近日,歐洲議會投票通過了《網絡安全彈性法案(CRA)》,以保護歐盟的所有數字產品免受網絡威脅。其中,物聯網產品是該法案適用范圍“數字產品”的重要組成部分,未來該法案實施后,物聯網產品將面臨著新的要求。
筆者近期圍繞海外發達經濟體針對物聯網產品網絡安全出臺的一些法案和政策進行跟蹤研究,包括美國物聯網安全標簽計劃、日本物聯網安全標簽計劃、歐盟《數據法案》、英國《產品安全和電信基礎設施法案》以及新加坡、德國、芬蘭等國開展的物聯網安全標簽計劃,可以看出,對物聯網產品安全采取統一的措施已成為共識,尤其是針對物聯網安全基線形成全國統一規范非常重要。《網絡安全彈性法案》作為全球首個面對數字產品安全的專門法案,其中很多做法和思路值得參考。
法案適用范圍:物聯網產品是典型
《網絡安全彈性法案》旨在建立整個供應鏈的基準產品安全法規,涵蓋從開發到報廢的產品生命周期,該法案將適用于在歐盟境內銷售的各種軟件和互聯產品。
法案提出其適用于在歐盟市場上銷售的“帶有數字元素的產品”,這類產品無論原產地在哪里,也無論該產品是否免費提供,只要在歐盟市場上,都適用于該法案。
法案對于“帶有數字元素的產品”做了初步解釋,即包括軟件以及與其他設備或網絡直接或間接連接的軟硬件產品。法案提出典型的產品包括獨立軟件以及物聯網產品、操作系統或其他有形設備,如電視、筆記本電腦、嬰兒監視器、智能家居等。
法案也提出了一些不適用的范疇,例如,一些網站和云服務方案(如SaaS服務)如果不支持遠程處理“帶有數字元素的產品”或不是這些產品的功能,就不納入法案的范疇。
當然,法案適用于支持這些數字元素產品運行的遠程數據處理解決方案,例如物聯網產品的移動應用程序;同時,法案也適用于集成到數字元素產品中的軟件和硬件組件。
在商業活動之外開發的開源軟件不在該法案的適用范圍之內。法案指出,自由和開放源碼的軟件將受到寬松監管制度的約束。
另外,法案也不適用于某些已經有部門立法的產品,例如醫療器械、機動車、海事和航空設備,也不適用于專門為國家安全或國防開發的數字產品。
基本網絡安全要求
《網絡安全彈性法案》為制造商的數字產品制定了一套必須遵守的基本安全要求。這些要求旨在通過從一開始就解決關鍵的安全漏洞來最大限度地降低網絡安全風險。基本的安全要求包括:
默認安全配置:產品必須帶有默認安全配置,允許用戶在必要時輕松將其重置為初始狀態。
防止未經授權的訪問:必須建立適當的控制機制,包括認證、身份或訪問管理系統。
加密:無論是在靜止狀態還是在傳輸過程中,產品存儲、傳輸或處理的數據必須通過加密進行保護,以保護其機密性。
完整性:產品存儲、傳輸或處理的數據以及命令、程序和配置必須得到保護,以防未經用戶授權的操縱或修改。
數據最小化:產品應僅收集和處理對其預期用途絕對必要的數據,盡量減少處理的個人或其他數據量。
有效性:基本功能必須能夠抵御拒絕服務攻擊。
攻擊面限制:產品應設計有限的攻擊面,最大限度地減少網絡攻擊的潛在切入點。
漏洞管理:必須建立機制,以便能夠及時有效地修補漏洞,應對新出現的網絡安全威脅。
對制造商的要求
法案提出制造商必須開發、生產和銷售具有與風險相適應的“基本網絡安全要求”的產品。此外,制造商還必須建立流程和文件來驗證其產品是否符合法案要求的。主要包括:
1、產品安全要求
網絡安全風險評估:制造商必須進行與產品相關的網絡安全風險評估,且風險評估必須在支持期內更新,并在整個產品生命周期中予以考慮。
