9月9日�,美國物聯網安全標簽計劃正式生效。該法規(guī)旨在提升消費級物聯網設備的隱私安全性����,提升消費者對物聯網設備安全的信心,并為消費者提供更透明的產品安全信息�。此前,FCC在2024年3月15日發(fā)布了《物聯網網絡安全標簽報告和命令》(Order)����,確立了消費者物聯網標簽計劃的框架�。
![]()
圖源:FCC
據公開披露,該計劃的主要特點包括:
符合該計劃網絡安全標準的無線消費者物聯網產品將展示包括“美國網絡安全信任標記”(U.S. Cyber Trust Mark)在內的標簽�,以幫助消費者做出明智的購買決定,區(qū)分市場上值得信賴的產品�,并激勵制造商滿足更高的網絡安全標準。
標簽將伴有一個二維碼���,消費者可以掃描以獲取關于產品安全性的易于理解的詳細信息��,例如產品的支援期限以及軟件補丁和安全更新是否自動進行���。![]()
圖源:FCC
自愿性計劃將依賴于公私合作,FCC提供監(jiān)督�����,經批準的第三方標簽管理員管理活動,如評估產品申請����、授權使用標簽和消費者教育。
合規(guī)性測試將由認可的實驗室處理����。
符合條件的產品示例可能包括家庭安全攝像頭、語音激活購物設備����、互聯網連接的電器、健身追蹤器�����、車庫門開啟器和嬰兒監(jiān)視器�。
美國物聯網安全標簽的建立和美國網絡安全信任標記的正式激活預計將顯著提高物聯網設備的透明度和安全性。隨著這些規(guī)則的生效�,所有相關方必須熟悉新要求并確保遵守。FCC通過該計劃對網絡安全的承諾標志著向確保物聯網設備免受日益增長的網絡威脅邁出了關鍵一步����。
美國物聯網安全標簽計劃落地��,有什么影響���?
業(yè)界認為,針對美國物聯網安全標簽計劃�����,需重點關注無線�����、互聯網連接的消費者物聯網產品�����,包括物聯網設備和網絡所需的其他組件����,如網絡/網關硬件��、包括應用軟件和后端���。值得注意的是���,FCC可能會在未來擴大物聯網產品的種類和范圍��。
此外�����,FCC還提出了有關物聯網標簽計劃的“國家安全聲明”規(guī)則���,對涉及國家安全的設備提出了特別要求。如設備中的硬件���、軟件或數據與某些高風險國家(如中國�、古巴����、伊朗、朝鮮���、俄羅斯以及委內瑞拉)相關����,制造商需要進行披露,并確保其產品不含有任何來自這些國家的隱藏漏洞�����,產品收集的數據不會存儲在這些國家����,也不會被這些國家的服務器遠程控制。
這一規(guī)則的提出���,將有可能對出海企業(yè)造成一定影響�,尤其是向美國出口設備的企業(yè)���。要求制造商更加注重產品的網絡安全設計����,將這一計劃要求提前納入產品安全設計����,如特別關注NIST的標準內容��。
而消費者在購買決策時也將更加重視產品的安全性能�。隨著物聯網設備的普及和網絡威脅的增加,這項法規(guī)被視為加強消費者隱私保護和提升設備安全性的重要里程碑。
主導廠商已表示支持
盡管美國白宮和FCC明確����,各制造商和零售商可自愿選擇加入美國網絡安全標簽計劃,但在這一計劃發(fā)布的同時����,與家庭物聯網相關的頭部廠商基本上已宣布支持。
據美國白宮新聞稿披露��,發(fā)布會當天參與的機構包括亞馬遜�����、百思買�����、卡內基梅隆大學���、CyLab��、思科����、CSA、美國消費者報告機構���、美國消費者技術協會��、谷歌�、英飛凌�����、美國信息技術產業(yè)委員會�、IoXT、是德科技���、LG電子美國公司�、羅技�����、OpenPolicy�、Qorvo、高通����、三星電子、UL����、耶魯大學和August U.S.,涵蓋了消費物聯網全產業(yè)鏈各個環(huán)節(jié)��,既有制造商����、零售平臺,還有監(jiān)測認證機構���、聯盟組織和高校���,有望將該計劃推向市場廣為接受的“準強制性”要求。
