9月9日��,美國(guó)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃正式生效�����。該法規(guī)旨在提升消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備的隱私安全性���,提升消費(fèi)者對(duì)物聯(lián)網(wǎng)設(shè)備安全的信心,并為消費(fèi)者提供更透明的產(chǎn)品安全信息。此前���,F(xiàn)CC在2024年3月15日發(fā)布了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)簽報(bào)告和命令》(Order)����,確立了消費(fèi)者物聯(lián)網(wǎng)標(biāo)簽計(jì)劃的框架��。
![]()
圖源:FCC
據(jù)公開(kāi)披露���,該計(jì)劃的主要特點(diǎn)包括:
符合該計(jì)劃網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的無(wú)線(xiàn)消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品將展示包括“美國(guó)網(wǎng)絡(luò)安全信任標(biāo)記”(U.S. Cyber Trust Mark)在內(nèi)的標(biāo)簽�,以幫助消費(fèi)者做出明智的購(gòu)買(mǎi)決定��,區(qū)分市場(chǎng)上值得信賴(lài)的產(chǎn)品��,并激勵(lì)制造商滿(mǎn)足更高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����。
標(biāo)簽將伴有一個(gè)二維碼,消費(fèi)者可以?huà)呙枰垣@取關(guān)于產(chǎn)品安全性的易于理解的詳細(xì)信息���,例如產(chǎn)品的支援期限以及軟件補(bǔ)丁和安全更新是否自動(dòng)進(jìn)行��。![]()
圖源:FCC
自愿性計(jì)劃將依賴(lài)于公私合作�,F(xiàn)CC提供監(jiān)督,經(jīng)批準(zhǔn)的第三方標(biāo)簽管理員管理活動(dòng)��,如評(píng)估產(chǎn)品申請(qǐng)�����、授權(quán)使用標(biāo)簽和消費(fèi)者教育��。
合規(guī)性測(cè)試將由認(rèn)可的實(shí)驗(yàn)室處理���。
符合條件的產(chǎn)品示例可能包括家庭安全攝像頭�、語(yǔ)音激活購(gòu)物設(shè)備���、互聯(lián)網(wǎng)連接的電器、健身追蹤器���、車(chē)庫(kù)門(mén)開(kāi)啟器和嬰兒監(jiān)視器��。
美國(guó)物聯(lián)網(wǎng)安全標(biāo)簽的建立和美國(guó)網(wǎng)絡(luò)安全信任標(biāo)記的正式激活預(yù)計(jì)將顯著提高物聯(lián)網(wǎng)設(shè)備的透明度和安全性���。隨著這些規(guī)則的生效,所有相關(guān)方必須熟悉新要求并確保遵守���。FCC通過(guò)該計(jì)劃對(duì)網(wǎng)絡(luò)安全的承諾標(biāo)志著向確保物聯(lián)網(wǎng)設(shè)備免受日益增長(zhǎng)的網(wǎng)絡(luò)威脅邁出了關(guān)鍵一步�����。
美國(guó)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃落地�,有什么影響?
