Elektroniktidningen har tidigare i höst berättat om den kommande EU-förordningen Cyber Resilience Act (CRA), som ska underlätta för konsumenter och företag att bedöma inför ett köp hur säkra eller osäkra olika IoT-produkter är. Bristande säkerhet hos hemmaroutrar och webbkameror är dock ett globalt fenomen och därför är det inte förvånande att en liknande reglering är på gång i USA, där den kallas Cyber Trust Mark.
Cyberresiliens eller tillitsmärkning?Några av de viktigaste skillnaderna mellan CRA och Cyber Trust Mark:• CRA är en EU-förordning, dvs lag, medan Trust Mark baseras på ett direktiv från Vita Huset tillsammans med instruktioner om tillämpning från myndigheten FCC. • CRA är tvingande, produkter som omfattas av lagen måste märkas, medan Trust Mark är en frivillig märkning. • NIST:s produktkriterier, som FCC stödjer sig på, är bredare och främst inriktade på funktion medan CRA reglerar mer i detalj hur funktioner ska implementeras. • CRA kan komma att medföra stora problem för alla som använder och/eller arbetar med öppen källkod. Ingen har hittills gett uttryck för samma farhågor inför Trust Mark. |
Cyber Trustmärkningen ska enligt planen införas i slutet av nästa år, och kommer då att påverka svenska företag som vill sälja konsumentorienterade IoT-produkter på USA-marknaden – försäljning till företag omfattas inte av märkningen, åtminstone inte initialt.
Likt EU:s CE-märkning är Cyber Trust Mark en etikett som tillverkare kan sätta på en produkt som uppfyller kriterierna. Vid sidan av etiketten ska det också finnas en QR-kod som går att läsa av i mobilen för att komma åt en databas med uppdaterad säkerhetsinformation om just den här produkten.
Märkningen ska vara frivillig, det blir upp till köparna att avgöra hur framgångsrik den blir – ju fler som väljer att köpa märkta produkter, desto troligare är det att tillverkare kommer använda märket. Förebilden är den likaledes frivilliga Energy Starmärkningen (https://www.energystar.gov/) för energisnåla produkter som lanserades för drygt 30 år sedan; idag beräknar Energy Star att drygt 80 000 produkter från 1700 tillverkare har märkts.
Processen inleddes i september med att Federal Communications Commission (FCC), den myndighet som reglerar telekom och internet i USA, skickade ut en remiss med ett antal diskussionspunkter kring Cyber Trust Mark. Bland de frågor och förslag man vill ha synpunkter på finns till exempel vilka produkter som ska omfattas av märkningen, vilka kriterier som ska gälla, hur programmet ska administreras, och om det är hela produkter (tänk ”kartong som överlämnas till kund”) som ska märkas eller de ingående komponenterna. Som synes är det mycket som ännu inte är klart, men målet att börja märka under 2024 står fast enligt FCC.
När det gäller kriterier för Cyber Trust Mark har FCC ett underlag från standardiseringsorganet NIST att utgå från. NIST listar tio kriterier som man anser är användbara för så gott som alla IoT-produkter.
1 Identifiering – produkten ska ha ett serienummer eller liknande.
2 Konfiguration – användaren måste kunna justera säkerhetsinställningarna.
3 Dataskydd – både för data som lagras lokalt och data som skickas över nätverket.
4 Åtkomstkontroll – endast auktoriserade användare ska kunna kommunicera med produkten, och generella standardlösenord får inte användas.
5 Uppdateringar – programvaran måste kunna uppdateras.
6 Sårbarheter – information om såväl kända som nyupptäckta sårbarheter ska finnas tillgänglig.
7 Dokumentation – tillverkaren ska tillhandahålla uppdaterad dokumentation för produkten.
8 Support – tillverkaren ska ta emot incidentrapporter och svara på frågor om produktens säkerhet.
9 Informationsspridning – kunder och allmänheten ska löpande få relevant information om cybersäkerhet.
10 Löpande utbildning – om produkten, men också allmänt om cybersäkerhet.
Kriterierna är genomgående krav på funktion (”det här ska finnas”) som lämnar öppet för tillverkarna att avgöra hur respektive funktion ska implementeras.
Ett av FCC:s förslag i remissen är att börja med märkning av produkter som a) är anslutna till internet, och b) kommunicerar trådlöst (Wifi, Bluetooth). Dit hör förstås hemmaroutrar med Wifi, men också uppkopplade kylskåp och ringklockor och annat smått och gott. Det är i den kategorin de största säkerhetsriskerna för konsumenter finns enligt FCC, och det är svårt att säga emot.
Stora teknikföretag som Amazon, Google och Cisco har redan från början annonserat att de avser att låta märka sina produkter. Några elektronikföretag finns också med på listan, som Samsung, Infineon och Keysight, medan till exempel Apple ännu så länge saknas. Det är också värt att notera, med tanke på USA:s just nu väldigt polariserade politiska klimat, att både demokratiska och republikanska kommissionärer ställer sig bakom förslagen i remissen.
Det är lätt att hitta skillnader mellan Cyber Trust Mark och EU:s CRA (se ruta) trots att båda förslagen vill möta samma hotbild. Men det finns också likheter, och i direktiven från Vita Huset ingår ett uppdrag till FCC att söka internationellt samarbete och arbeta för harmonisering av standarder samt ömsesidigt erkännande av varandras märkningar.