Kemarin, itu gedung Putih memperkenalkan program pelabelan keamanan siber untuk nirkabel Perangkat yang terhubung ke internetdimaksudkan untuk membantu orang Amerika membuat keputusan yang lebih tepat mengenai produk yang mereka beli dan keamanannya.
Ketika masyarakat Amerika terus menambahkan perangkat Internet of Things (IoT) ke jaringan rumah mereka – mulai dari monitor bayi hingga kamera keamanan – terdapat kekhawatiran yang semakin besar mengenai keamanan perangkat ini dan kerentanannya terhadap peretas. Tujuan dari label ini adalah untuk memandu konsumen menuju produk yang lebih aman serta mendorong vendor dalam praktik siber mereka.
Dikenal sebagai “US Cyber Trust Mark”, label ini sudah lama muncul, dan Komisi Komunikasi Federal mengumpulkan masukan selama 18 bulan terakhir. Dalam pemungutan suara bipartisan dan dengan suara bulat, FCC mengesahkan program tersebut dan mengatakan 11 vendor akan bertindak sebagai administrator label sementara UL Solutions akan bertindak sebagai administrator utama.
“Gedung Putih meluncurkan upaya bipartisan ini untuk mengedukasi konsumen Amerika dan memberi mereka cara mudah untuk menilai keamanan siber produk-produk tersebut, serta memberikan insentif kepada perusahaan-perusahaan untuk memproduksi lebih banyak perangkat dengan keamanan siber, seperti yang dilakukan label EnergyStar untuk efisiensi energi,” ungkapnya. Penjelasan singkat Gedung Putih membaca.
Hanya Niat Baik?
Meskipun sistem baru ini memiliki niat baik bagi konsumen dan vendor, terdapat kekhawatiran dan spekulasi mengenai seberapa efektif label keamanan siber ini nantinya.
FCC bermaksud untuk menggunakan Kode QR menautkan ke registri nasional perangkat bersertifikat dan informasi tentang produk ini, seperti cara mengubah kata sandi default, mengonfigurasi perangkat dengan aman, menentukan apakah pembaruan dan patch dilakukan secara otomatis dan cara mengaksesnya, serta berapa lama vendor akan mendukung keamanan perangkat .
“Mengizinkan konsumen memindai kode QR dan mendapatkan informasi dari registri IoT yang terdesentralisasi adalah ide yang bagus,” Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, menulis dalam pernyataan email. “Ada banyak hal yang disukai dari program ini, terutama fokus pada dasar-dasar keamanan siber IoT, seperti mengubah kata sandi default, patching, perlindungan data, dan tagihan material perangkat lunak/perangkat keras.”
Karena alasan-alasan tersebut, ia berpendapat bahwa program ini layak untuk didukung. Namun, dia punya beberapa keberatan.
“Masalahnya ada pada detailnya dan banyak dari persyaratan keamanan sebenarnya hanya sekedar rekomendasi, seperti keseluruhan program itu sendiri (yaitu vendor tidak perlu berpartisipasi), bersifat sukarela, dan hanya saran,” tulis Grimes. “Saya berharap banyak pertahanan keamanan siber dasar seperti pelanggan yang dipaksa mengubah kata sandi default dan patching otomatis diperlukan dalam program ini. Ini akan membuat program ini jauh lebih berharga.”
Salah satu alasan mengapa program ini bersifat sukarela adalah karena FCC percaya bahwa “keberhasilan program pelabelan keamanan siber akan bergantung pada kemauan, kemitraan yang erat, dan kolaborasi antara pemerintah federal, industri, dan pemangku kepentingan lainnya” dan catatan menunjukkan “pentingnya dukungan untuk pendekatan sukarela.”
Membuat Asumsi
Untuk menggunakan US Cyber Trust Mark, produsen yang memenuhi kriteria kelayakan harus menguji produknya di laboratorium pihak ketiga yang diakui dan terakreditasi FCC untuk memastikan bahwa persyaratan program telah dipenuhi. Setelah itu, mereka harus mengajukan permohonan ke Administrator Label Keamanan Siber dengan dokumen pendukung yang diperlukan.
Namun dari persyaratan yang tertulis, patching atas nama organisasi belum tentu dilakukan secara otomatis, yang menunjukkan bahwa meskipun sebuah organisasi mungkin memiliki stiker cyber yang disetujui, konsumen tetap bertanggung jawab untuk selalu mengikuti standar keamanan cyber.
“Jadi, mungkin ada beberapa vendor IoT yang benar-benar berusaha keras untuk membuat produk yang sangat aman yang hanya membutuhkan sedikit perhatian dari konsumen dan vendor IoT lainnya tidak menerapkan praktik keamanan siber yang tinggi dan menggunakan merek yang sama,” tulis Grimes. .
Meskipun tanda keamanan FCC mungkin menunjukkan bahwa perangkat dirancang dengan aman, Tanda Kepercayaan Siber AS tidak selalu memiliki arti yang sama. Hal ini menyebabkan konsumen melihat merek tersebut dan percaya bahwa mereka aman.
“Kita juga harus mempertimbangkan apakah tanda kepercayaan ini akan memberikan konsumen perasaan palsu bahwa mereka ‘tidak dapat diretas’ dan rasa puas diri yang salah,” Sean Tufts, mitra pengelola infrastruktur kritis dan teknologi operasional di Optiv, menulis dalam sebuah pernyataan melalui email. “Bahkan jika perangkat pintar memiliki fitur keamanan bawaan, pengguna tetap memiliki tanggung jawab pribadi untuk melakukan tindakan pencegahan ekstra — misalnya, mengubah kata sandi default dan memperbarui driver/perangkat lunak/firmware.”
_Aleksey_Funtap_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "SSH Keys: Kredensial paling kuat yang mungkin Anda abaikan")