業(yè)界認(rèn)為��,針對(duì)美國(guó)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃�����,需重點(diǎn)關(guān)注無(wú)線(xiàn)�、互聯(lián)網(wǎng)連接的消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品,包括物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)所需的其他組件�,如網(wǎng)絡(luò)/網(wǎng)關(guān)硬件、包括應(yīng)用軟件和后端���。值得注意的是����,F(xiàn)CC可能會(huì)在未來(lái)擴(kuò)大物聯(lián)網(wǎng)產(chǎn)品的種類(lèi)和范圍���。
此外�����,F(xiàn)CC還提出了有關(guān)物聯(lián)網(wǎng)標(biāo)簽計(jì)劃的“國(guó)家安全聲明”規(guī)則���,對(duì)涉及國(guó)家安全的設(shè)備提出了特別要求��。如設(shè)備中的硬件���、軟件或數(shù)據(jù)與某些高風(fēng)險(xiǎn)國(guó)家(如中國(guó)、古巴�����、伊朗��、朝鮮����、俄羅斯以及委內(nèi)瑞拉)相關(guān)����,制造商需要進(jìn)行披露,并確保其產(chǎn)品不含有任何來(lái)自這些國(guó)家的隱藏漏洞���,產(chǎn)品收集的數(shù)據(jù)不會(huì)存儲(chǔ)在這些國(guó)家����,也不會(huì)被這些國(guó)家的服務(wù)器遠(yuǎn)程控制。
這一規(guī)則的提出����,將有可能對(duì)出海企業(yè)造成一定影響,尤其是向美國(guó)出口設(shè)備的企業(yè)����。要求制造商更加注重產(chǎn)品的網(wǎng)絡(luò)安全設(shè)計(jì),將這一計(jì)劃要求提前納入產(chǎn)品安全設(shè)計(jì)���,如特別關(guān)注NIST的標(biāo)準(zhǔn)內(nèi)容��。
而消費(fèi)者在購(gòu)買(mǎi)決策時(shí)也將更加重視產(chǎn)品的安全性能�。隨著物聯(lián)網(wǎng)設(shè)備的普及和網(wǎng)絡(luò)威脅的增加���,這項(xiàng)法規(guī)被視為加強(qiáng)消費(fèi)者隱私保護(hù)和提升設(shè)備安全性的重要里程碑�。
主導(dǎo)廠(chǎng)商已表示支持
盡管美國(guó)白宮和FCC明確�����,各制造商和零售商可自愿選擇加入美國(guó)網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃,但在這一計(jì)劃發(fā)布的同時(shí)��,與家庭物聯(lián)網(wǎng)相關(guān)的頭部廠(chǎng)商基本上已宣布支持���。
據(jù)美國(guó)白宮新聞稿披露�����,發(fā)布會(huì)當(dāng)天參與的機(jī)構(gòu)包括亞馬遜�����、百思買(mǎi)���、卡內(nèi)基梅隆大學(xué)、CyLab��、思科�、CSA、美國(guó)消費(fèi)者報(bào)告機(jī)構(gòu)���、美國(guó)消費(fèi)者技術(shù)協(xié)會(huì)、谷歌���、英飛凌�、美國(guó)信息技術(shù)產(chǎn)業(yè)委員會(huì)、IoXT�、是德科技、LG電子美國(guó)公司���、羅技�、OpenPolicy�����、Qorvo��、高通���、三星電子��、UL����、耶魯大學(xué)和August U.S.�����,涵蓋了消費(fèi)物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié),既有制造商��、零售平臺(tái)����,還有監(jiān)測(cè)認(rèn)證機(jī)構(gòu)、聯(lián)盟組織和高校���,有望將該計(jì)劃推向市場(chǎng)廣為接受的“準(zhǔn)強(qiáng)制性”要求�����。
國(guó)際上��,美國(guó)政府將支持FCC與盟友和合作伙伴一起協(xié)調(diào)標(biāo)準(zhǔn)��,并尋求對(duì)類(lèi)似標(biāo)簽工作的相互認(rèn)可����。例如�����,美國(guó)提出已和歐盟推動(dòng)統(tǒng)一標(biāo)準(zhǔn)的合作,并開(kāi)始接觸新加坡的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃�����。
