Este audio se generó automáticamente. Háganos saber si tiene comentario.
El gobierno de los Estados Unidos se está embarcando en un ambicioso esfuerzo para crear un sello de aprobación de ciberseguridad para dispositivos de Internet de las cosas, pero el proyecto enfrenta una seria amenaza de la misma agencia que lo creó.
Durante la administración Biden, la Comisión Federal de Comunicaciones se lanzó El programa de Marcas Cyber Trust de EE. UU. Para mucha fanfarria, con funcionarios gubernamentales y ejecutivos de la industria tecnológica que dicen que su proceso de certificación transformaría la seguridad de los dispositivos conectados y dificultaría mucho para los hackers explotar esos dispositivos para ataques cibernéticos. Pero unos meses después de que el presidente Donald Trump asumiera el cargo, el nuevo presidente republicano de la FCC lanzó una investigación de la compañía que el personal de la Comisión acababa de elegir supervisar el programa, el veterano conglomerado de pruebas UL Solutions, sobre sus vínculos con China.
La FCC ha dicho poco sobre la investigación, y no está claro cómo está procediendo o incluso qué está buscando específicamente descubrir en su sonda. Esos caprichos preocupan a algunos expertos en ciberseguridad y ex funcionarios de la administración Biden, quienes dicen que una larga investigación podría socavar el programa y, a su vez, prolongar un peligroso estado de cosas en el ciberespacio.
«Cuanto más largo se proceda sin tratar de implementar algo como esto», dijo Paul Besozzi, un socio principal de Squire Patton Boggs, que se enfoca en problemas de telecomunicaciones, «cuanto más sea el riesgo para los consumidores», incluidas las muchas empresas que equipan sus oficinas con dispositivos conectados.
Comprar con confianza
Durante años, los piratas informáticos han comandado gadgets de Internet de Things mal asegurados para ensamblar botnets y lanzar ataques cibernéticos que conducen a la interrupción del negocio y al robo de datos. Para cambiar los incentivos que dan como resultado que los fabricantes envíen productos defectuosos, la administración Biden trabajó con la FCC para crear una etiqueta de seguridad respaldada por el gobierno para dispositivos conectados, similar a la etiqueta de eficiencia de la estrella de la Agencia de Protección Ambiental.
La FCC lanzó el programa Cyber Trust Mark en los días menguantes de la administración Biden y la Casa Blanca Aclamó el lanzamiento Como punto de inflexión que alentaría a los proveedores a mejorar sus productos y alentar a los clientes, desde individuos hasta empresas, a priorizar la seguridad al comprar, especialmente para casos de uso delicados.
«La seguridad de IoT no es lo que debería ser para muchos dispositivos diferentes», dijo Matt Pearl, director del Programa de Tecnologías Estratégicas del Centro de Estudios Estratégicos e Internacionales y un ex empleado del Consejo de Seguridad Nacional que ayudó a lanzar el Programa Cyber Trust Mark. «La idea era que creas una carrera a la cima».
Una vez que se lanza el programa, las empresas aprobadas por UL y otros administradores del programa probarán dispositivos IoT, incluidos los electrodomésticos inteligentes y las cámaras de vigilancia, en qué tan bien manejan funciones como protección de datos, control de acceso y documentación del ciclo de vida. El estándar de prueba propuestoque todavía está en revisión, requiere inventarios de componentes, soporte para la eliminación segura de los datos del usuario, las restricciones a los cambios en la configuración de seguridad y la capacidad de restaurar el producto a un estado predeterminado seguro, entre otras características.
Los productos que cumplan con el estándar estarán autorizados para mostrar la etiqueta del programa, lo que indica un sello de aprobación del gobierno diseñado para hacer que los productos seguros sean más atractivos para los compradores corporativos e individuales. Una base de datos pública contendrá información sobre los resultados de las pruebas de cada producto certificado, incluido el período de tiempo para el cual el fabricante garantiza el soporte.
Centrarse en «Bad Labs»
El programa Cyber Trust Mark ha caído bajo una nube ya que el nuevo presidente de la FCC de Trump, Brendan Carr, se centra en bloquear a las empresas con lazos con los adversarios estadounidenses de certificar equipos en programas de la FCC. En Mayo, la comisión prohibió Esos llamados «malos laboratorios» de su trabajo. La FCC de la era Biden ya había bloqueado Algunas empresas no confiables se desempeñan como administradores del programa Cyber Trust Mark. Pero Carr, que había votado por el programa, sintió que las restricciones no fueron lo suficientemente lejos. En junio, Confirmó Un informe de Fox News que la FCC estaba investigando UL sobre su empresa conjunta con una empresa de propiedad del gobierno chino y su operación de laboratorios en China.
La empresa conjunta solo probablemente no sea lo suficientemente peligrosa como para desencadenar la exclusión de UL bajo los criterios de la FCC, explicó el Besozzi de Squire Patton Boggs, pero si la Comisión tiene evidencia de algo más nefasto, no sería sorprendente que lo investigue.
Pearl dijo que apoya la investigación de la FCC, especialmente si se centró en «preguntas legítimas» sobre las pruebas de realización de UL en China, pero agregó que «el mero hecho de que tienen una empresa conjunta» no debería ser descalificante.
