A UL (ex-Underwriters Laboratories) fornece o Cybersecurity Assurance Program para certificar que um dispositivo da Internet das Coisas é, na opinião deles, seguro contra a maioria das ameaças importantes.
A UL parece ser altamente respeitada em seus processos de certificação, de acordo com a Ars Technica :
A UL, organização de padrões de segurança de 122 anos cujas várias marcas (UL, ENEC, etc.) certificam padrões mínimos de segurança em campos tão diversos quanto fiação elétrica, produtos de limpeza e até suplementos alimentares, agora está enfrentando a cibersegurança da Internet de Coisas (IoT) com sua nova certificação UL 2900.
A UL descreve sua certificação como envolvendo:
- Teste confuso de produtos para identificar vulnerabilidades de dia zero em todas as interfaces
- Avaliação de vulnerabilidades conhecidas em produtos que não foram corrigidos usando o esquema Common Vulnerability Enumerations (CVE)
- Identificação de malware conhecido em produtos
- Análise estática de código-fonte para deficiências de software identificadas por Common Weakness Enumerations (CWE)
- Análise binária estática para fraquezas de software identificadas por Common Weakness Enumerations (CWE), software de código aberto e bibliotecas de terceiros
- Controles de segurança específicos identificados para uso em produtos que reduzem o risco de segurança [...]
- Ensaios estruturados de penetração de produtos com base em falhas identificadas em outros ensaios
- Avaliação de risco da mitigação de segurança do produto projetada em produtos
No entanto, o processo exato no qual a UL examina os dispositivos não é claro (a menos que você pague para comprar o conjunto completo de especificações), como observa a Ars Technica (e critica):
Quando a Ars solicitou uma cópia dos documentos da UL 2900 para examinar mais de perto o padrão, a UL (anteriormente conhecida como Underwriters Laboratories) recusou, indicando que se desejássemos comprar uma cópia - preço de varejo, em torno de £ 600 / $ 800 pelo preço total conjunto - fomos bem-vindos a fazê-lo. Pesquisadores de segurança independentes também são, devemos assumir, bem-vindos para se tornarem clientes de varejo da UL.
Embora a UL seja respeitada, não podemos assumir que a certificação deles seja particularmente sólida em termos de segurança sem um exame mais aprofundado, embora satisfaça a pergunta original.
Infelizmente, não foi possível encontrar padrões / certificações abertas de segurança, embora isso seja provável porque os recursos necessários seriam muito grandes para uma associação sem fins lucrativos.