Федеральная комиссия по связи США (FCC) предложила объявить китайские компании Quectel and Fibocom Wireless бизнесами, представляющими неприемлемый риск для государственной безопасности страны. По данным Reuters, обе компании выпускают решения для Интернета вещей, поставляемые на американский и другие рынки. При этом на долю китайских Quectel, Fibocom и Sunsea по итогам 2022 года приходилось порядка 50 % мировых продаж IoT-модулей.

В августе американские парламентарии обратились к FCC с просьбой добавить эти компании в список вендоров, продукция которых запрещена для сертификации FCC и которые не могут претендовать на американское федеральное финансирование. По словам законотворцев, китайские модули сотовой связи уже используются в американском медицинском оборудовании, транспорте и сельхозоборудовании — современные модели можно контролировать и отключать дистанционно, потенциально даже напрямую из Китая.

Источник изображения: TheDigitalArtist/pixabay.com

Fibocom ещё не прокомментировала новость. Quectel же заявила, что не имеет никакого доступа к данным пользователей после того, как модули связи поставлены, а удалённое управление устройствами возможно только с помощью платформ OEM-производителей, в которых эти модули используются. Дополнительно в компании сообщили, что проведёт аудит безопасности своих модулей у независимой компании Finite State.

FCC направила письма ФБР, Министерству юстиции, АНБ и иным ведомствам с призывом к сотрудничеству. Допускается возможность включения оборудования Quectel и Fibocom в т.н. перечень Covered List, куда уже попали десять китайских и одна российская компания, включая Huawei, ZTE, Hytera, Hikvision и Dahua. В отдельном письме законотворцам FCC сообщила, что вопрос нуждается в дальнейшем изучении, подчеркнув, что может отозвать авторизацию только по указанию агентств, отвечающих за безопасность США.

FCC уже приняла ряд мер для ограничения использования китайского оборудования в американских телекоммуникационных сетях. В частности, в прошлом году комиссия проголосовала за запрет деятельности в США китайского подразделения China Unicom в лице Pacific Networks и компании ComNet. В FCC подчёркивают, что обеспечивают все компании, принимающие решения о покупке на телеком-рынке, «чёткими сигналами» о безопасности тех или иных продуктов.

Федеральная комиссия по связи (FCC) США совместно с Национальным институтом стандартов и технологий (NIST) представили национальную маркировку для безопасных устройств Интернета вещей. По данным портала CNX-Software, т.н. U.S. Cyber Trust Mark позволит покупателям выбирать компоненты для Интернета вещей и/или умного дома, соответствующие высоким стандартам безопасности.

Проблема низкого уровня защищённости IoT носит критический характер, поскольку такая электроника часто отвечает за важнейшие элементы инфраструктуры — удалённое и/или автоматизированное управление электропитанием, водоснабжением, системами безопасности. Неоднократно поднимался вопрос нежелательности поставки таких устройств с логинами и паролями по умолчанию, ставились вопросы об уязвимостях в инструментах разработчиков, незащищённой передаче данных и прочих проблемах.

При этом никаких достоверных данных о безопасности конкретного подключаемого модуля у пользователей обычно нет. Ожидается, что введение Cyber Trust Mark поможет исправить ситуацию хотя бы в США. Проверка и маркировка устройств для производителей будет добровольной. В проекте участвуют техногиганты вроде Amazon, Google, Samsung, Logitech, LG Electronics и даже розничная сеть Best Buy. Поддержку выразили некоторые представители полупроводниковой отрасли, например, Infineon Technologies.

Источник изображения: FCC

Так, покупателю гарантируется, что уровень безопасности маркированных устройств соответствует стандартам, заданным руководством NISTIR 8425 для разработчиков и интеграторов IoT-решений. Более того, поскольку у такой электроники часто меняется прошивка, маркировка будет дополняться QR-кодом для проверки обновлений ПО. Устройства с U.S Cyber Trust Mark будут вноситься в специальный реестр электроники, соответствующей американским стандартам кибербезопасности, в котором можно будет также проверить актуальность информации.

До того, как товары с подобной маркировкой появятся в магазинах, пройдёт ещё некоторое время. Инициативу должны поддержать голосованием в Федеральной комиссии по связи, после чего она пройдёт стадию публичного рассмотрения — только после этого маркировку начнут применять на упаковке и товарах в конце 2024 года.