.
Comissão Federal de Comunicações
O objetivo do novo US Cyber Trust Mark, chegando voluntariamente aos dispositivos da Internet das Coisas (IoT) até o final de 2024, é evitar que as pessoas tenham que fazer pesquisas profundas antes de comprar um termostato, controlador de aspersão ou babá eletrônica.
Se você vir um escudo com um microchip de uma determinada cor, saberá algo comparando-o com outros escudos. O que exatamente esse escudo significará ainda não foi decidido. O relatório relacionado do Instituto Nacional de Padrões e Tecnologia sugere que envolverá transmissão e armazenamento criptografados, atualizações de software e quanto controle um comprador tem sobre senhas e retenção de dados. Mas a única coisa realmente nova desde o anúncio da iniciativa em outubro de 2022 é a aparência do rótulo, um cronograma um pouco mais firme e mais reuniões de entrada e discussão a seguir.
No momento, a marca existe como um aviso de proposta de regulamentação (NPRM) na Comissão Federal de Comunicações. A FCC quer ouvir as partes interessadas sobre o escopo dos dispositivos que podem ser rotulados e qual entidade deve supervisionar o programa, verificar os padrões e lidar com a educação do consumidor.
Os roteadores de consumo, de acordo com a Casa Branca, são o alvo prioritário, com trabalho previsto para ser concluído até o final de 2023. O Departamento de Energia pretende desenvolver rotulagem para medidores inteligentes e inversores de energia.
Vetores de máquina de venda automática
O movimento para implementar um padrão é lento e vago, mas o problema para dispositivos IoT é real. O comunicado da FCC cita “uma estimativa de terceiros” (aparentemente Kaspersky) de mais de 1,5 bilhão de ataques contra dispositivos IoT nos primeiros seis meses de 2021. E os dispositivos IoT estão em toda parte: a FCC aponta para a estimativa do grupo de pesquisa Transforma de mais de 25 bilhões de dispositivos IoT conectados operando em todo o mundo até 2030.
Quando os dispositivos conectados são tão comuns e onipresentes, eles se tornam fáceis de ignorar. A presidente da FCC, Jessica Rosenworcel, citou um caso em questão contado pela primeira vez pelo autor de crimes cibernéticos Misha Glenny em seus comentários na terça-feira. Um banco, fortemente fortificado em sua conta, transferência e outras ciberseguranças, acabou sendo invadido. O vetor não era um servidor, computador ou mesmo um ser humano falível. Era uma máquina de venda automática, que recebeu seu próprio endereço IP e não foi atualizada contra ameaças comuns.
A implementação do padrão “não é uma tarefa pequena”, disse Rosenworcel no anúncio do programa. “Porque o futuro dos dispositivos inteligentes é grande. E ainda maior é a oportunidade para garantirmos que todos os consumidores, empresas e todos os bancos com uma máquina de venda automática possam fazer escolhas inteligentes sobre os dispositivos conectados que usam. Então, vamos ao que interessa.”
O que conta como “seguro”?
O que significa um escudo “Aqua” em uma câmera de segurança doméstica versus um escudo preto, verde, vermelho ou branco sobre preto ainda não está claro. Cada escudo virá com um código QR que o acompanha, onde o cliente pode ver os detalhes de como aquele dispositivo ganhou seu tom de escudo específico.
Muitos rótulos passaram a definir a experiência de comparação de compras: UL, EnergyStar, JD Power e similares. Mas os dispositivos IoT apresentam um cenário mais complicado para um rótulo de escudo distintamente sombreado em uma caixa (ou página de produto de comércio eletrônico). Apenas algumas dessas complicações – algumas levantadas pelos próprios proponentes – são:
- Dispositivos que contêm vários dispositivos IoT interconectados dentro de si, como roteadores
- Como classificar as outras partes de um dispositivo IoT: seu servidor em nuvem, aplicativos para smartphone, software de código aberto usado para construí-lo
- Produtos atualizados com recursos totalmente novos e alterações de segurança, que a “caixa” pode não mais refletir
- Novas vulnerabilidades expondo dispositivos antes considerados seguros a uma exposição séria
- Padrões diferentes para o que é considerado seguro para dispositivos com câmeras ou sensores em comparação a uma geladeira com tela inteligente ou sensor climático.
- Como a privacidade de dados conta ou não para a “segurança”
- Se o compromisso declarado de uma empresa com as atualizações contribui para uma classificação
O CyLab da Carnegie Mellon University, um dos principais grupos consultados pela FCC e pela Casa Branca, está pressionando por mais informações nas caixas de produtos e páginas sobre coleta de dados, em vez de descarregar tudo em um scanner de telefone. “Nossa pesquisa mais recente mostra que, embora o acesso a essas informações por meio de um código QR possa ser útil, os consumidores preferem ter informações importantes sobre segurança e privacidade prontamente disponíveis na embalagem do produto”.
Amazon, Best Buy, LG, Samsung, Google e outras empresas expressaram apoio à iniciativa, assim como o grupo da indústria Consumer Technology Association. Conforme observado por Geoffrey Fowler, do The Washington Post, a Apple é uma ausência notável. Isso levanta ainda outra questão sobre a eficácia de um rótulo se um fornecedor notável se recusar a participar.
Listagem de imagem pela Federal Communications Commission
.
