4 月 29 日,英國消費者互聯產品安全制度正式開始生效,英國由此成為首個禁止在物聯網設備上使用默認弱密碼的國家。
圖源:英國政府官網
該法案誕生的起源最早可以追溯到 2016 年 10 月 21 日發生的惡性網絡攻擊事件。
當時,黑客們使用了一種被稱作“物聯網破壞者”的 Mirai 病毒,該病毒每掃描到一個物聯網設備(比如網絡攝像頭、智能開關等)后,就會嘗試使用默認密碼進行登陸(一般為 admin/admin,Mirai 病毒自帶 60 個通用密碼),一旦登陸成功,這臺物聯網設備就進入“肉雞”名單,開始被黑客操控攻擊其他網絡設備。黑客們借此控制了美國大量的網絡攝像頭和相關的 DVR 錄像機,然后操縱這些“肉雞”攻擊了美國的多個知名網站,包括 Twitter、Paypal、Spotify 在內等多個人們每天都用的網站被迫中斷服務,幾乎讓美國大半個互聯網陷入癱瘓狀態。
Mirai 病毒由三名 20 歲左右的美國公民開發,雖然他們很快被逮捕并處罰,但該病毒卻引發了產業的廣泛擔憂——如果物聯網設備制造商的安全策略過于草率,那么有可能造成廣泛的、出乎意料的影響。
英國最新法案的落地,正是對這類安全漏洞的有力回應。它要求物聯網設備制造商在生產過程中就加強安全防護措施,從源頭上杜絕弱密碼等安全隱患。具體而言,物聯網設備將不得使用“admin”或者“12345”等默認密碼,而且制造商還需要發布聯系方式,以便用戶可以報告錯誤。
不符合規定的產品可能面臨被召回,相關公司則面臨最高 1000 萬英鎊或其全球收入 4% 的罰款,以較高者為準。
英國物聯網安全法案相關細節
從 2024 年 4 月 29 日起,英國消費者互聯產品安全制度正式生效。從該日期起,該法律將要求英國消費者互聯產品(或“智能”產品)的制造商遵守該法案中規定的相關義務,其中包括確保他們及其產品滿足相關的最低安全要求。
該制度由兩項立法組成:
《2022 年產品安全和電信基礎設施 ( PSTI ) 法案》第 1 部分;和
《2023 年產品安全和電信基礎設施(相關互聯產品的安全要求)法規》。
圖源:英國政府官網
PSTI 法案于 2022 年 12 月獲得批準。政府于 2023 年 4 月發布了 PSTI(相關互聯產品的安全要求)法規的完整草案。這些法規于 2023 年 9 月 14 日簽署成為法律。
誰受到新法規約束?
簡單來說,相關互聯產品的制造商、進口商和分銷商將受到新法規約束。所以該法規會對中國物聯網設備制造商的出海產生一定影響。
哪些產品受到管控?
PSTI 管控產品范圍包括互聯網連接的產品,例如網絡攝像頭、智能門鎖、報警系統、智能家居助手、智能手機、智能家電、可穿戴設備等;也適用于不能直接連接到互聯網但能同時連接到多個其他設備的產品,如智能照明器具、智能控制器、物聯網基站等。
不在 PSTI 管控范圍的產品包括計算機(a) 臺式電腦;(b) 筆記本電腦;(c) 不具備連接蜂窩網絡能力的平板電腦(根據制造商的預期用途,專為14歲以下兒童設計的,不屬于例外產品)、醫療產品、智能電表產品、電動汽車充電器,及藍牙一對一連接產品。
值得注意的是,這些產品也可能有網絡安全要求,但不在PSTI法案管控范圍,而是可能由其它法案管控。
法規關鍵要求
①通用默認密碼要求:法規禁止通用默認密碼,并對密碼強度有相關要求。這意味著,用戶在首次使用時需要提供唯一的密碼,或需要更改密碼。
②安全漏洞報告與處理:制造商必須提供有關如何向他們報告其產品安全漏洞的信息。制造商還必須提供有關時間范圍的信息,在該時間范圍內確認收到報告和狀態更新,直到報告編寫者可以預期所報告的安全問題得到解決。
③最短的安全更新周期信息:制造商需要有明確且透明的方式對用戶公布最短的安全更新周期,即明確說明制造商將持續提供多長時間的更新。這些信息應以英文免費提供,無需事先請求,并且以不具備任何技術知識的讀者也能理解的方式提供。
同時,法案范圍內產品必須隨附合規聲明,其中必須包括以下信息:
產品(類型和批次)
每個制造商的名稱和地址,以及(如適用)其授權代表
聲明由產品制造商或其代表編寫
符合相關安全要求(《PSTI條例》附表1)或符合視為符合的條件(附表2)的聲明
制造商首次供應產品時正確的產品規定支持期
合規聲明的簽名、簽名人姓名和職務以及簽發地點和日期
法規如何執行?
