近日,美國政府宣布了一個名為“U.S. Cyber Trust Mark”網絡安全和認證的標簽計劃,該計劃由美國聯邦通訊委員會(FCC)發起,主要針對家庭物聯網設備,將于2024年啟動,目的是為了幫助消費者篩選那些不易受網絡安全攻擊的可信設備,保護消費者合法權益。“U.S. Cyber Trust Mark”計劃是美國政府近年來針對物聯網安全出臺的系列措施中重要的組成部分,相對于其他政策,這一計劃更具有商業可行性,因此受到業界高度關注。在物聯網連接數快速增長并對人們生產生活產生重大影響的背景下,推動物聯網安全標簽計劃具有重要意義,也對我國物聯網產業發展帶來一定啟示。
一、物聯網安全標簽計劃概況
從本次白宮和FCC發布的相關新聞稿可以看出,“U.S. Cyber Trust Mark”計劃實施的相應條件已經具備,對于物聯網設備網絡安全和隱私保護有明顯作用。該計劃的主要內容包括:
1、該計劃聚焦于消費物聯網設備
目前該計劃重點針對消費類物聯網產品,包括智能冰箱、智能空調、智能電視、智能溫控器、健身追蹤器等家庭物聯網設備,并已開始著手定義消費級路由器安全標準,未來也會將路由器納入認證標簽計劃中;同時,美國能源部也宣布合作計劃,研究和制定智能電表和電力逆變器的網絡安全標簽要求。眾所周知,物聯網的安全隱患非常嚴峻,FCC引用美國第三方機構的數據顯示,2021年前半年,針對物聯網的安全供給已有15億次,其中相當部分是針對家庭攝像頭、智能冰箱等智能家居設備,所以通過物聯網安全標識計劃,對家庭物聯網產品進行認證很有必要。
2、通過產品包裝貼標簽形式,給消費者購買時提供參考
“U.S. Cyber Trust Mark”計劃通過產品標簽形式實施,標簽包括兩部分,一個是粘貼或印刷在產品包裝盒上的標識,另一個是二維碼,通過這兩部分內容,消費者可以獲取所買物聯網產品的安全信息。
標識方面,FCC已向美國專利商標局提交申請,正在為該計劃申請獨特的標識商標,是獨特的盾牌標識的形狀,粘貼于符合既定網絡安全標準的產品上,表明產品已按標準通過網絡安全認證。同時,FCC計劃同時附上二維碼,可以鏈接該設備安全認證平臺,為消費者提供關于這些智能產品具體和可比的安全信息,包括收集了哪些傳感器數據、哪些數據被共享、如何應對安全更新,例如消費者在新的網絡安全威脅或需要打補丁時,可以掃描二維碼,了解設備是否依然通過認證。
3、多個機構聯合推動該計劃實施
FCC是這一計劃的發起機構,此前,FCC還聯合美國政府以及多個行業組織來推動該計劃的實施。首先,在對物聯網產品的認證標準方面,該計劃將利用利益相關方主導的工作,根據美國國家標準和技術研究所(NIST)發布的具體網絡安全標準來認證和標記產品,包括要求唯一和強大的默認密碼、數據保護、軟件更新和事件檢測能力等方面的標準。NIST在去年9月發布了一個針對消費物聯網產品的基線標準,后續相關標準將進一步完善。此外,美國聯邦貿易委員會也在其中發揮重要作用。第三方機構的實驗室可能將承擔認證的工作,例如CSA(Connectivity Standards Alliance)、消費者技術協會(Consumer Technology Association)等。
其次,在該計劃市場推廣方面,美國政府相關機構將支持FCC對消費者進行教育,讓消費者在做出購買決策時注意這一新標簽,根據標簽所載的安全信息做出購買決定,并鼓勵美國主要零售商優先考慮將貼有這一標識的物聯網產品放在貨架上和電商平臺上。再次,在監督保障方面,FCC還計劃與其他監管機構和美國司法部合作,建立監督和執行保障措施,以維持對該計劃的信任和信心。
4、雖然是自愿性計劃,但主導廠商已表示支持