國際上�����,美國政府將支持FCC與盟友和合作伙伴一起協調標準�,并尋求對類似標簽工作的相互認可。例如�����,美國提出已和歐盟推動統一標準的合作,并開始接觸新加坡的網絡安全標簽計劃��。
2024年1月�����,美國負責網絡和新興技術的副國家安全顧問Anne Neuberger宣布���,美國已與歐盟簽署了一項“關于消費者標簽計劃聯合路線圖”的合作協議��,推動消費物聯網設備安全標簽計劃的國際互認�����,開啟了物聯網安全標簽計劃在全球更大范圍的應用和認可�。
其他國家的網絡安全標簽計劃
據Statista預測�����,到2030年����,全球運營的物聯網設備將超過290億臺,這使得智能設備安全性問題受到各國政府關注����。除了美國���,歐盟���、英國��、新加坡�、德國等地都出臺了針對物聯網產品的網絡安全標簽計劃��。
歐盟
歐盟《網絡彈性法案》(Cyber Resilience Act��,簡稱CRA)適用于所有直接或間接連接到另一設備或網絡的數字產品���,包括硬件��、設備�、軟件��、應用程序等����。CRA的關鍵要求包括:
制造商必須確保其產品從設計到淘汰的整個生命周期內都符合網絡安全要求��。
產品必須能夠接收安全更新��,并在最長5年或產品生命周期內(以較短者為準)有效處理漏洞�。
制造商需要提供清晰的產品信息和說明���,以確保用戶可以安全地安裝���、操作和使用產品。
制造商有義務在發(fā)現產品中存在被積極利用的漏洞或任何影響產品安全性的事件后24小時內��,向歐盟網絡安全機構(ENISA)報告����。
CRA還規(guī)定了對不同風險級別的產品進行分類,重要和關鍵產品將被列入不同的清單中����,由歐盟委員會提出和更新。這些清單將幫助確定哪些產品需要更嚴格的合格評定程序�。
違反CRA規(guī)定的處罰可能非常嚴厲,包括高額罰款�。例如,違反網絡安全要求和制造商義務的行為可能會被處以最高1500萬歐元或上一財政年度全球年營業(yè)額的2.5%的罰款����,以較高者為準����。
CRA預計將在2024年下半年生效��,制造商需要在2027年前確保其產品符合規(guī)定并進入歐盟市場����。
此外��,歐盟今年2月份推出的《歐盟共同標準網絡安全認證方案》標志著網絡安全能力已經成為歐盟所有數字產品的關鍵產品力和“市場通行證”��。
英國
英國的《產品安全和電信基礎設施法案》(Product Security and Telecommunications Infrastructure Act����,簡稱PSTI)于2022年12月獲得皇家批準,并于2024年4月29日起正式生效執(zhí)行���,關鍵要求包括:
禁止使用通用默認密碼����。
要求制造商設立一個公開的聯絡點����,方便消費者報告安全漏洞�����。
制造商必須向消費者明確說明安全更新的最短時限���。
違反PSTI法案規(guī)定的企業(yè)可能會面臨重大處罰,包括高達1000萬英鎊或其全球營業(yè)額的4%作為罰款�,對于持續(xù)違規(guī)的公司還將額外處以每日20,000英鎊的罰款。
該法案適用于所有向英國消費者提供物聯網產品的制造商��、進口商和分銷商�����,要求他們確保產品符合新的網絡安全標準�����。這包括智能家居/語音助手�、智能手機、網絡攝像頭�、可穿戴設備、物聯網基站和集線器、居家自動化設備����、智能門鈴和報警系統等。
新加坡
新加坡推出的物聯網安全標簽計劃名為“Cybersecurity Labelling Scheme (CLS)”���,由新加坡網絡安全局(Cyber Security Agency of Singapore, CSA)發(fā)起��,是亞太地區(qū)首個針對智能家居設備的網絡安全標準計劃���。