據悉,產品安全和標準辦公室 (OPSS) 將根據與 DSIT 簽署的諒解備忘錄,自 2024 年 4 月 29 日起負責執行 2022 年PSTI 法案和 2023 年法規。
OPSS 隸屬于商業貿易部,已經執行英國現有的產品安全法規 OPSS 將利用現有流程和關系,以穩健和基于風險的方式執行英國產品安全制度,并對不遵守義務的企業采取適當和相稱的行動。
各國相繼出臺物聯網安全相關政策
據研究機構預測,到 2030 年物聯網設備數量將超過 294.2 億,按照聯合國預測 2030 年全球人口 85 億計算的話,屆時平均每個人就對應 3 臺物聯網設備。
隨著聯網設備的激增,IoT 設備終端受到網絡攻擊的次數也越來越多,消費者對網絡安全和隱私保護意識在逐漸增強,品牌商的網絡安全和數據保護已提升到了戰略地位。網絡安全法規強制性化漸成趨勢,各個國家紛紛出臺了網絡安全法規,例如中國、歐盟、英國、新加坡、巴西、日本以及美國都已經提上了日程,以增強市場物聯網產品規范化管理。
早在 2020 年,新加坡網絡安全局 (CSA) 表示,新加坡已加入制定網絡安全標簽計劃的國家行列,這在亞太地區尚屬首次。該計劃允許用戶在購買產品之前輕松評估產品的安全性,識別具有更好網絡安全措施的產品,并做出明智的決定。隨后的幾年間,新加坡陸續推動了和多個國家、地區、聯盟的網絡安全標簽互認證。
今年 3 月,美國聯邦通訊委員會 (FCC) 公開投票正式通過了物聯網安全標簽計劃 (Cybersecurity Labeling Program),在該計劃下,符合相關條件的消費物聯網產品將被賦予網絡安全標識標簽 (Cyber Trust Mark),方便消費者根據產品安全信息做出購買決策,同時安全可信產品在市場上具有差異化優勢,激勵物聯網產品制造商推出符合更高安全標準的產品。
隨后不久的 4 月,日本經濟產業省發布了《物聯網安全合格評估計劃草案》征求意見稿,可以看作是日本版物聯網安全標簽計劃,對標美國、新加坡等國家和地區的物聯網安全標簽計劃。
同樣是在 4 月,歐盟投票通過了《網絡安全彈性法案(CRA)》,這是一項旨在全面提升歐盟境內數字產品安全防護水平的重大舉措。該法案的覆蓋范圍廣泛,不僅關注產品的設計和生產過程,還延伸到產品的銷售、使用以及報廢處理等環節。這意味著,在歐盟市場上銷售的每一款數字產品,都必須經過嚴格的審查,確保其符合法案規定的網絡安全標準。以漏洞報告為例:制造商必須在24小時內向其指定的歐盟成員國計算機安全事故響應小組 (CISRT) 報告任何被惡意行為者利用的產品漏洞。然后,制造商必須在72小時內提交一份總體跟進報告,并在緩解措施出臺后 14 天內提交一份詳細報告。
再看我國, 2021 年,工信部印發物聯網基礎安全標準體系建設指南的通知,提出到2022年,初步建立物聯網基礎安全標準體系,研制重點行業標準10項以上,明確物聯網終端、網關、平臺等關鍵基礎環節安全要求,滿足物聯網基礎安全保障需要,促進物聯網基礎安全能力提升。到2025年,推動形成較為完善的物聯網基礎安全標準體系,研制行業標準30項以上,提升標準在細分行業及領域的覆蓋程度,提高跨行業物聯網應用安全水平,保障消費者安全使用。
物聯網設備制造商需積極應對安全挑戰
近期,Asimily 發布了一份題為《2024 年物聯網設備安全:無所作為的高昂成本》的新報告,報告有一些核心洞察值得關注:
從受攻擊的設備來看,路由器是最具針對性的物聯網設備,占所有物聯網感染的 75%。黑客利用路由器作為訪問網絡內其他連接設備的墊腳石。安全攝像頭和 IP 攝像頭是第二大目標設備,占所有攻擊的 15%。其他常見的目標設備包括數字標牌、媒體播放器、數字錄像機、打印機和智能照明。該報告還強調了與專業設備相關的特別嚴重的風險,包括對醫療保健中的患者護理至關重要的設備(包括血糖監測儀和起搏器)、制造業的實時監測設備以及市政當局的水質傳感器。
從受攻擊的行業來看,犯罪分子越來越將注意力集中在制造業、金融和能源行業,零售、教育、醫療保健和政府組織仍然是熱門目標,而媒體和交通在過去幾年中已不再受到重視。
同時,網絡保險公司正在限制賠付金額。隨著網絡攻擊變得越來越普遍,網絡安全保險變得越來越昂貴且難以獲得。現在,越來越多的保險公司要求企業具備強大的物聯網安全和風險管理能力,以獲得承保資格,并且越來越多地拒絕或限制那些不符合特定閾值的企業的承保范圍。在網絡保險公司拒絕承保的原因中,缺乏安全協議是最常見的,占 43%。不遵守合規程序占承保拒絕的 33%。
顯然,安全風險為物聯網設備制造商帶來了新的挑戰,而各個國家新法案的實施都意味著制造商需要承擔更多的責任和義務。他們需要確保所生產的物聯網產品具備足夠的安全性,包括防止未經授權的訪問、保護數據的完整性和有效性等方面。同時,他們還需要建立相應的流程和文件,以證明其產品符合法案的要求。
從各個國家的法律來看,違反方案會遭遇嚴厲的處罰,除了巨額的賠償金外,企業的聲譽損失可能更加難以挽回——這將對那些忽視網絡安全問題、企圖通過降低成本來獲取市場競爭力的制造商形成有力的震懾。
對中國這樣的物聯網產品生產和出口大國而言,相關制造商需要積極應對。一方面,制造商要確保設計的產品符合標準要求后再投入生產從而進入市場,相關廠家應該在產品開發過程中盡早了解相關法律法規,以便更好地規劃產品設計、生產和出海,確保產品符合安全標準。另一方面,制造商也要持續加大技術研發和創新投入,提升產品的安全水平,形成差異化競爭優勢,從而在全球市場中爭得更多的份額。