漏洞管理:產品必須在沒有已知可利用漏洞的情況下在市場上提供,若發現漏洞必須立即為漏洞提供安全更新,并公開披露補救的漏洞。安全更新必須在至少10年或支持期的剩余時間內保持可用,以較長者為準,同時制造商必須記錄其了解到的相關產品漏洞。
支持期限:支持期應符合預期使用時間,但必須至少為五年。用戶在購買時必須能夠明確了解支持期的結束時間,包括月份和年份。
軟件材料清單:制造商必須確定并記錄產品組件和漏洞,包括起草至少包含產品主要依賴項的軟件材料清單。
測試:制造商必須定期測試產品安全性。
漏洞報告:制造商必須在24小時內向其指定的歐盟成員國計算機安全事故響應小組(CISRT)報告任何被惡意行為者利用的產品漏洞。然后,制造商必須在72小時內提交一份總體跟進報告,并在緩解措施出臺后14天內提交一份詳細報告。除特殊情況外,這些漏洞報告將轉發給產品上市所在成員國的其他安全事故響應小組和市場監管機構。同時,制造商還必須將事故通知其用戶。
協同漏洞披露:制造商必須建立協調的漏洞披露政策,并為第三方提供聯系地址以報告產品中的漏洞。當制造商發現產品軟件或硬件組件中的漏洞時,必須向負責該組件的一方報告漏洞。
2、證明產品一致性
技術文檔:制造商必須創建和維護技術文件,以證明其產品符合法案的基本安全要求。技術文檔必須在產品投放市場之前完成,并應在產品支持期間不斷更新。
符合性評估:在將產品投放市場之前,制造商必須對產品進行符合性評估,以確保符合安全要求。法案對產品安全做了分級,主要包括:
未分類或默認級別:這一大類包括大多數帶有數字元素的產品,制造商可以自我評估是否符合安全要求。
第一類和第二類(Classes I and II):該級別被認為是“重要”的數字產品,這些產品必須經過第三方合格評估,它們可以適用統一標準或統一網絡安全認證計劃。第一類和第二類產品具有網絡安全相關功能,如果被破壞,其功能會帶來重大負面影響風險。
“關鍵”的數字產品:該類別包括被認為是基本服務關鍵依賴項的產品,如智能卡或具有安全元件的類似設備、智能計量系統以及用于高級安全目的的其他設備。
數字產品完成符合性評估后,制造商必須起草一份符合性聲明以補充技術文件,并將這些記錄保存十年或支持期內(以較長者為準)。此外,數字產品必須具有CE標志,以表明產品在進入市場之前符合法案標準。這一要求可以視作強制性的安全標簽計劃。
同時,法案還對進口商和分銷商提出相關要求,例如包括對制造商的產品進行盡職調查、發現漏洞后及時通知制造商、向歐洲當局告知重大風險、保留記錄以及售后責任等。
對不合規行為的處罰
法案規定,對于未能遵守法案中提出的漏洞報告、網絡事件報告或基本網絡安全要求的公司,可能面臨高達1500萬歐元或其全球營業額2.5%的行政罰款,以較高者為準。
未能遵守多項其他義務的公司,可能會被處以最高1000萬歐元的行政罰款,或其全球營業額的2%,以較高者為準。
同時,那些向執法機構或國家網絡事件響應小組提供誤導性信息可能導致500萬歐元的罰款,或全球營業額的1%,以較高者為準。
在某些情況下,歐盟成員國當局可以要求廠商從歐盟市場召回或撤出不合規產品。
《網絡安全彈性法案》實施日期之前,歐盟將制定統一標準,以更好地幫助制造商進行一致性評估。一旦生效,制造商、進口商和分銷商將有三年時間適應新要求。中國是物聯網產品的生產和出口大國,大量數字產品出口歐洲,相關生產廠商需要高度重視,提前學習《網絡安全彈性法案》相關內容,做好應對。