2024年1月�,美國(guó)負(fù)責(zé)網(wǎng)絡(luò)和新興技術(shù)的副國(guó)家安全顧問(wèn)Anne Neuberger宣布���,美國(guó)已與歐盟簽署了一項(xiàng)“關(guān)于消費(fèi)者標(biāo)簽計(jì)劃聯(lián)合路線(xiàn)圖”的合作協(xié)議����,推動(dòng)消費(fèi)物聯(lián)網(wǎng)設(shè)備安全標(biāo)簽計(jì)劃的國(guó)際互認(rèn)����,開(kāi)啟了物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃在全球更大范圍的應(yīng)用和認(rèn)可。
其他國(guó)家的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃
據(jù)Statista預(yù)測(cè)��,到2030年��,全球運(yùn)營(yíng)的物聯(lián)網(wǎng)設(shè)備將超過(guò)290億臺(tái)�����,這使得智能設(shè)備安全性問(wèn)題受到各國(guó)政府關(guān)注���。除了美國(guó)����,歐盟、英國(guó)��、新加坡�、德國(guó)等地都出臺(tái)了針對(duì)物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃。
歐盟
歐盟《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act��,簡(jiǎn)稱(chēng)CRA)適用于所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品��,包括硬件�、設(shè)備、軟件���、應(yīng)用程序等���。CRA的關(guān)鍵要求包括:
制造商必須確保其產(chǎn)品從設(shè)計(jì)到淘汰的整個(gè)生命周期內(nèi)都符合網(wǎng)絡(luò)安全要求。
產(chǎn)品必須能夠接收安全更新�����,并在最長(zhǎng)5年或產(chǎn)品生命周期內(nèi)(以較短者為準(zhǔn))有效處理漏洞�。
制造商需要提供清晰的產(chǎn)品信息和說(shuō)明�����,以確保用戶(hù)可以安全地安裝�����、操作和使用產(chǎn)品。
制造商有義務(wù)在發(fā)現(xiàn)產(chǎn)品中存在被積極利用的漏洞或任何影響產(chǎn)品安全性的事件后24小時(shí)內(nèi)���,向歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)(ENISA)報(bào)告��。
CRA還規(guī)定了對(duì)不同風(fēng)險(xiǎn)級(jí)別的產(chǎn)品進(jìn)行分類(lèi)��,重要和關(guān)鍵產(chǎn)品將被列入不同的清單中���,由歐盟委員會(huì)提出和更新。這些清單將幫助確定哪些產(chǎn)品需要更嚴(yán)格的合格評(píng)定程序��。
違反CRA規(guī)定的處罰可能非常嚴(yán)厲����,包括高額罰款。例如����,違反網(wǎng)絡(luò)安全要求和制造商義務(wù)的行為可能會(huì)被處以最高1500萬(wàn)歐元或上一財(cái)政年度全球年?duì)I業(yè)額的2.5%的罰款����,以較高者為準(zhǔn)��。
CRA預(yù)計(jì)將在2024年下半年生效�,制造商需要在2027年前確保其產(chǎn)品符合規(guī)定并進(jìn)入歐盟市場(chǎng)。
此外���,歐盟今年2月份推出的《歐盟共同標(biāo)準(zhǔn)網(wǎng)絡(luò)安全認(rèn)證方案》標(biāo)志著網(wǎng)絡(luò)安全能力已經(jīng)成為歐盟所有數(shù)字產(chǎn)品的關(guān)鍵產(chǎn)品力和“市場(chǎng)通行證”����。
英國(guó)
英國(guó)的《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》(Product Security and Telecommunications Infrastructure Act����,簡(jiǎn)稱(chēng)PSTI)于2022年12月獲得皇家批準(zhǔn),并于2024年4月29日起正式生效執(zhí)行�,關(guān)鍵要求包括:
