Ask HN: Como comissário da FCC, estou propondo regulamentação para atualizações de segurança de IoT

 (news.ycombinator.com)
1 pontos por GN⁺ 2023-09-06 | 1 comentários | Compartilhar no WhatsApp
  • Vulnerabilidades graves são comuns em IoT, e esses problemas demoram demais para ser corrigidos em dispositivos de usuários finais.
  • Muitas vezes, no momento da venda, não é informado por quanto tempo o fabricante dará suporte ao dispositivo com atualizações de segurança.
  • A FCC publicou recentemente um aviso de proposta de regulamentação para um programa de rotulagem de cibersegurança para dispositivos conectados.
  • Defendi fortemente que um desses critérios seja a divulgação do período durante o qual o produto receberá atualizações de segurança.
  • Muitos fabricantes estão se opondo a assumir qualquer compromisso em relação a atualizações de segurança.
  • Se a FCC e a Casa Branca ouvirem apenas o lado dos fabricantes de dispositivos, é pouco provável que adotem uma posição firme.
  • Vocês já enfrentaram seguranças terríveis, como protocolos inseguros, chaves privadas expostas e coisas do tipo.
  • Já perguntaram: 'por que não existem regras para esse tipo de coisa?'
  • Esta é a oportunidade de dizer o que vocês acham que as regras deveriam ser e deixar isso registrado.
  • Se quiserem causar impacto, precisam enviar comentários ao processo de regulamentação até 25 de setembro de 2023 (meia-noite, ET).
  • A FCC deve considerar os argumentos de vocês.
  • Estou aqui para ouvir e aprender com as opiniões de vocês.
  • Meu assessor jurídico, Marco Peraza, também responderá perguntas.
  • Espero que meus colegas na FCC também estejam abertos às suas ideias e até a reconhecer que eu estava errado. Obrigado!```

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-06
Comentários no Hacker News
  • Um comissário da FCC está propondo uma regulamentação para atualizações de segurança de IoT e está se comunicando com a comunidade do Hacker News para discussão e feedback.
  • A FCC está recebendo comentários oficiais sobre essa proposta online até 25 de setembro. Todos os comentários serão refletidos na regra final.
  • A discussão inclui várias perspectivas, inclusive as de engenheiros de firmware, que levantam questões sobre a definição de falhas de segurança, os potenciais riscos de segurança de atualizações remotas e a responsabilidade dos fabricantes por danos causados por ataques a dispositivos vulneráveis.
  • Alguns comentários destacam o aumento dos crimes cibernéticos relacionados a dispositivos IoT, especialmente em regiões de conflito, e a possibilidade de esses dispositivos serem usados para vigilância ilegal ou coordenação de ataques.
  • Há preocupações sobre os desafios que os fabricantes, especialmente equipes pequenas, enfrentam para identificar vulnerabilidades e manter a segurança, e sobre o que acontece se encerrarem as atividades ou se seus sites forem comprometidos.
  • Há uma proposta de que dispositivos IoT devam ser capazes de operar sem contato com serviços centrais e que devam existir regras exigindo funcionalidade mínima em ambientes isolados ou autogeridos para evitar riscos de segurança inerentes.
  • Há uma demanda para que os fabricantes deem suporte a seus dispositivos por um período mínimo e, quando esse suporte terminar, publiquem todo o código-fonte, para que os consumidores possam controlar o firmware e evitar que os dispositivos se tornem inutilizáveis.
  • Há preocupações sobre a possibilidade de aplicar a regulamentação proposta, especialmente a fabricantes estrangeiros, e uma sugestão de que plataformas fortes de IoT devam auditar dispositivos e proibir aqueles que não atendam aos padrões.