Apa yang dapat diperoleh bank dari US Cyber ​​Trust Mark

Gedung Putih mengumumkan pada hari Rabu bahwa mereka meluncurkan program yang akan mensertifikasi dan memberi label pada produk pintar nirkabel seperti sistem keamanan rumah yang terhubung ke internet, kunci pintu pintar, televisi pintar dan lainnya ketika produk tersebut memenuhi standar keamanan siber tertentu.

Komisi Komunikasi Federal akan mengelola US Cyber ​​Trust Mark secara sukarela, berdasarkan standar yang ditetapkan oleh Institut Standar dan Teknologi Nasional. Gedung Putih menyamakan program tersebut dengan Energy Star; sama seperti program tersebut yang mensertifikasi efisiensi energi peralatan, produk, rumah, dan bangunan komersial, US Cyber ​​Trust akan mensertifikasi keamanan perangkat Internet of Things, atau IoT.

Skema pelabelan akan berlaku untuk perangkat konsumen yang biasanya tidak memainkan fungsi penting dalam rantai pasokan TI bank. Program ini secara eksplisit mengecualikan komputer pribadi, ponsel pintar, router, dan produk yang terutama digunakan untuk aplikasi perusahaan.

Namun, beberapa perangkat IoT konsumen dilengkapi dengan teknologi pembayarandan US Cyber ​​Trust Mark pada akhirnya dapat memperluas cakupannya melampaui perangkat IoT tingkat konsumen.

Pada halaman webnya Mengenai program ini, FCC mengatakan bahwa pihaknya “awalnya berfokus pada produk IoT konsumen nirkabel namun dapat berkembang seiring berjalannya waktu.” Ia menambahkan bahwa NIST sedang mengembangkan standar yang akan menentukan persyaratan keamanan siber untuk router internet tingkat konsumen, yang menunjukkan bahwa perangkat ini pada akhirnya memenuhi syarat untuk menerima Cyber ​​Trust Mark.

Dalam sebuah pernyataan tahun lalu ketika FCC mengusulkan Cyber ​​Trust Mark, Ketua Jessica Rosenworcel mengatakan tujuannya adalah untuk membantu konsumen membuat “keputusan pembelian yang lebih tepat mengenai privasi dan keamanan perangkat.”

“Jadi ketika Anda membutuhkan monitor bayi atau peralatan rumah tangga baru, Anda akan dapat mencari Cyber ​​Trust Mark dan berbelanja dengan lebih percaya diri,” kata Rosenworcel.

Kelompok advokasi konsumen Consumer Reports mendukung pengumuman tersebut pada hari Rabu. Justin Brookman, direktur kebijakan teknologi grup tersebut, mengatakan tanda kepercayaan akan memberi tahu konsumen “apakah suatu perusahaan berencana untuk mendukung produk tersebut dengan pembaruan perangkat lunak dan untuk berapa lama.”

“Meskipun bersifat sukarela, Consumer Reports berharap produsen akan menerapkan tanda ini, dan konsumen akan mencarinya ketika sudah tersedia,” kata Brookman.

Standar NIST yang mendasari program tanda kepercayaan menawarkan templat yang dapat digunakan bank untuk menilai keamanan perangkat IoT tingkat perusahaan seperti kamera atau sistem alarm. Standar ini menilai praktik patching keamanan untuk produk, kemampuan untuk mengidentifikasi produk dan komponennya, keamanan transmisi dan penyimpanan data perangkat, serta kontrol akses yang melindungi perangkat agar tidak dirusak oleh pihak yang tidak berwenang.

Misalnya, salah satu standar NIST yang dibuat untuk perangkat IoT berkaitan dengan kontrol akses antarmuka. Untuk memenuhi standar ini, perangkat harus memungkinkan hanya individu, layanan, dan komponen yang berwenang untuk mengakses antarmuka perangkat. Otorisasi ini harus dilakukan dengan, misalnya, otentikasi multifaktor, per dokumen standar NIST.

FCC terpilih UL Solutions untuk memimpin administrasi program tanda kepercayaan. UL menyediakan pengujian keamanan standar industri untuk kabel, kabel, sistem alarm, produk bangunan, dan berbagai produk lainnya.

Seperti halnya banyak perangkat elektronik konsumen di AS, beberapa perangkat IoT dirancang oleh perusahaan Tiongkok dan diproduksi di Tiongkok, sehingga menimbulkan kekhawatiran mengenai keandalan produk tersebut. Peretas yang didukung oleh pemerintah Tiongkok telah lama menjadi ancaman keamanan siber terhadap infrastruktur penting AS.

Pada akhir Desember, peretas disponsori negara Tiongkok melanggar Departemen Keuangandan sebelumnya, para pejabat AS ditangani dengan dampaknya dari pelanggaran besar sistem telekomunikasi AS yang terkait dengan Tiongkok.

Perusahaan-perusahaan yang terdaftar dalam daftar perusahaan militer Tiongkok milik Departemen Pertahanan tidak memenuhi syarat untuk mendapatkan tanda kepercayaan pada produk mereka, begitu pula produk-produk perusahaan telekomunikasi Tiongkok termasuk Huawei, karena produk-produk ini dianggap menimbulkan risiko yang tidak dapat diterima terhadap keamanan nasional AS.

Selama sebuah produsen tidak termasuk dalam salah satu daftar hitam keamanan nasional ini, perusahaan mana pun di luar AS dapat mengajukan permohonan untuk menerima US Cyber ​​Trust Mark pada produknya.