“U.S. Cyber Trust Mark”并不是一個強制性的計劃,白宮和FCC明確各制造商和零售商可自愿選擇加入。不過,在這一計劃發布的同時,與家庭物聯網相關的頭部廠商基本上已宣布支持該計劃。白宮發布的新聞稿中提到,發布會當天參與的機構包括亞馬遜、百思買、卡內基梅隆大學、CyLab、思科、CSA、消費者報告機構、消費者技術協會、谷歌、英飛凌、信息技術產業委員會、IoXT、是德科技、LG電子美國公司、羅技、OpenPolicy、Qorvo、高通、三星電子、UL、耶魯和August U.S.。可以看出,這些機構涵蓋了消費物聯網全產業鏈各個環節,且很多都是產業鏈具有話語權的機構,既有制造商,也有零售平臺,還有監測認證機構、聯盟組織和高校,有這些機構的推動,“U.S. Cyber Trust Mark”雖然是自愿性計劃,但很有可能會成為市場廣為接受的“準強制性”要求。當然,在首批支持者群體中,少了蘋果這一角色,似乎有些遺憾。5、與盟友加強合作,意在將該認證推向全球白宮在其新聞稿中提到,在國際上,美國政府將支持FCC與盟友和合作伙伴一起協調標準,并尋求對類似標簽工作的相互認可。例如,美國提出已和歐盟推動統一標準的合作,并開始接觸新加坡的網絡安全標簽計劃。可以看出,美國政府也希望其物聯網可信安全標簽計劃能夠成為一個“全球公認的標簽”。
二、從能源之星計劃的啟示,更具商業可行性
早在近10年前,美國立法者就意識到了物聯網帶來的安全威脅,開始推動物聯網安全方面的立法。2018年9月,美國加利福尼亞州批準通過了《IoT設備網絡安全法》,雖然只是加州的法律,但這是美國推出的首部物聯網安全專門的立法,具有劃時代意義,標志著對物聯網安全監管取得實質性進展。2020年12月,時任美國總統特朗普正式簽署《物聯網網絡安全改進法》,成為美國首個全國范圍內的物聯網安全法律。美國《物聯網網絡安全改進法》中,對物聯網產品進行明確定義,即至少有一個傳感器(傳感器或驅動器)用于物理世界直接交互,至少有一個網絡接口,并且不是傳統的信息技術設備,如智能手機和筆記本電腦,其網絡安全特性的識別和實施已被充分了解,并且能夠獨立工作,而不是只能作為另一個設備組件進行工作,如處理器。根據這一定義,目前家庭中使用的各類智能家居設備產品都在這一范圍之內。2021年,美國總統拜登簽發了《關于改善國家網絡安全行政令》,該行政令中強調了改善物聯網安全的必要性,并要求啟動消費物聯網標簽計劃,具體包括:
在本命令發布后的270天內,商務部長通過NIST局長與聯邦貿易委員會(FTC)主席和NIST局長認為適當的其他機構的代表進行協調,確定消費者標簽計劃的物聯網網絡安全標準,并考慮此類消費者標簽計劃是否可以與任何符合適用法律的類似現有政府計劃一起運作或復制。這些標準應反映產品可能經歷的越來越全面的測試和評估水平,并應使用或兼容制造商用來告知消費者其產品安全性的現有標簽方案。NIST總監應檢查所有相關信息、標簽和激勵計劃,并采用最佳實踐。該審查應關注消費者的易用性,并確定可以采取哪些措施來最大限度地提高制造商的參與度。
此后,物聯網安全標簽計劃就緊鑼密鼓推動起來。2022年10月,白宮召集了來自于物聯網企業、高校、第三方協會和多個政府部門就物聯網安全標簽計劃召開會議,其中提出了參考“能源之星(Energy Star)”計劃來推動物聯網安全標簽計劃。
能源之星是美國能源部和美國環保署共同推行的一項政府計劃,旨在更好地保護生存環境,節約能源。1992年由美國環保署參與,最早在電腦產品上推廣,后來納入此認證范圍的產品已達30多類,如家用電器、制熱/制冷設備、電子產品照明產品等。能源之星計劃為自愿性,其標準通常比美國聯邦標準節能20-30%,但能源之星評級已成為消費者和企業購買決策的一個重要組成部分。所有制造商必須提交由受認可的、批準的實驗室出具的測試結果,以保證產品符合標準,才能獲得能源之星認證標簽。借鑒能源之星計劃,相關機構也推出了物聯網安全標簽的初步研究。例如,應邀參加會議的卡內基梅隆大學旗下的實驗室就提出一個物聯網安全標簽的原型如下:
