UL (sebelumnya Underwriters Laboratories) menyediakan Program Jaminan Keamanan Siber untuk menyatakan bahwa perangkat Internet of Things, menurut pendapat mereka, aman dari sebagian besar ancaman utama.
UL tampaknya sangat dihormati dalam proses sertifikasi mereka, menurut Ars Technica :
UL, organisasi standar keamanan berusia 122 tahun yang berbagai mereknya (UL, ENEC, dll.) Mensertifikasi standar keamanan minimum di berbagai bidang seperti kabel listrik, produk pembersih, dan bahkan suplemen makanan, kini menangani keamanan dunia maya dari Internet. Perangkat Things (IoT) dengan sertifikasi UL 2900 yang baru.
UL menggambarkan sertifikasi mereka sebagai melibatkan:
- Pengujian fuzz produk untuk mengidentifikasi kerentanan zero day atas semua antarmuka
- Evaluasi kerentanan yang diketahui pada produk yang belum ditambal menggunakan skema Common Vulnerability Enumerations (CVE)
- Identifikasi malware yang diketahui pada produk
- Analisis kode sumber statis untuk kelemahan perangkat lunak yang diidentifikasi oleh Common Weakness Enumerations (CWE)
- Analisis biner statis untuk kelemahan perangkat lunak yang diidentifikasi oleh Common Weakness Enumerations (CWE), perangkat lunak sumber terbuka dan perpustakaan pihak ketiga
- Kontrol keamanan khusus yang diidentifikasi untuk digunakan dalam produk yang mengurangi risiko keamanan [...]
- Pengujian penetrasi terstruktur atas produk berdasarkan cacat yang diidentifikasi dalam tes lain
- Penilaian risiko mitigasi keamanan produk dirancang menjadi produk.
Namun, proses pasti di mana perangkat UL meneliti dengan tidak jelas (kecuali Anda membayar untuk membeli set lengkap spesifikasi), seperti catatan Ars Technica (dan mengkritik):
Ketika Ars meminta salinan UL 2900 dokumen untuk melihat lebih dekat pada standar, UL (sebelumnya dikenal sebagai Underwriters Laboratories) menolak, menunjukkan bahwa jika kami ingin membeli salinan — harga eceran, sekitar £ 600 / $ 800 untuk harga penuh. set — kami dipersilakan melakukannya. Peneliti keamanan independen juga harus berasumsi untuk menjadi pelanggan ritel UL.
Meskipun UL dihormati, kami tidak dapat berasumsi bahwa sertifikasi mereka sangat baik dalam hal keamanan tanpa pengawasan lebih lanjut, meskipun memenuhi pertanyaan awal.
Sayangnya, saya tidak dapat menemukan standar / sertifikasi terbuka untuk keamanan, meskipun ini mungkin karena sumber daya yang dibutuhkan akan terlalu besar untuk asosiasi nirlaba.