禁止使用通用默認(rèn)密碼。
要求制造商設(shè)立一個(gè)公開(kāi)的聯(lián)絡(luò)點(diǎn)�,方便消費(fèi)者報(bào)告安全漏洞。
制造商必須向消費(fèi)者明確說(shuō)明安全更新的最短時(shí)限。
違反PSTI法案規(guī)定的企業(yè)可能會(huì)面臨重大處罰��,包括高達(dá)1000萬(wàn)英鎊或其全球營(yíng)業(yè)額的4%作為罰款����,對(duì)于持續(xù)違規(guī)的公司還將額外處以每日20,000英鎊的罰款。
該法案適用于所有向英國(guó)消費(fèi)者提供物聯(lián)網(wǎng)產(chǎn)品的制造商�、進(jìn)口商和分銷(xiāo)商,要求他們確保產(chǎn)品符合新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�。這包括智能家居/語(yǔ)音助手、智能手機(jī)�����、網(wǎng)絡(luò)攝像頭�、可穿戴設(shè)備����、物聯(lián)網(wǎng)基站和集線(xiàn)器、居家自動(dòng)化設(shè)備����、智能門(mén)鈴和報(bào)警系統(tǒng)等。
新加坡
新加坡推出的物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃名為“Cybersecurity Labelling Scheme (CLS)”�,由新加坡網(wǎng)絡(luò)安全局(Cyber Security Agency of Singapore, CSA)發(fā)起,是亞太地區(qū)首個(gè)針對(duì)智能家居設(shè)備的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)計(jì)劃���。
該計(jì)劃包括四個(gè)不同的安全級(jí)別�����,用星號(hào)數(shù)量來(lái)區(qū)分:
Tier 1 – 基礎(chǔ)安全要求���,開(kāi)發(fā)商可以通過(guò)符合性聲明來(lái)展示���。
Tier 2 – 除了Tier 1的要求外,還包括產(chǎn)品生命周期的安全要求��,同樣可以通過(guò)開(kāi)發(fā)商的符合性聲明來(lái)展示�。
Tier 3 – 除了滿(mǎn)足Tier 1和Tier 2的要求外,開(kāi)發(fā)商必須通過(guò)CLS認(rèn)可的第三方實(shí)驗(yàn)室(如UL)對(duì)產(chǎn)品進(jìn)行軟件二進(jìn)制分析����,以檢查已知漏洞和常見(jiàn)軟件弱點(diǎn)。
Tier 4 – 要達(dá)到最高級(jí)別�,產(chǎn)品必須經(jīng)過(guò)CLS認(rèn)可的第三方實(shí)驗(yàn)室的徹底安全評(píng)估,實(shí)驗(yàn)室將驗(yàn)證產(chǎn)品符合ETSI EN 303 645要求�����,并進(jìn)行額外的(強(qiáng)制性的)滲透測(cè)試活動(dòng)�。
![]()
圖源:CSA
CLS標(biāo)簽的有效性與設(shè)備的安全更新支持時(shí)間相關(guān)�����,最長(zhǎng)可達(dá)3年�����。該計(jì)劃最初覆蓋了Wi-Fi路由器和智能家居中心��,因?yàn)檫@些產(chǎn)品的使用范圍更廣�����,且安全問(wèn)題對(duì)用戶(hù)的影響較大��。
此外��,新加坡已經(jīng)與芬蘭和德國(guó)簽署了相互認(rèn)可協(xié)議(MoU)���,以相互認(rèn)可各自頒發(fā)的網(wǎng)絡(luò)安全標(biāo)簽�。這意味著�����,符合芬蘭或德國(guó)網(wǎng)絡(luò)安全標(biāo)簽要求的消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品���,也將被認(rèn)為符合新加坡CLS的相應(yīng)級(jí)別要求。
芬蘭
芬蘭的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃名為“Cybersecurity Label”����,是由芬蘭交通和通信局(Traficom)下的國(guó)家網(wǎng)絡(luò)安全中心芬蘭(NCSC-FI)發(fā)起的自愿性標(biāo)簽計(jì)劃�����。
