近日,日本經(jīng)濟產(chǎn)業(yè)省發(fā)布了《物聯(lián)網(wǎng)安全合格評估計劃草案》征求意見稿,該草案可以看作是日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃,對標(biāo)美國、歐盟、新加坡等國家和地區(qū)的物聯(lián)網(wǎng)安全標(biāo)簽計劃。
從多個國家和地區(qū)推進的情況來看,物聯(lián)網(wǎng)安全標(biāo)簽計劃已經(jīng)成為一個全球主要經(jīng)濟體共同認可的項目,通過給符合相關(guān)安全標(biāo)準(zhǔn)的物聯(lián)網(wǎng)產(chǎn)品賦予安全標(biāo)簽,讓消費者能夠獲得產(chǎn)品安全方面的信息,從而做出購買決策。這一計劃由政府和企業(yè)合作推進,以更加市場化的形式,讓消費者購買決策來倒逼物聯(lián)網(wǎng)廠商提升產(chǎn)品安全水平。
日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃的背景和目標(biāo)
在這份草案中,日本經(jīng)濟產(chǎn)業(yè)省提出,隨著數(shù)字化的推進,近年來物聯(lián)網(wǎng)產(chǎn)品的數(shù)量迅速增加,針對其漏洞的網(wǎng)絡(luò)攻擊數(shù)量也在增加。在此背景下,世界各國正在考慮確保物聯(lián)網(wǎng)產(chǎn)品安全措施的方案,包括美國的物聯(lián)網(wǎng)安全標(biāo)簽計劃、歐盟《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,CRA)、英國《產(chǎn)品安全和電信基礎(chǔ)設(shè)施(PSTI)法案》、新加坡物聯(lián)網(wǎng)安全標(biāo)簽計劃以及德國、芬蘭的物聯(lián)網(wǎng)安全標(biāo)簽計劃。
同時,草案回顧了日本政府多個部門針對物聯(lián)網(wǎng)產(chǎn)品安全所出臺的一些措施。然而,草案提出,目前日本還沒有較好的手段讓物聯(lián)網(wǎng)產(chǎn)品生產(chǎn)者將其在安全防護方面的努力傳遞給最終客戶。所以,必須通過有效的措施,可以涵蓋更廣范圍的物聯(lián)網(wǎng)產(chǎn)品,讓消費者能夠快速接受,并不會增加產(chǎn)品生產(chǎn)者太多成本。
因此,日本經(jīng)濟產(chǎn)業(yè)省考慮在日本建立類似于海外物聯(lián)網(wǎng)安全標(biāo)簽計劃的項目,并將其作為優(yōu)先事項之一,旨在推廣滿足一定安全標(biāo)準(zhǔn)措施的物聯(lián)網(wǎng)產(chǎn)品,同時考慮與其他國家的類似項目合作。
為此,經(jīng)濟產(chǎn)業(yè)省于2022年11月成立了一個“物聯(lián)網(wǎng)產(chǎn)品安全合格評估計劃研究小組”,該小組經(jīng)過調(diào)研討論,決定建立一個物聯(lián)網(wǎng)產(chǎn)品安全符合性評估方案并在全社會廣泛傳播。該研究小組在制定相關(guān)計劃時,重點強調(diào)的目標(biāo)包括:
一是該計劃須有助于相關(guān)公共組織選擇和采購滿足一定安全級別的物聯(lián)網(wǎng)產(chǎn)品,對產(chǎn)品采用通用標(biāo)準(zhǔn)評估并實現(xiàn)可視化。受益于該計劃的公共組織初期包括政府機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施提供商和地方政府。
二是該計劃須為采購和使用物聯(lián)網(wǎng)產(chǎn)品提供安全定義,讓每個行業(yè)組織可以指定必要的認證和標(biāo)簽,也就是說讓該計劃可以作為特定組織的物聯(lián)網(wǎng)產(chǎn)品安全標(biāo)準(zhǔn)。
三是該計劃將通過與其他國家的計劃進行協(xié)調(diào),來降低物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商在出口時所需的合規(guī)性評估成本,并旨在實現(xiàn)相互認可。
根據(jù)該研究小組的研究報告,日本經(jīng)濟產(chǎn)業(yè)省發(fā)布了《物聯(lián)網(wǎng)安全合格評估計劃草案》征求意見稿,意見反饋截至2024年4月15日。