UL declinó hacer comentarios sobre la investigación de la FCC. Kathy Fieweger, directora de comunicaciones corporativas de UL, dijo que la compañía «toma la ciberseguridad muy en serio y siempre ha operado con transparencia e integridad».
«Entendemos que el programa está en revisión», dijo, «pero no ha recibido indicaciones de que algo ha cambiado en este momento».
Retroceso en una sonda inusual
Otros observadores fueron más críticos con el retraso abrupto en el programa Cyber Trust Mark, que tenía apoyo bipartidista y tuvo que aprobar años de revisiones legales y períodos de comments.
La investigación es «una broma», dijo un ex funcionario del gobierno, que solicitó el anonimato para hablar con franqueza. La FCC seleccionó a UL «porque tienen una experiencia profunda con hacer este tipo de cosas», agregó el ex funcionario.
Si a la comisión le preocupa que Beijing pueda coaccionar a UL utilizando su personal con sede en China como apalancamiento, «tenemos un problema más amplio», dijo el ex funcionario, «dado el papel [UL] Juega en probar cosas para la salud y la seguridad en todo el ecosistema de productos de consumo estadounidense «.
La FCC no respondió a las solicitudes repetidas de comentarios.
Los retrasos adicionales podrían probar la paciencia de la industria tecnológica con la investigación de la FCC, dada la aprobación generalizada de la iniciativa de etiquetado. El programa es «una buena idea», dijo Besozzi, «y debería haber un intento de avanzar con él».
David Simon, socio y codirector de la práctica de ciberseguridad en Skadden, ARPS, Slate, Meagher & Flom LLP, dijo que «no estaba al tanto de otros» casos en los que la FCC abrió una investigación sobre los riesgos de seguridad nacional de una compañía que acababa de aprobar para supervisar uno de sus proyectos.
Impulso en riesgo
Cuanto más dure la investigación de la FCC, más socavará el programa Cyber Trust Mark, dijeron los expertos.
Los retrasos prolongados podrían desanimar a los proveedores de IoT a presentar sus productos para las pruebas, limitando severamente su eficacia.
«He hablado con empresas que me han dicho que están en el proceso de decidir si se van a molestar con esto», dijo Pearl.
El factor más importante en el éxito del programa «es tener una tubería de compañías que presenten productos», dijo el ex funcionario del gobierno, quien señaló que los principales fabricantes de dispositivos de los Corea del Sur, incluidos LG y Samsung, estaban «preparados para comenzar».
Haciendo que funcione o haciendo un descanso
Hay varias maneras para que la FCC concluya su investigación y vuelva a encarrilar el programa Cyber Trust Mark, dijeron los expertos.
Una opción sería que UL prometiera no usar sus laboratorios chinos para el programa. (La compañía no respondió a un correo electrónico preguntando si ya había hecho tal promesa). «Creo que mudar las pruebas fuera de China sería una mitigación bastante fácil», dijo Pearl.
Si la empresa conjunta es la mayor preocupación de la FCC, «es probable que haya alguna mitigación que se les ocurra», dijo Pearl. UL podría optar por poner fin a la asociación si los líderes de la compañía no lo ven como una prioridad más alta que el impulso reputacional que se ofrece al supervisar el programa Cyber Trust Mark.
La FCC también podría elegir rescindir su aprobación de la solicitud de UL para ser el administrador de etiquetas principales. Esa sería la opción más disruptiva, ya que obligaría a la Comisión a reiniciar el proceso de elegir a un administrador principal. La FCC podría dar el trabajo a uno de los otros administradores de etiquetas, pero no se sabe si alguno de ellos está preparado para asumir el liderazgo del proyecto.
Besozzi dijo que no estaba claro si los lazos de China de UL «resultarán en que sean descalificados», pero agregó que dada el interés de Carr en congelar «malos laboratorios», «Creo que tendrías que encontrar algún mecanismo que supera esas preocupaciones».
Presión de Europa, industria
Si bien la investigación de la FCC ha aumentado las ansiedades sobre el futuro de Cyber Trust Mark, la etiqueta no estaba exactamente en la cúspide del lanzamiento de todos modos, dijeron los expertos.
Incluso antes de que comenzara la investigación UL, el programa estaba a meses de aceptar presentaciones de productos. Los estándares de prueba aún necesitan someterse a un período de comment público y recibir la aprobación de la FCC (UL Estándares propuestos presentados en junio), y las partes aún no han finalizado un diseño para la etiqueta.
«No estamos realmente cerca de personas que solicitan estas marcas», dijo Besozzi. «Hay un camino por recorrer».
El futuro del programa puede depender de cómo la industria tecnológica se involucre con la FCC. Los mandatos de seguridad de IoT en la nueva Ley de Resiliencia Cibernética de la Unión Europea pueden aumentar el deseo de los proveedores de una forma de promocionar su seguridad en los Estados Unidos.
Carr ha estado «hablando con la industria», dijo Pearl, y las empresas «generalmente han apoyado mucho el programa».
Fuente