Cybersecurity Label主要針對(duì)消費(fèi)者智能設(shè)備��,如智能電視�、智能手環(huán)和家用路由器��,標(biāo)簽授予那些滿(mǎn)足Traficom設(shè)定的信息安全要求的聯(lián)網(wǎng)智能設(shè)備或服務(wù),這些要求包括安全訪(fǎng)問(wèn)控制、默認(rèn)設(shè)置�����、個(gè)人數(shù)據(jù)的傳輸和存儲(chǔ)以及安全的生態(tài)系統(tǒng)接口。
Cybersecurity Label基于歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)的EN 303 645標(biāo)準(zhǔn)����,該標(biāo)準(zhǔn)為消費(fèi)者物聯(lián)網(wǎng)設(shè)備的信息安全要求提供了基線(xiàn)要求��。
德國(guó)
德國(guó)的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃名為“IT-Security Label”�����,由德國(guó)聯(lián)邦信息安全辦公室(BSI)負(fù)責(zé)實(shí)施����,同樣基于ETSI EN 303 645標(biāo)準(zhǔn),這是一個(gè)針對(duì)消費(fèi)者物聯(lián)網(wǎng)設(shè)備的信息安全要求的歐洲標(biāo)準(zhǔn)����。
該標(biāo)簽計(jì)劃要求產(chǎn)品供應(yīng)商進(jìn)行自我聲明的形式��,沒(méi)有安排第三方機(jī)構(gòu)進(jìn)行認(rèn)證�����,這可能會(huì)引發(fā)對(duì)安全信息真實(shí)性的擔(dān)憂(yōu)。不過(guò)����,德國(guó)市場(chǎng)監(jiān)管部門(mén)會(huì)在產(chǎn)品上市后對(duì)物聯(lián)網(wǎng)產(chǎn)品制造商聲明的安全特征信息進(jìn)行檢查,以確保標(biāo)簽上的信息與產(chǎn)品實(shí)際情況相符�。如果檢查發(fā)現(xiàn)不符,將撤銷(xiāo)標(biāo)簽��,并對(duì)品牌和產(chǎn)品形象造成損害���,這在很大程度上規(guī)避了制造商造假的風(fēng)險(xiǎn) ����。
中國(guó)物聯(lián)網(wǎng)安全標(biāo)簽行動(dòng)計(jì)劃正式發(fā)布
2024年4月18日-19日,由中國(guó)信通院主辦的2024星火生態(tài)大會(huì)在廈門(mén)成功舉辦�。會(huì)上���,“中國(guó)物聯(lián)網(wǎng)安全標(biāo)簽行動(dòng)計(jì)劃”正式發(fā)布���。
物聯(lián)網(wǎng)安全標(biāo)簽行動(dòng)計(jì)劃是針對(duì)當(dāng)前我國(guó)消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備面臨網(wǎng)絡(luò)安全攻擊的痛點(diǎn)問(wèn)題,對(duì)符合一定網(wǎng)絡(luò)安全認(rèn)證標(biāo)準(zhǔn)的設(shè)備賦予唯一的特定安全標(biāo)簽�����,從而確保物聯(lián)網(wǎng)設(shè)備在接入網(wǎng)絡(luò)時(shí)是安全而提出的一套行動(dòng)方案�。
該行動(dòng)方案包括:提出一套新型物聯(lián)網(wǎng)安全標(biāo)簽體系架構(gòu)、建立一套安全標(biāo)簽管理機(jī)制�����、搭建一個(gè)安全標(biāo)簽實(shí)驗(yàn)室���、研發(fā)一個(gè)安全標(biāo)簽公共服務(wù)平臺(tái)��、研制一系列安全標(biāo)簽相關(guān)標(biāo)準(zhǔn)�����、打造一批物聯(lián)網(wǎng)安全標(biāo)簽應(yīng)用示范等在內(nèi)完整的物聯(lián)網(wǎng)安全標(biāo)簽認(rèn)證體系�。
圖源:2024星火生態(tài)大會(huì)
我國(guó)作為全球最大的消費(fèi)類(lèi)電子產(chǎn)品出口國(guó)�����,啟動(dòng)物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃將對(duì)保障我國(guó)物聯(lián)網(wǎng)產(chǎn)品出口貿(mào)易���、跨境數(shù)據(jù)安全����、國(guó)家網(wǎng)絡(luò)安全等具有重大意義�����。
