圖源:FCC
據(jù)公開披露�����,該計劃的主要特點包括:
符合該計劃網(wǎng)絡(luò)安全標(biāo)準的無線消費者物聯(lián)網(wǎng)產(chǎn)品將展示包括“美國網(wǎng)絡(luò)安全信任標(biāo)記”(U.S. Cyber Trust Mark)在內(nèi)的標(biāo)簽���,以幫助消費者做出明智的購買決定,區(qū)分市場上值得信賴的產(chǎn)品����,并激勵制造商滿足更高的網(wǎng)絡(luò)安全標(biāo)準。
標(biāo)簽將伴有一個二維碼�����,消費者可以掃描以獲取關(guān)于產(chǎn)品安全性的易于理解的詳細信息��,例如產(chǎn)品的支援期限以及軟件補丁和安全更新是否自動進行����。
圖源:FCC
自愿性計劃將依賴于公私合作,F(xiàn)CC提供監(jiān)督��,經(jīng)批準的第三方標(biāo)簽管理員管理活動,如評估產(chǎn)品申請���、授權(quán)使用標(biāo)簽和消費者教育�����。
合規(guī)性測試將由認可的實驗室處理�。
符合條件的產(chǎn)品示例可能包括家庭安全攝像頭��、語音激活購物設(shè)備���、互聯(lián)網(wǎng)連接的電器�、健身追蹤器�、車庫門開啟器和嬰兒監(jiān)視器。
美國物聯(lián)網(wǎng)安全標(biāo)簽的建立和美國網(wǎng)絡(luò)安全信任標(biāo)記的正式激活預(yù)計將顯著提高物聯(lián)網(wǎng)設(shè)備的透明度和安全性��。隨著這些規(guī)則的生效�����,所有相關(guān)方必須熟悉新要求并確保遵守�。FCC通過該計劃對網(wǎng)絡(luò)安全的承諾標(biāo)志著向確保物聯(lián)網(wǎng)設(shè)備免受日益增長的網(wǎng)絡(luò)威脅邁出了關(guān)鍵一步。美國物聯(lián)網(wǎng)安全標(biāo)簽計劃落地���,有什么影響��?業(yè)界認為�����,針對美國物聯(lián)網(wǎng)安全標(biāo)簽計劃����,需重點關(guān)注無線、互聯(lián)網(wǎng)連接的消費者物聯(lián)網(wǎng)產(chǎn)品��,包括物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)所需的其他組件�,如網(wǎng)絡(luò)/網(wǎng)關(guān)硬件����、包括應(yīng)用軟件和后端。值得注意的是����,F(xiàn)CC可能會在未來擴大物聯(lián)網(wǎng)產(chǎn)品的種類和范圍。
此外�����,F(xiàn)CC還提出了有關(guān)物聯(lián)網(wǎng)標(biāo)簽計劃的“國家安全聲明”規(guī)則,對涉及國家安全的設(shè)備提出了特別要求��。如設(shè)備中的硬件��、軟件或數(shù)據(jù)與某些高風(fēng)險國家(如中國����、古巴、伊朗��、朝鮮��、俄羅斯以及委內(nèi)瑞拉)相關(guān)�,制造商需要進行披露,并確保其產(chǎn)品不含有任何來自這些國家的隱藏漏洞����,產(chǎn)品收集的數(shù)據(jù)不會存儲在這些國家,也不會被這些國家的服務(wù)器遠程控制���。
這一規(guī)則的提出��,將有可能對出海企業(yè)造成一定影響���,尤其是向美國出口設(shè)備的企業(yè)���。要求制造商更加注重產(chǎn)品的網(wǎng)絡(luò)安全設(shè)計,將這一計劃要求提前納入產(chǎn)品安全設(shè)計��,如特別關(guān)注NIST的標(biāo)準內(nèi)容�����。
而消費者在購買決策時也將更加重視產(chǎn)品的安全性能��。隨著物聯(lián)網(wǎng)設(shè)備的普及和網(wǎng)絡(luò)威脅的增加�����,這項法規(guī)被視為加強消費者隱私保護和提升設(shè)備安全性的重要里程碑��。
