本文来源:智能通信定位圈
图源:FCC
据公开披露,该计划的主要特点包括:
符合该计划网络安全标准的无线消费者物联网产品将展示包括“美国网络安全信任标记”(U.S. Cyber Trust Mark)在内的标签,以帮助消费者做出明智的购买决定,区分市场上值得信赖的产品,并激励制造商满足更高的网络安全标准。
标签将伴有一个二维码,消费者可以扫描以获取关于产品安全性的易于理解的详细信息,例如产品的支援期限以及软件补丁和安全更新是否自动进行。
图源:FCC
自愿性计划将依赖于公私合作,FCC提供监督,经批准的第三方标签管理员管理活动,如评估产品申请、授权使用标签和消费者教育。
合规性测试将由认可的实验室处理。
符合条件的产品示例可能包括家庭安全摄像头、语音激活购物设备、互联网连接的电器、健身追踪器、车库门开启器和婴儿监视器。
业界认为,针对美国物联网安全标签计划,需重点关注无线、互联网连接的消费者物联网产品,包括物联网设备和网络所需的其他组件,如网络/网关硬件、包括应用软件和后端。值得注意的是,FCC可能会在未来扩大物联网产品的种类和范围。
此外,FCC还提出了有关物联网标签计划的“国家安全声明”规则,对涉及国家安全的设备提出了特别要求。如设备中的硬件、软件或数据与某些高风险国家(如中国、古巴、伊朗、朝鲜、俄罗斯以及委内瑞拉)相关,制造商需要进行披露,并确保其产品不含有任何来自这些国家的隐藏漏洞,产品收集的数据不会存储在这些国家,也不会被这些国家的服务器远程控制。
这一规则的提出,将有可能对出海企业造成一定影响,尤其是向美国出口设备的企业。要求制造商更加注重产品的网络安全设计,将这一计划要求提前纳入产品安全设计,如特别关注NIST的标准内容。
而消费者在购买决策时也将更加重视产品的安全性能。随着物联网设备的普及和网络威胁的增加,这项法规被视为加强消费者隐私保护和提升设备安全性的重要里程碑。
尽管美国白宫和FCC明确,各制造商和零售商可自愿选择加入美国网络安全标签计划,但在这一计划发布的同时,与家庭物联网相关的头部厂商基本上已宣布支持。
据美国白宫新闻稿披露,发布会当天参与的机构包括亚马逊、百思买、卡内基梅隆大学、CyLab、思科、CSA、美国消费者报告机构、美国消费者技术协会、谷歌、英飞凌、美国信息技术产业委员会、IoXT、是德科技、LG电子美国公司、罗技、OpenPolicy、Qorvo、高通、三星电子、UL、耶鲁大学和August U.S.,涵盖了消费物联网全产业链各个环节,既有制造商、零售平台,还有监测认证机构、联盟组织和高校,有望将该计划推向市场广为接受的“准强制性”要求。
国际上,美国政府将支持FCC与盟友和合作伙伴一起协调标准,并寻求对类似标签工作的相互认可。例如,美国提出已和欧盟推动统一标准的合作,并开始接触新加坡的网络安全标签计划。
2024年1月,美国负责网络和新兴技术的副国家安全顾问Anne Neuberger宣布,美国已与欧盟签署了一项“关于消费者标签计划联合路线图”的合作协议,推动消费物联网设备安全标签计划的国际互认,开启了物联网安全标签计划在全球更大范围的应用和认可。
据Statista预测,到2030年,全球运营的物联网设备将超过290亿台,这使得智能设备安全性问题受到各国政府关注。除了美国,欧盟、英国、新加坡、德国等地都出台了针对物联网产品的网络安全标签计划。
欧盟《网络弹性法案》(Cyber Resilience Act,简称CRA)适用于所有直接或间接连接到另一设备或网络的数字产品,包括硬件、设备、软件、应用程序等。CRA的关键要求包括:
制造商必须确保其产品从设计到淘汰的整个生命周期内都符合网络安全要求。
产品必须能够接收安全更新,并在最长5年或产品生命周期内(以较短者为准)有效处理漏洞。
制造商需要提供清晰的产品信息和说明,以确保用户可以安全地安装、操作和使用产品。
制造商有义务在发现产品中存在被积极利用的漏洞或任何影响产品安全性的事件后24小时内,向欧盟网络安全机构(ENISA)报告。
CRA还规定了对不同风险级别的产品进行分类,重要和关键产品将被列入不同的清单中,由欧盟委员会提出和更新。这些清单将帮助确定哪些产品需要更严格的合格评定程序。
违反CRA规定的处罚可能非常严厉,包括高额罚款。例如,违反网络安全要求和制造商义务的行为可能会被处以最高1500万欧元或上一财政年度全球年营业额的2.5%的罚款,以较高者为准。
CRA预计将在2024年下半年生效,制造商需要在2027年前确保其产品符合规定并进入欧盟市场。
此外,欧盟今年2月份推出的《欧盟共同标准网络安全认证方案》标志着网络安全能力已经成为欧盟所有数字产品的关键产品力和“市场通行证”。