該計劃包括四個不同的安全級別���,用星號數量來區(qū)分:
Tier 1 – 基礎安全要求�,開發(fā)商可以通過符合性聲明來展示���。
Tier 2 – 除了Tier 1的要求外��,還包括產品生命周期的安全要求�,同樣可以通過開發(fā)商的符合性聲明來展示�。
Tier 3 – 除了滿足Tier 1和Tier 2的要求外,開發(fā)商必須通過CLS認可的第三方實驗室(如UL)對產品進行軟件二進制分析����,以檢查已知漏洞和常見軟件弱點��。
Tier 4 – 要達到最高級別��,產品必須經過CLS認可的第三方實驗室的徹底安全評估�����,實驗室將驗證產品符合ETSI EN 303 645要求����,并進行額外的(強制性的)滲透測試活動��。
![]()
圖源:CSA
CLS標簽的有效性與設備的安全更新支持時間相關�����,最長可達3年�����。該計劃最初覆蓋了Wi-Fi路由器和智能家居中心����,因為這些產品的使用范圍更廣���,且安全問題對用戶的影響較大。
此外����,新加坡已經與芬蘭和德國簽署了相互認可協議(MoU),以相互認可各自頒發(fā)的網絡安全標簽�����。這意味著���,符合芬蘭或德國網絡安全標簽要求的消費者物聯網產品����,也將被認為符合新加坡CLS的相應級別要求�。
芬蘭
芬蘭的物聯網網絡安全標簽計劃名為“Cybersecurity Label”���,是由芬蘭交通和通信局(Traficom)下的國家網絡安全中心芬蘭(NCSC-FI)發(fā)起的自愿性標簽計劃�。
Cybersecurity Label主要針對消費者智能設備��,如智能電視���、智能手環(huán)和家用路由器��,標簽授予那些滿足Traficom設定的信息安全要求的聯網智能設備或服務�����,這些要求包括安全訪問控制�����、默認設置��、個人數據的傳輸和存儲以及安全的生態(tài)系統接口�����。
Cybersecurity Label基于歐洲電信標準協會(ETSI)的EN 303 645標準����,該標準為消費者物聯網設備的信息安全要求提供了基線要求。
德國
德國的物聯網網絡安全標簽計劃名為“IT-Security Label”���,由德國聯邦信息安全辦公室(BSI)負責實施�����,同樣基于ETSI EN 303 645標準���,這是一個針對消費者物聯網設備的信息安全要求的歐洲標準���。
該標簽計劃要求產品供應商進行自我聲明的形式,沒有安排第三方機構進行認證�,這可能會引發(fā)對安全信息真實性的擔憂。不過�,德國市場監(jiān)管部門會在產品上市后對物聯網產品制造商聲明的安全特征信息進行檢查,以確保標簽上的信息與產品實際情況相符�。如果檢查發(fā)現不符,將撤銷標簽�,并對品牌和產品形象造成損害,這在很大程度上規(guī)避了制造商造假的風險 �����。
中國物聯網安全標簽行動計劃正式發(fā)布
2024年4月18日-19日��,由中國信通院主辦的2024星火生態(tài)大會在廈門成功舉辦�。會上�����,“中國物聯網安全標簽行動計劃”正式發(fā)布。
物聯網安全標簽行動計劃是針對當前我國消費級物聯網設備面臨網絡安全攻擊的痛點問題����,對符合一定網絡安全認證標準的設備賦予唯一的特定安全標簽,從而確保物聯網設備在接入網絡時是安全而提出的一套行動方案����。
該行動方案包括:提出一套新型物聯網安全標簽體系架構、建立一套安全標簽管理機制��、搭建一個安全標簽實驗室����、研發(fā)一個安全標簽公共服務平臺、研制一系列安全標簽相關標準�、打造一批物聯網安全標簽應用示范等在內完整的物聯網安全標簽認證體系。
圖源:2024星火生態(tài)大會
我國作為全球最大的消費類電子產品出口國����,啟動物聯網安全標簽計劃將對保障我國物聯網產品出口貿易、跨境數據安全�����、國家網絡安全等具有重大意義��。
