Программа «Знак кибердоверия США» (U.S. Cyber Trust Mark) разрабатывается в рамках выполнения Указа президента США «О повышении кибербезопасности страны» от 12 мая 2021 года, который предписывает Министерству торговли совместно с Национальным институтом стандартов и технологий (NIST) и другими заинтересованными ведомствами инициировать пилотные проекты по маркировке безопасных IoT-устройств, а также рассмотреть способы стимулирования производителей и разработчиков к участию в этих программах. Кроме того, NIST в координации с Федеральной торговой комиссией (Federal Trade Commission) должен определить критерии такой маркировки, учитывающие современные способы тестирования и оценки IoT-устройств, изучить передовой опыт, соответствующие информационные, маркировочные и стимулирующие программы других стран, а также возможные меры по максимальному вовлечению в программу производителей.
В настоящее время NIST пересматривает действующие стандарты (NISTIR 8259, 8259A и 8259B), определяющие минимальный набор требований к IoT-устройствам, и разрабатывает новые критерии для целей данной программы.
В частности, предусматривается следующее:
- использование многофакторной аутентификации на основе уникальных и надежных паролей, устанавливаемых по умолчанию;
- осуществление контроля доступа к локальным и сетевым интерфейсам, протоколам и службам защиты данных;
- соблюдение периодичности и механизмов обновления ПО и возможностей обнаружения инцидентов;
- обеспечение удобства установки и обслуживания IoT-продукта потребителями;
- информирование об окончании срока поддержки или функциональности продукта.
Кроме того, NIST осуществляет разработку стандартов кибербезопасности для сертификации маршрутизаторов потребительского класса «повышенной опасности», что позволит исключить случаи компрометации и задействования их для кражи паролей и несанкционированного доступа к другим устройства и сетям, а также создания ботнетов (компьютерных сетей, состоящих из нескольких узлов (хостов) с установленным автономным программным обеспечением), используемых злоумышленниками для запуска распределенных атак типа «отказ в обслуживании» (Distributed Denial-of-Service, DDoS). Данную работу планируется завершить к концу текущего года, что позволит распространить действие программы на такие виды устройств.
Также Министерство энергетики США объявило о намерении обсудить с отраслевыми партнерами вопросы разработки соответствующих требований по маркировке интеллектуальных счетчиков и инверторов питания.
В рамках инициативы Федеральная комиссия по связи (Federal Communications Commission) подала в Бюро по патентам и товарным знакам США заявку на регистрацию национального графического обозначения «Знак кибердоверия США». Нанесение маркировки на сертифицированные устройства, позволит потребителям выбирать продукты, соответствующие установленным критериям кибербезопасности. Знак U.S. Cyber Trust Mark имеет форму отличительного логотипа в виде «Щита» (Shield). На нем предполагается разместить QR-код, содержащий ссылку на национальный реестр сертифицированных устройств, который предоставит актуальную информацию о безопасности, такую как политики обновления программного обеспечения, стандарты шифрования данных и устранение уязвимостей.
Ожидается, что программа будет запущена в 2024 году после завершения подготовительного этапа и общественного обсуждения. Розничным торговым площадкам будет рекомендовано отдавать приоритет товарам, маркированным знаком U.S. Cyber Trust Mark. Ряд компаний, такие как Amazon, Best Buy, Cisco, Google, LG, Qualcomm и Samsung, уже выразили свое согласие с инициативой по добровольной маркировке и присоединились к ней.
Кроме того, руководство США намерено привлекать зарубежных партнеров к участию в данной программе и совместной разработке соответствующих международных стандартов на основе американских подходов.
Представляется вероятным, что по результатам практической реализации программы правительством Соединенных Штатов будет принято решение об обязательной сертификации и маркировке реализуемых на территории страны IoT-устройств.