從其背景和目標(biāo)可以看出,日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃和美歐等國出發(fā)點、路徑等方面都比較類似,物聯(lián)網(wǎng)安全標(biāo)簽計劃的全球共識正在形成。
日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃主要內(nèi)容
日本發(fā)布的《物聯(lián)網(wǎng)安全合格評估計劃草案》近30頁,全面介紹了日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃的目標(biāo)定位、管理架構(gòu)、適用范圍、評估標(biāo)準(zhǔn)等,以下主要內(nèi)容值得關(guān)注:
1、自愿性項目的定位
和美國版物聯(lián)網(wǎng)安全標(biāo)簽計劃類似,日本首先也強調(diào)該方案是一個自愿性項目,不會強制所有企業(yè)和機構(gòu)參與。該方案也考慮到與日本已有的自愿性安全政策的整合和協(xié)調(diào),并考慮到物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商的成本。
與美國版標(biāo)簽計劃不同的是,日本版的標(biāo)簽計劃將鼓勵政府機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施提供商和地方政府將符合必要安全要求的標(biāo)簽產(chǎn)品納入其采購要求,通過類似于政府采購的形式,鼓勵物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商加入標(biāo)簽計劃。其次,如果物聯(lián)網(wǎng)產(chǎn)品用于特定行業(yè),并且行業(yè)要求將此類物聯(lián)網(wǎng)產(chǎn)品的安全作為其特定的行業(yè)標(biāo)準(zhǔn),以便采購商和最終用戶能夠通過標(biāo)簽確認物聯(lián)網(wǎng)產(chǎn)品符合一定的安全要求,則該計劃秘書處將與相關(guān)行業(yè)協(xié)會和工作組合作推動行業(yè)制定相關(guān)要求。
2、標(biāo)簽計劃適用范圍
日本版標(biāo)簽計劃也明確提出了其適用于消費物聯(lián)網(wǎng)產(chǎn)品。關(guān)于物聯(lián)網(wǎng)產(chǎn)品的定義,該計劃沿用歐洲通信標(biāo)準(zhǔn)化協(xié)會ETSI EN 303 645標(biāo)準(zhǔn)中對物聯(lián)網(wǎng)的定義,包括物聯(lián)網(wǎng)產(chǎn)品和相關(guān)服務(wù)。這一定義和范疇與美國版物聯(lián)網(wǎng)安全標(biāo)簽計劃適用范圍基本吻合,都包含了物聯(lián)網(wǎng)產(chǎn)品及其附加服務(wù)。
其中,消費物聯(lián)網(wǎng)設(shè)備是指具有使用互聯(lián)網(wǎng)協(xié)議(IP)、通過互聯(lián)網(wǎng)發(fā)送和接收數(shù)據(jù)能力的廣泛物聯(lián)網(wǎng)產(chǎn)品,包括間接連接到互聯(lián)網(wǎng)的產(chǎn)品,但不包括個人電腦、智能手機等。
3、物聯(lián)網(wǎng)安全分級
日本版計劃通過建立物聯(lián)網(wǎng)安全分級機制來實施不同的評估。該機制一共分為4個層級,層級1為符合安全基線的標(biāo)準(zhǔn),以解決適用范圍內(nèi)所有物聯(lián)網(wǎng)產(chǎn)品常見的、最低威脅基準(zhǔn),層級2至層級4的標(biāo)準(zhǔn)要求逐漸提高。
獲得不同層級標(biāo)簽的方式不同,其中,針對層級1和層級2,通過物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商自我符合性聲明即可獲得安全標(biāo)簽,以促進該計劃的傳播;對于層級3和層級4,將根據(jù)獨立測試實驗室的第三方評估后再決定授予標(biāo)簽,尤其是層級3及以上旨在供政府機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施提供商采購使用,因此會要求高可靠性。