盡管美國白宮和FCC明確�,各制造商和零售商可自愿選擇加入美國網(wǎng)絡(luò)安全標(biāo)簽計劃�,但在這一計劃發(fā)布的同時,與家庭物聯(lián)網(wǎng)相關(guān)的頭部廠商基本上已宣布支持��。
據(jù)美國白宮新聞稿披露��,發(fā)布會當(dāng)天參與的機構(gòu)包括亞馬遜、百思買����、卡內(nèi)基梅隆大學(xué)、CyLab���、思科����、CSA��、美國消費者報告機構(gòu)�����、美國消費者技術(shù)協(xié)會����、谷歌、英飛凌��、美國信息技術(shù)產(chǎn)業(yè)委員會���、IoXT�����、是德科技��、LG電子美國公司�、羅技、OpenPolicy���、Qorvo���、高通、三星電子��、UL��、耶魯大學(xué)和August U.S.���,涵蓋了消費物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈各個環(huán)節(jié)�,既有制造商�、零售平臺����,還有監(jiān)測認證機構(gòu)、聯(lián)盟組織和高校��,有望將該計劃推向市場廣為接受的“準強制性”要求���。
國際上�,美國政府將支持FCC與盟友和合作伙伴一起協(xié)調(diào)標(biāo)準��,并尋求對類似標(biāo)簽工作的相互認可����。例如,美國提出已和歐盟推動統(tǒng)一標(biāo)準的合作����,并開始接觸新加坡的網(wǎng)絡(luò)安全標(biāo)簽計劃。
2024年1月��,美國負責(zé)網(wǎng)絡(luò)和新興技術(shù)的副國家安全顧問Anne Neuberger宣布���,美國已與歐盟簽署了一項“關(guān)于消費者標(biāo)簽計劃聯(lián)合路線圖”的合作協(xié)議���,推動消費物聯(lián)網(wǎng)設(shè)備安全標(biāo)簽計劃的國際互認,開啟了物聯(lián)網(wǎng)安全標(biāo)簽計劃在全球更大范圍的應(yīng)用和認可��。
其他國家的網(wǎng)絡(luò)安全標(biāo)簽計劃據(jù)Statista預(yù)測,到2030年�����,全球運營的物聯(lián)網(wǎng)設(shè)備將超過290億臺��,這使得智能設(shè)備安全性問題受到各國政府關(guān)注�����。除了美國�,歐盟、英國�、新加坡、德國等地都出臺了針對物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)簽計劃�。
歐盟《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,簡稱CRA)適用于所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品����,包括硬件、設(shè)備、軟件、應(yīng)用程序等����。CRA的關(guān)鍵要求包括:
制造商必須確保其產(chǎn)品從設(shè)計到淘汰的整個生命周期內(nèi)都符合網(wǎng)絡(luò)安全要求��。
產(chǎn)品必須能夠接收安全更新��,并在最長5年或產(chǎn)品生命周期內(nèi)(以較短者為準)有效處理漏洞���。
制造商需要提供清晰的產(chǎn)品信息和說明�����,以確保用戶可以安全地安裝���、操作和使用產(chǎn)品���。
制造商有義務(wù)在發(fā)現(xiàn)產(chǎn)品中存在被積極利用的漏洞或任何影響產(chǎn)品安全性的事件后24小時內(nèi),向歐盟網(wǎng)絡(luò)安全機構(gòu)(ENISA)報告�。
CRA還規(guī)定了對不同風(fēng)險級別的產(chǎn)品進行分類�����,重要和關(guān)鍵產(chǎn)品將被列入不同的清單中����,由歐盟委員會提出和更新��。這些清單將幫助確定哪些產(chǎn)品需要更嚴格的合格評定程序�。
