Cyber Trustmärkningen ska enligt planen införas i slutet av nästa år, och kommer då att påverka svenska företag som vill sälja konsumentorienterade IoT-produkter på USA-marknaden – försäljning till företag omfattas inte av märkningen, åtminstone inte initialt.

Likt EU:s CE-märkning är Cyber Trust Mark en etikett som tillverkare kan sätta på en produkt som uppfyller kriterierna. Vid sidan av etiketten ska det också finnas en QR-kod som går att läsa av i mobilen för att komma åt en databas med uppdaterad säkerhetsinformation om just den här produkten.

Märkningen ska vara frivillig, det blir upp till köparna att avgöra hur framgångsrik den blir – ju fler som väljer att köpa märkta produkter, desto troligare är det att tillverkare kommer använda märket. Förebilden är den likaledes frivilliga Energy Starmärkningen (https://www.energystar.gov/) för energisnåla produkter som lanserades för drygt 30 år sedan; idag beräknar Energy Star att drygt 80 000 produkter från 1700 tillverkare har märkts.

Processen inleddes i september med att Federal Communications Commission (FCC), den myndighet som reglerar telekom och internet i USA, skickade ut en remiss med ett antal diskussionspunkter kring Cyber Trust Mark. Bland de frågor och förslag man vill ha synpunkter på finns till exempel vilka produkter som ska omfattas av märkningen, vilka kriterier som ska gälla, hur programmet ska administreras, och om det är hela produkter (tänk ”kartong som överlämnas till kund”) som ska märkas eller de ingående komponenterna. Som synes är det mycket som ännu inte är klart, men målet att börja märka under 2024 står fast enligt FCC.

När det gäller kriterier för Cyber Trust Mark har FCC ett underlag från standardiseringsorganet NIST att utgå från. NIST listar tio kriterier som man anser är användbara för så gott som alla IoT-produkter.

 1 Identifiering – produkten ska ha ett serienummer eller liknande.
 2 Konfiguration – användaren måste kunna justera säkerhetsinställningarna.
 3 Dataskydd – både för data som lagras lokalt och data som skickas över nätverket.
 4 Åtkomstkontroll – endast auktoriserade användare ska kunna kommunicera med produkten, och generella standardlösenord får inte användas.
 5 Uppdateringar – programvaran måste kunna upp­dateras.
 6 Sårbarheter – information om såväl kända som ny­upptäckta sårbarheter ska finnas tillgänglig.
 7 Dokumentation – till­verkaren ska tillhandahålla uppdaterad dokumentation för produkten.
 8 Support – tillverkaren ska ta emot incidentrapporter och svara på frågor om produktens säkerhet.
 9 Informationsspridning – kunder och allmänheten ska löpande få relevant information om cybersäkerhet.
 10 Löpande utbildning – om produkten, men också allmänt om cybersäkerhet.

Kriterierna är genomgående krav på funktion (”det här ska finnas”) som lämnar öppet för tillverkarna att avgöra hur respektive funktion ska implementeras.

Ett av FCC:s förslag i remissen är att börja med märkning av produkter som a) är anslutna till internet, och b) kommunicerar trådlöst (Wifi, Bluetooth). Dit hör förstås hemmaroutrar med Wifi, men också uppkopplade kylskåp och ringklockor och annat smått och gott. Det är i den kategorin de största säkerhetsriskerna för konsumenter finns enligt FCC, och det är svårt att säga emot.

Stora teknikföretag som Amazon, Google och Cisco har redan från början annonserat att de avser att låta märka sina produkter. Några elektronikföretag finns också med på listan, som Samsung, Infineon och Keysight, medan till exempel Apple ännu så länge saknas. Det är också värt att notera, med tanke på USA:s just nu väldigt polariserade politiska klimat, att både demokratiska och republikanska kommissionärer ställer sig bakom förslagen i remissen.

Det är lätt att hitta skillnader mellan Cyber Trust Mark och EU:s CRA (se ruta) trots att båda förslagen vill möta samma hotbild. Men det finns också likheter, och i direktiven från Vita Huset ingår ett uppdrag till FCC att söka internationellt samarbete och arbeta för harmonisering av standarder samt ömsesidigt erkännande av varandras märkningar.

NIST-kriterierna finns här.