美國版計劃暫時沒有形成明確的4層分級體系,也不允許物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商通過自我符合性聲明來獲取標(biāo)簽,供應(yīng)商必須經(jīng)過第三方授權(quán)實驗室測試。從這個角度來看,日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃與美國的區(qū)別較大,但與新加坡版計劃更加類似,新加坡版計劃也是通過分為4層,以及1-2層符合性聲明的模式獲取標(biāo)簽。
4、管理體系架構(gòu)
日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃明確由經(jīng)濟產(chǎn)業(yè)省旗下的信息處理推進機構(gòu)(Information-technology Promotion Agency, IPA)作為所有者來統(tǒng)一運營,IPA本身也運營著的日本信息技術(shù)安全評估和認證計劃,未來將這一計劃將擴大到包括物聯(lián)網(wǎng)安全標(biāo)簽計劃。
該計劃的技術(shù)咨詢委員會將作為主要管理組織,討論合格標(biāo)準(zhǔn)的批準(zhǔn)和該計劃的其他技術(shù)事項,技術(shù)咨詢委員會下設(shè)立合格標(biāo)準(zhǔn)工作組,以制定每個產(chǎn)品類別的合格標(biāo)準(zhǔn)草案。符合性標(biāo)準(zhǔn)工作組將主要由物聯(lián)網(wǎng)產(chǎn)品供應(yīng)商、主要采購組織及其相關(guān)組織和團體組成,并將向技術(shù)咨詢委員會提交符合性標(biāo)準(zhǔn)草案以供批準(zhǔn)。此外,IPA和經(jīng)濟產(chǎn)業(yè)省將為該計劃設(shè)立一個秘書處,以促進該計劃的傳播,與現(xiàn)有的國內(nèi)計劃整合和協(xié)調(diào),并推動與其他國家協(xié)調(diào)相互承認等合作。
5、與其他國家類似計劃的合作互認
日本在該方案中提到了與其他國家物聯(lián)網(wǎng)安全標(biāo)簽計劃的合作,主要包括美國、歐盟、新加坡和英國。其中,日本版計劃預(yù)計在啟動時,其層級1標(biāo)準(zhǔn)將涵蓋新加坡和英國法案基線標(biāo)準(zhǔn)。對于歐盟的《網(wǎng)絡(luò)彈性法案》(CRA)和美國的物聯(lián)網(wǎng)安全標(biāo)簽計劃,預(yù)計在層級1實施時,該計劃秘書處通過修訂計劃一些條款以解決差異,例如,通過修訂層級1的符合性聲明要求,或通過宣布解決差異所需的額外措施來實現(xiàn)融合。
日本版方案專門強調(diào),預(yù)計2025年將正式實施層級1標(biāo)簽計劃,接受企業(yè)符合性聲明形式獲得標(biāo)簽,屆時會宣布與新加坡和英國相對應(yīng)計劃的互認。而對于美國和歐盟,會在后續(xù)實施中選擇適當(dāng)時候公布互認合作。
6、評估標(biāo)準(zhǔn)
對于層級1的實施,日本已制定了初步的安全要求、符合性標(biāo)準(zhǔn)和評估程序。研究小組根據(jù)對整個方案所需安全要求的分析、實際產(chǎn)品概念驗證的結(jié)果以及對國內(nèi)標(biāo)準(zhǔn)/方案和其他國家標(biāo)準(zhǔn)/方案重疊要求的分析,制定了層級1實施相關(guān)標(biāo)準(zhǔn),其參考的海外標(biāo)準(zhǔn)包括歐洲通信標(biāo)準(zhǔn)化協(xié)會ETSI EN 303 645標(biāo)準(zhǔn)和美國國家標(biāo)準(zhǔn)與技術(shù)研究院NISTIR 8425標(biāo)準(zhǔn)。
從2024年4月起,經(jīng)濟產(chǎn)業(yè)省將針對每個物聯(lián)網(wǎng)產(chǎn)品類別開展更高級別的安全合規(guī)性標(biāo)準(zhǔn)討論。
結(jié)語
日本版物聯(lián)網(wǎng)安全標(biāo)簽計劃草案已發(fā)布,至此,全球主要發(fā)達經(jīng)濟體針對物聯(lián)網(wǎng)安全采取的路徑基本達成共識。可以看出,隨著物聯(lián)網(wǎng)連接數(shù)不斷增長,物聯(lián)網(wǎng)安全形勢越來越嚴(yán)峻,消費者面對物聯(lián)網(wǎng)產(chǎn)品,無從知曉其是否符合安全要求,各國將解決這一問題提到較優(yōu)先的議事日程。在此背景下,中國版物聯(lián)網(wǎng)安全標(biāo)簽計劃需要盡快出爐,通過這一全球通用方式,保護消費者合法權(quán)益,同時提供中國物聯(lián)網(wǎng)企業(yè)的競爭力。