違反CRA規(guī)定的處罰可能非常嚴厲,包括高額罰款�。例如,違反網(wǎng)絡(luò)安全要求和制造商義務(wù)的行為可能會被處以最高1500萬歐元或上一財政年度全球年營業(yè)額的2.5%的罰款���,以較高者為準��。
CRA預(yù)計將在2024年下半年生效�����,制造商需要在2027年前確保其產(chǎn)品符合規(guī)定并進入歐盟市場�����。
此外����,歐盟今年2月份推出的《歐盟共同標(biāo)準網(wǎng)絡(luò)安全認證方案》標(biāo)志著網(wǎng)絡(luò)安全能力已經(jīng)成為歐盟所有數(shù)字產(chǎn)品的關(guān)鍵產(chǎn)品力和“市場通行證”��。
英國的《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》(Product Security and Telecommunications Infrastructure Act����,簡稱PSTI)于2022年12月獲得皇家批準�,并于2024年4月29日起正式生效執(zhí)行����,關(guān)鍵要求包括:
違反PSTI法案規(guī)定的企業(yè)可能會面臨重大處罰�,包括高達1000萬英鎊或其全球營業(yè)額的4%作為罰款�����,對于持續(xù)違規(guī)的公司還將額外處以每日20,000英鎊的罰款����。
該法案適用于所有向英國消費者提供物聯(lián)網(wǎng)產(chǎn)品的制造商、進口商和分銷商���,要求他們確保產(chǎn)品符合新的網(wǎng)絡(luò)安全標(biāo)準。這包括智能家居/語音助手、智能手機、網(wǎng)絡(luò)攝像頭��、可穿戴設(shè)備���、物聯(lián)網(wǎng)基站和集線器、居家自動化設(shè)備����、智能門鈴和報警系統(tǒng)等。
新加坡推出的物聯(lián)網(wǎng)安全標(biāo)簽計劃名為“Cybersecurity Labelling Scheme (CLS)”���,由新加坡網(wǎng)絡(luò)安全局(Cyber Security Agency of Singapore, CSA)發(fā)起�����,是亞太地區(qū)首個針對智能家居設(shè)備的網(wǎng)絡(luò)安全標(biāo)準計劃�����。
該計劃包括四個不同的安全級別�����,用星號數(shù)量來區(qū)分:
Tier 1 – 基礎(chǔ)安全要求�,開發(fā)商可以通過符合性聲明來展示���。
Tier 2 – 除了Tier 1的要求外��,還包括產(chǎn)品生命周期的安全要求���,同樣可以通過開發(fā)商的符合性聲明來展示。
Tier 3 – 除了滿足Tier 1和Tier 2的要求外���,開發(fā)商必須通過CLS認可的第三方實驗室(如UL)對產(chǎn)品進行軟件二進制分析��,以檢查已知漏洞和常見軟件弱點�。
Tier 4 – 要達到最高級別��,產(chǎn)品必須經(jīng)過CLS認可的第三方實驗室的徹底安全評估���,實驗室將驗證產(chǎn)品符合ETSI EN 303 645要求��,并進行額外的(強制性的)滲透測試活動����。
圖源:CSA
CLS標(biāo)簽的有效性與設(shè)備的安全更新支持時間相關(guān),最長可達3年���。該計劃最初覆蓋了Wi-Fi路由器和智能家居中心����,因為這些產(chǎn)品的使用范圍更廣�����,且安全問題對用戶的影響較大�。
此外,新加坡已經(jīng)與芬蘭和德國簽署了相互認可協(xié)議(MoU)�����,以相互認可各自頒發(fā)的網(wǎng)絡(luò)安全標(biāo)簽��。這意味著���,符合芬蘭或德國網(wǎng)絡(luò)安全標(biāo)簽要求的消費者物聯(lián)網(wǎng)產(chǎn)品���,也將被認為符合新加坡CLS的相應(yīng)級別要求�。