從標簽原型可以看出,該標簽提供了安全更新信息、控制訪問方式、收集的數據信息等。更重要的是,標簽本身還注明了收集數據的用途、存儲位置、分享對象和是否售賣數據等信息,可以說這一標簽包含了用戶主要關注的隱私信息和廠商給出的承諾。當然,若標簽信息全部顯示,則其所占面積就非常大,很多產品包裝盒上無疑無法給出這么大空間,因此可以通過二維碼的形式來提供相關信息。除了能源之星的啟示外,海外也有類似的物聯網安全標簽計劃供參考,例如新加坡此前就推出了自己的網絡安全標簽計劃,用于改善物聯網安全性。這一計劃最初只是為了覆蓋路由器和網關而推出的,此后擴展到了所有消費級物聯網設備上,比如攝像頭、智能門鎖、智能燈具和智能打印機等。
新加坡的物聯網安全標簽計劃將所有聯網的消費設備分為四級,第一級是滿足基本的安全要求,第二級是遵守了安全設計規范,第三級則是不存在已知的常見軟件漏洞,第四級為可抵抗常見的網絡攻擊。其中第一、第二兩個等級只需制造商自己的符合性聲明,而第三和第四兩個等級都必須經過第三方獨立測試才能通過認證。新加坡這一計劃得到芬蘭、德國的認可。
三、對國內物聯網產業的建議
2024年,“U.S. Cyber Trust Mark”計劃正式實施,屆時很多消費類物聯網產品都將進行標簽認證并在美國乃至全球市場得到認可。國內物聯網市場并不是一個封閉的群體,需高度關注這一計劃的相關進度,積極推動物聯網產品安全的建設。在筆者看來,我們可以從兩方面來分析美國這一計劃對國內的影響。
1、國內出海的物聯網企業應積極重視并加入這一計劃
本次物聯網安全計劃針對的是消費物聯網產品,尤其是智能家居產品。中國是智能家居產出的大國,也是智能家居出口的大國。以家電為例,根據海關總署的數據,2023年1-6月,我國累計出口家用電器17.3億臺,同比增長1.4
%,雖然對美國出口市場份額大幅下滑,但美國依然是我國家電業出口額最高的地區。出口的家電產品中,有相當部分是智能家電。雖然“U.S. Cyber Trust
Mark”計劃不是強制性的,但它依然會顯著影響到我國出口產品的競爭力。能源之星計劃或許可以對其起到參考作用,根據海關總署發布的數據,2022年我國輸美的電機、電氣、音像設備及其零附件出口額高達9501.5億元,其中相當一部分是能源之星認證范疇內的產品,能源之星認證推動本土品牌“走出去”,也優化了營商環境。參考能源之星計劃,我國企業可以提前了解“U.S.
Cyber Trust
Mark”計劃的規則,積極加入這一認證,獲得出海競爭力。實際上,國內多家企業已開始行動,例如涂鴉智能近期就宣布將推動其生態產品積極加入這一計劃。鑒于美國計劃將“U.S.
Cyber Trust
Mark”計劃推向全球各盟國互認,未來我國物聯網出海產品或許會將復合這一標簽認證作為標配。
2、提前籌劃,建設本土的物聯網安全標簽認證實驗室
為獲得“U.S.
Cyber Trust
Mark”標簽,美國將委托第三方認證機構對物聯網產品進行安全檢測,對于國內出海產品,若能在本土授權機構獲得認證,將大幅降低出海成本。仍然以能源之星為例,2010年,美國環保署發布通知,要求進行能源之星產品檢測的實驗室需要提前獲得其授權的認可機構認可,出具的檢測結果才能被美方接受,這給我國電子電器、計算機、家用電器、照明等能源之星認證范圍內的產品出口美國市場帶來不確定性。中國合格評定國家認可委員會(CNAS)做了大量工作,最終正式進入能源之星授權的認可機構名錄。目前我國獲認可的能源之星實驗室數量已達到80余家,約占全球總數的四分之一。依托認可的國際互認成果,國內實驗室的檢測數據直接被美方承認,不僅大大縮短了產品備案周期,還大幅節約企業尤其是中小微企業的測試驗證成本。借鑒這一經驗,國內相關機構可以提前進行籌劃,了解美國對于物聯網安全認證的相關規范,建設本土認證實驗室,助力國內物聯網企業尤其是中小企業產品出口。
3、積極推動我國物聯網安全研究和監管體系建設
我國物聯網連接數已居全球首位,物聯網安全壓力很大,物聯網安全體系建設不容忽視。目前,我國雖然在多個物聯網政策中提出了加快物聯網安全體系建設,但還沒有專門針對物聯網安全的法律法規。在海外物聯網安全立法、物聯網安全標簽體系建設的背景下,國內需加強這一領域工作,借鑒海外經驗,構建適合國內產業生態的安全體系。
