Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, der skriver for adskillige australske publikationer.
Fuld bio den 18. februar 2022 | Emne: Sikkerhed 
Cybersikkerhed: Lad os blive taktiske. Se nu
Cybersikkerhedsetiketter kunne formidle et softwareprodukts eller tilsluttede gadgets cybersikkerhedsstatus. Men ville disse etiketter være nyttige, og hvad er et softwareprodukt overhovedet i tilsluttede biler og forbrugerapparater?
Idéen med cybersikkerhedsmærker til Internet of Things (IoT) og forbrugersoftware er blevet sparket rundt i årevis og er for nylig blevet set mere seriøst på i EU, Australien, Storbritannien og andre steder. I oktober blev Singapore og Finland enige om at anerkende hinandens cybersikkerhedsmærker for IoT-enheder.
Men etiketter var forpligtet til at blive seriøst overvejet i USA som en del af præsident Bidens cybersikkerhedsbekendtgørelse fra maj 2021 14028, “Improving the Nation's Cybersecurity”. Biden underskrev EO kort efter det massive SolarWinds-softwareforsyningskædeangreb og en bølge af ransomware-angreb på kritisk infrastruktur.
En del af ordren krævede, at US National Institute of Standards and Technology (NIST) overvejede produktmærkning af IoT-enheder og softwareudviklingspraksis for forbrugersoftware for at øge cybersikkerhedsuddannelsen.
NIST laver kun retningslinjer for en amerikansk cybersikkerhedsmærkningsordning, som mere sandsynligt ville blive håndhævet af Federal Trade Commission (FTC), i betragtning af dets eksisterende tilsyn med lovgivning om forbrugerbeskyttelse og databeskyttelse.
NIST udgav sine retningslinjer for sådanne mærker den 4. februar, og nu har de to ledere inden for forbrugersoftware og IoT delt deres syn på fordele og ulemper ved cybersikkerhedsmærker.
Som de påpeger, er der fungerende eksempler på etiketter for fødevaresikkerhed, enhedens ydeevne og apparaters elektriske sikkerhed. Disse hjælper forbrugerne med at træffe informerede valg og giver incitamenter til at forbedre produktsikkerhed og kvalitet. Men software er anderledes.
Michael Ogata, NIST Computer Scientist, siger, at udviklingen af de anbefalede kriterier for forbrugersoftwaremærkning var en “nerverivende oplevelse”, delvist på grund af vanskelighederne med at definere, hvor software begynder og slutter i dag.
“Hvad er forbrugersoftware? Er firmwaren i din bil forbrugersoftware? Hvad med en onlinetjeneste som en kontorpakke eller e-mailklient? Et videospil tæller bestemt som forbrugersoftware, men måler du et mobilspil, et konsolspil, og et pc-spil på samme måder?,” skriver han.
En definition af forbrugersoftware opstod til sidst som: “software, der normalt bruges til personlige, familiemæssige eller husholdningsformål.”
En af NISTs vigtigste anbefalinger til etiketter, uanset hvilken ordning der kører det, er, at de er “binære”, idet produktet enten 1) opfylder kriterierne på et givet tidspunkt eller 2) ikke. Derudover bør de ikke “svigte” ikke-tekniske forbrugere med jargon.
En anden komplikation i mærkningssoftware kan ses i sodavandsdåser, der viser antallet af kalorier pr. portion. Er værktøjet, der bruges til at måle kalorier nøjagtigt? Så der er en eksplicit og implicit påstand om sodavandsdåser. NIST anbefalede softwareetiketter bør dække både eksplicitte og implicitte påstande.
Disse omfatter både beskrivende krav og krav til udvikling af sikkerhedssoftware. Beskrivende påstande dækker over, hvorvidt den mærkede software stadig modtager sikkerhedsrettelser, og hvordan disse leveres til forbrugerne. Også hvilken instans der står bag kravene, og hvornår kravet blev fremsat.
På den sikre udviklingsside støttede NIST sit eget NIST Secure Software Development Framework (SSDF) som grundlaget for industriens bedste praksis. Det er et ikke-præskriptivt dokument, men det “identificerer almindelig praksis, der er repræsenteret i og kortlagt til eksisterende formaliseret branchevejledning.”
“Vores anbefalinger opfordrer ordningsejere til at udtrykke udviklingskrav ved hjælp af SSDF, mens de også identificerer specifikke elementer, der signalerer, at industriens bedste praksis er blevet anvendt,” forklarer Ogata.
Katerina Megas, en programleder for NISTs Cybersecurity for IoT program, giver et øjebliksbillede af, hvor kompliceret det ville være at oprette cybersikkerhedsetiketter til IoT-enheder. Efter at have undersøgt andre mærkningsordninger rundt om i verden, siger Megan, at hendes team var forsikret om, at der så ud til at være en “generel konsensus” under udvikling om, at IoT-produkter ikke kun inkluderer enheden, men også dens understøttende software, såsom en smartphone-app eller hardware som f.eks. controllerenhed.
Megas siger, at gruppen havde et risikobaseret syn på spørgsmålet om baseline-sikkerhed, hvor “risikoen er både kontekstuel (baseret på specifik brug) såvel som på den unikke karakter af IoT-produkter, der er i stand til at interagere med den fysiske verden ved at indsamle data eller at bevirke ændringer uden menneskelig indgriben.”
NIST-retningslinjerne anerkendte også “ingen-størrelse-pas-alle, når det kommer til IoT.” NIST ser ud til at foretrække markedslederne til at skabe en basislinje frem for at få hårde regler givet til producenterne.
“Hvis en markedsplads af standarder, programmer og ordninger kan udvikle sig, vil det give markedet mulighed for at drive, hvordan man bedst opnår de ønskede resultater og tilbyde fleksibiliteten til at passe til en række forskellige interessenters behov. Gør det også ville rumme, og ikke hindre, et hurtigt udviklende teknologilandskab,” skriver Megas.
Sikkerhed
Flere virksomheder bruger multi-faktor autentificering. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Regeringen – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre