הבדיקות
הבית הלבן. תמונה: Pixabay
התוכנית השאפתנית של ממשל ארה"ב להטמיע תווית סייבר פדרלית למכשירי IoT, מהלך שנועד לשפר את רמת האבטחה ולספק לצרכנים חותמת אמון נתקלת בעיכוב משמעותי, כך על פי דיווח של CybersecurityDive. ה-FCC, שהשיקה את Cyber Trust Mark בתקופת נשיא ארה"ב הקודם ג'ו ביידן, עצרה את התהליך לאחר שפתחה בחקירה נגד חברת הבדיקות UL Solutions, שנבחרה לנהל את התוכנית.
התוכנית נולדה כנקודת הסכמה נדירה בין המפלגה הדמוקרטית והרפבוליקנית: מיזם פדרלי שנועד להפחית סיכוני סייבר ולהעניק לצרכנים ביטחון ברכישת מכשירים חכמים. אולם כעת, כשהגוף המנהל שלה תחת חקירה והאמון של התעשייה נשחק, עתידה של תווית ה-IoT האמריקאית נמצא בסכנה ממשית.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בדומה לתווית Energy Star בתחום היעילות האנרגטית, תכנית Cyber Trust Mark נועדה לתת לצרכנים וארגונים יכולת לזהות באמצעות החותמת אילו מוצרים עומדים בסטנדרטים בסיסיים של אבטחת מידע. לצד התווית, מאגר ציבורי היה צפוי להציג אילו מכשירים עברו בדיקות אבטחה, מהן תוצאותיהן ולכמה זמן היצרנים מתחייבים לתמוך במוצר.
מטרת המהלך הייתה לחזק את "החוליה החלשה" באבטחת הסייבר – מכשירים חכמים כמו מצלמות, נתבים ומוצרי בית חכם. אלה שימשו לא פעם בסיס להקמת חוות בוטים ולהשקת מתקפות רחבות היקף.
החקירה נגד UL Solutions
ב-FCC החליטו לבחון מחדש את מעורבותה של UL Solutions, חברת בדיקות ותיקה מאילינוי, לאחר שהתברר כי היא מפעילה מעבדות בסין ומקיימת מיזם משותף עם חברה סינית בבעלות ממשלתית. יו"ר הוועדה הנוכחי, ברנדן קאר, הוביל את המהלך כחלק ממדיניות למנוע "מעבדות בעייתיות" מלהשפיע על פרויקטים פדרליים. המשמעות היא שהתוכנית מוקפאת אחרי שכבר הושקעו בה שנים של תכנון ותמיכה דו מפלגתית נדירה בקונגרס.
למרות התקוות הגדולות, העיכוב מערער את אמון היצרנים בתוכנית. חלקם אף שוקלים אם להמשיך בהיערכות להגשת מוצרים לאישור מחשש שהמהלך לא יצא לפועל. לפי דיווחים, גם יצרניות גדולות מדרום קוריאה, כמו LG וסמסונג, הביעו עניין להשתתף אך חוסר הוודאות עלול לצנן את ההתלהבות.
העיכוב בתוכנית מגיע דווקא בתקופה שבה בארה"ב מתפרסמים תקנים טכניים חדשים ל-IoT. בסוף השבוע, למשל, מכון התקנים האמריקאי (NIST) פרסם את SP 800-232 שמגדיר הצפנה קלת משקל למכשירי IoT דלי משאבים. כלומר, בזמן שהצד הטכני ממשיך להתקדם, החותמת הרגולטורית שאמורה לסמן לצרכנים מה בטוח לקנייה נשארת תקועה.
בפועל, גם לפני החקירה הדרך עוד הייתה ארוכה: תקני הבדיקה טרם עברו את שלב ההערות הציבוריות והאישורים הסופיים. החקירה הנוכחית מוסיפה מכשול משמעותי נוסף בזמן שהלחץ הציבורי והעסקי לשפר את אבטחת ה-IoT רק הולך וגובר.
ל-FCC עומדות כמה אפשרויות: לחייב את UL Solutions להימנע משימוש במעבדותיה בסין לצורך התוכנית, להביא את החברה לסיים את המיזם המשותף או – בצעד קיצוני יותר – לשלול את האישור ולהתחיל מחדש עם חברה אחרת. כך או כך, כל עיכוב נוסף פוגע במומנטום. בלי זרם יציב של יצרנים שיגישו מוצרים לאישור, Cyber Trust Mark עלולה לאבד את כוחה עוד לפני שהושקה בפועל.