英国的《产品安全和电信基础设施法案》(Product Security and Telecommunications Infrastructure Act,简称PSTI)于2022年12月获得皇家批准,并于2024年4月29日起正式生效执行,关键要求包括:
禁止使用通用默认密码。
要求制造商设立一个公开的联络点,方便消费者报告安全漏洞。
制造商必须向消费者明确说明安全更新的最短时限。
违反PSTI法案规定的企业可能会面临重大处罚,包括高达1000万英镑或其全球营业额的4%作为罚款,对于持续违规的公司还将额外处以每日20,000英镑的罚款。
该法案适用于所有向英国消费者提供物联网产品的制造商、进口商和分销商,要求他们确保产品符合新的网络安全标准。这包括智能家居/语音助手、智能手机、网络摄像头、可穿戴设备、物联网基站和集线器、居家自动化设备、智能门铃和报警系统等。
新加坡推出的物联网安全标签计划名为“Cybersecurity Labelling Scheme (CLS)”,由新加坡网络安全局(Cyber Security Agency of Singapore, CSA)发起,是亚太地区首个针对智能家居设备的网络安全标准计划。
该计划包括四个不同的安全级别,用星号数量来区分:
Tier 1 – 基础安全要求,开发商可以通过符合性声明来展示。
Tier 2 – 除了Tier 1的要求外,还包括产品生命周期的安全要求,同样可以通过开发商的符合性声明来展示。
Tier 3 – 除了满足Tier 1和Tier 2的要求外,开发商必须通过CLS认可的第三方实验室(如UL)对产品进行软件二进制分析,以检查已知漏洞和常见软件弱点。
Tier 4 – 要达到最高级别,产品必须经过CLS认可的第三方实验室的彻底安全评估,实验室将验证产品符合ETSI EN 303 645要求,并进行额外的(强制性的)渗透测试活动。
图源:CSA
CLS标签的有效性与设备的安全更新支持时间相关,最长可达3年。该计划最初覆盖了Wi-Fi路由器和智能家居中心,因为这些产品的使用范围更广,且安全问题对用户的影响较大。
此外,新加坡已经与芬兰和德国签署了相互认可协议(MoU),以相互认可各自颁发的网络安全标签。这意味着,符合芬兰或德国网络安全标签要求的消费者物联网产品,也将被认为符合新加坡CLS的相应级别要求。
芬兰的物联网网络安全标签计划名为“Cybersecurity Label”,是由芬兰交通和通信局(Traficom)下的国家网络安全中心芬兰(NCSC-FI)发起的自愿性标签计划。
Cybersecurity Label主要针对消费者智能设备,如智能电视、智能手环和家用路由器,标签授予那些满足Traficom设定的信息安全要求的联网智能设备或服务,这些要求包括安全访问控制、默认设置、个人数据的传输和存储以及安全的生态系统接口。
Cybersecurity Label基于欧洲电信标准协会(ETSI)的EN 303 645标准,该标准为消费者物联网设备的信息安全要求提供了基线要求。
德国的物联网网络安全标签计划名为“IT-Security Label”,由德国联邦信息安全办公室(BSI)负责实施,同样基于ETSI EN 303 645标准,这是一个针对消费者物联网设备的信息安全要求的欧洲标准。
该标签计划要求产品供应商进行自我声明的形式,没有安排第三方机构进行认证,这可能会引发对安全信息真实性的担忧。不过,德国市场监管部门会在产品上市后对物联网产品制造商声明的安全特征信息进行检查,以确保标签上的信息与产品实际情况相符。如果检查发现不符,将撤销标签,并对品牌和产品形象造成损害,这在很大程度上规避了制造商造假的风险 。
2024年4月18日-19日,由中国信通院主办的2024星火生态大会在厦门成功举办。会上,“中国物联网安全标签行动计划”正式发布。
物联网安全标签行动计划是针对当前我国消费级物联网设备面临网络安全攻击的痛点问题,对符合一定网络安全认证标准的设备赋予唯一的特定安全标签,从而确保物联网设备在接入网络时是安全而提出的一套行动方案。
该行动方案包括:提出一套新型物联网安全标签体系架构、建立一套安全标签管理机制、搭建一个安全标签实验室、研发一个安全标签公共服务平台、研制一系列安全标签相关标准、打造一批物联网安全标签应用示范等在内完整的物联网安全标签认证体系。
图源:2024星火生态大会
我国作为全球最大的消费类电子产品出口国,启动物联网安全标签计划将对保障我国物联网产品出口贸易、跨境数据安全、国家网络安全等具有重大意义。