芬蘭的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)簽計劃名為“Cybersecurity Label”���,是由芬蘭交通和通信局(Traficom)下的國家網(wǎng)絡(luò)安全中心芬蘭(NCSC-FI)發(fā)起的自愿性標(biāo)簽計劃�。
Cybersecurity Label主要針對消費者智能設(shè)備�����,如智能電視�、智能手環(huán)和家用路由器�����,標(biāo)簽授予那些滿足Traficom設(shè)定的信息安全要求的聯(lián)網(wǎng)智能設(shè)備或服務(wù)���,這些要求包括安全訪問控制���、默認設(shè)置、個人數(shù)據(jù)的傳輸和存儲以及安全的生態(tài)系統(tǒng)接口����。
Cybersecurity Label基于歐洲電信標(biāo)準協(xié)會(ETSI)的EN 303 645標(biāo)準��,該標(biāo)準為消費者物聯(lián)網(wǎng)設(shè)備的信息安全要求提供了基線要求�。
德國的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)簽計劃名為“IT-Security Label”����,由德國聯(lián)邦信息安全辦公室(BSI)負責(zé)實施,同樣基于ETSI EN 303 645標(biāo)準��,這是一個針對消費者物聯(lián)網(wǎng)設(shè)備的信息安全要求的歐洲標(biāo)準���。
該標(biāo)簽計劃要求產(chǎn)品供應(yīng)商進行自我聲明的形式�,沒有安排第三方機構(gòu)進行認證����,這可能會引發(fā)對安全信息真實性的擔(dān)憂。不過��,德國市場監(jiān)管部門會在產(chǎn)品上市后對物聯(lián)網(wǎng)產(chǎn)品制造商聲明的安全特征信息進行檢查�,以確保標(biāo)簽上的信息與產(chǎn)品實際情況相符。如果檢查發(fā)現(xiàn)不符�,將撤銷標(biāo)簽,并對品牌和產(chǎn)品形象造成損害����,這在很大程度上規(guī)避了制造商造假的風(fēng)險 ���。
中國物聯(lián)網(wǎng)安全標(biāo)簽行動計劃正式發(fā)布2024年4月18日-19日,由中國信通院主辦的2024星火生態(tài)大會在廈門成功舉辦�。會上,“中國物聯(lián)網(wǎng)安全標(biāo)簽行動計劃”正式發(fā)布��。
物聯(lián)網(wǎng)安全標(biāo)簽行動計劃是針對當(dāng)前我國消費級物聯(lián)網(wǎng)設(shè)備面臨網(wǎng)絡(luò)安全攻擊的痛點問題�����,對符合一定網(wǎng)絡(luò)安全認證標(biāo)準的設(shè)備賦予唯一的特定安全標(biāo)簽�,從而確保物聯(lián)網(wǎng)設(shè)備在接入網(wǎng)絡(luò)時是安全而提出的一套行動方案���。
該行動方案包括:提出一套新型物聯(lián)網(wǎng)安全標(biāo)簽體系架構(gòu)�、建立一套安全標(biāo)簽管理機制�、搭建一個安全標(biāo)簽實驗室、研發(fā)一個安全標(biāo)簽公共服務(wù)平臺����、研制一系列安全標(biāo)簽相關(guān)標(biāo)準、打造一批物聯(lián)網(wǎng)安全標(biāo)簽應(yīng)用示范等在內(nèi)完整的物聯(lián)網(wǎng)安全標(biāo)簽認證體系�����。
圖源:2024星火生態(tài)大會
我國作為全球最大的消費類電子產(chǎn)品出口國,啟動物聯(lián)網(wǎng)安全標(biāo)簽計劃將對保障我國物聯(lián)網(wǎng)產(chǎn)品出口貿(mào)易��、跨境數(shù)據(jù)安全���、國家網(wǎng)絡(luò)安全等具有重大意義����。
