近日,美國宣布物聯(lián)網(wǎng)安全標簽計劃正式啟動。這一計劃是2021年5月拜登政府發(fā)布的網(wǎng)絡(luò)安全總統(tǒng)行政命令的一部分,目的是推動符合安全標準的物聯(lián)網(wǎng)智能設(shè)備上張貼或顯示網(wǎng)絡(luò)安全信任標識,就像目前已經(jīng)被廣泛認可的“能源之星”標簽為節(jié)能電子和電器產(chǎn)品粘貼標簽一樣,讓消費者可以優(yōu)先選擇通過標簽認證的產(chǎn)品。
筆者持續(xù)跟蹤這一計劃,曾在多篇文章中對美國的物聯(lián)網(wǎng)安全標簽計劃進行解讀。另外,目前已有多個國家啟動了物聯(lián)網(wǎng)安全標簽計劃或推動物聯(lián)網(wǎng)產(chǎn)品安全法案制定。本次美國正式啟動標簽計劃,邁出了里程碑式的一步,將帶動物聯(lián)網(wǎng)安全標簽計劃在全球更大范圍的應用和認可。
中國擁有全球規(guī)模最大的物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài),物聯(lián)網(wǎng)產(chǎn)品出貨量也是全球最高,其中大量消費物聯(lián)網(wǎng)產(chǎn)品也是面向海外市場。美國物聯(lián)網(wǎng)安全標簽計劃啟動,以及其他發(fā)達經(jīng)濟體的加快推進,毫無疑問會在很大程度上對我國物聯(lián)網(wǎng)產(chǎn)品尤其是出海的產(chǎn)品產(chǎn)生顯著影響。本文將對海外主要經(jīng)濟體物聯(lián)網(wǎng)標簽計劃和這一計劃對我們的啟示進行研究,希望能對國內(nèi)業(yè)界提供一些參考。
一、發(fā)達經(jīng)濟體推動物聯(lián)網(wǎng)安全的典型做法
隨著物聯(lián)網(wǎng)連接數(shù)快速增長,全球各國越來越多的家庭和個人開始擁有各類聯(lián)網(wǎng)類設(shè)備,這些物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全隱患也日益增長。各國政府為了幫助消費者篩選那些不易受網(wǎng)絡(luò)安全攻擊的可信設(shè)備,保護消費者合法權(quán)益,采取各類措施,總結(jié)起來是2類比較典型的措施:針對物聯(lián)網(wǎng)產(chǎn)品的安全標簽計劃和針對物聯(lián)網(wǎng)產(chǎn)品安全的專門法案。第一類更傾向于市場化手段實施,具有自愿性特點,美國、德國、芬蘭、新加坡等為主要代表;第二類通過正式立法形式推動,具有強制性特點,歐盟、英國等采取這一方式。
(一)標簽計劃由來已久,多個國家早就開始實踐
1、美國:醞釀已久的物聯(lián)網(wǎng)安全標簽計劃,提升全球影響力
對于物聯(lián)網(wǎng)安全威脅,美國政策制定者很早就意識到了其重要性,在過去近10年時間里持續(xù)推動各項重要工作,其中也包括推動物聯(lián)網(wǎng)的立法。例如2018年9月,美國加利福尼亞州批準通過了《IoT設(shè)備網(wǎng)絡(luò)安全法》,雖然只是加州的法律,但這是美國推出的首部物聯(lián)網(wǎng)安全專門的立法,具有劃時代意義,標志著對物聯(lián)網(wǎng)安全監(jiān)管取得實質(zhì)性進展。2020年12月,時任美國總統(tǒng)特朗普正式簽署《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》,成為美國首個全國范圍內(nèi)的物聯(lián)網(wǎng)安全法律。
雖然《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進法》是以立法形式推出,但這一立法只是對聯(lián)邦政府使用的物聯(lián)網(wǎng)設(shè)備的最低標準,還沒形成有面向全國范圍的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)管框架和標準。2021年,美國總統(tǒng)拜登簽發(fā)了《關(guān)于改善國家網(wǎng)絡(luò)安全行政令》,該行政令中強調(diào)了改善物聯(lián)網(wǎng)安全的必要性,并要求啟動消費物聯(lián)網(wǎng)標簽計劃。這一行政命令代表了美國對于改善全國物聯(lián)網(wǎng)網(wǎng)絡(luò)安全更廣泛的舉措,為物聯(lián)網(wǎng)產(chǎn)品設(shè)定了安全標準、明確了機構(gòu)責任。相關(guān)要求包括:
在本命令發(fā)布后的270天內(nèi),商務(wù)部長通過NIST局長與聯(lián)邦貿(mào)易委員會(FTC)主席和NIST局長認為適當?shù)钠渌麢C構(gòu)的代表進行協(xié)調(diào),確定消費者標簽計劃的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標準,并考慮此類消費者標簽計劃是否可以與任何符合適用法律的類似現(xiàn)有政府計劃一起運作或復制。這些標準應反映產(chǎn)品可能經(jīng)歷的越來越全面的測試和評估水平,并應使用或兼容制造商用來告知消費者其產(chǎn)品安全性的現(xiàn)有標簽方案。NIST總監(jiān)應檢查所有相關(guān)信息、標簽和激勵計劃,并采用最佳實踐。該審查應關(guān)注消費者的易用性,并確定可以采取哪些措施來最大限度地提高制造商的參與度。
在這一行政命令的驅(qū)動下,美國的物聯(lián)網(wǎng)安全標簽計劃緊鑼密鼓地推動起來。2022年10月,白宮召集了來自于物聯(lián)網(wǎng)企業(yè)、高校、第三方協(xié)會和多個政府部門就物聯(lián)網(wǎng)安全標簽計劃召開會議,其中提出了參考“能源之星(Energy Star)”計劃來推動物聯(lián)網(wǎng)安全標簽計劃。
2023年7月,美國宣布“U.S. Cyber Trust Mark”計劃將于2024年正式啟動,并進一步明確地標簽計劃推進的一些細節(jié),主要包括:
(1)標簽計劃覆蓋的產(chǎn)品以消費物聯(lián)網(wǎng)為主
該計劃前期重點針對消費類物聯(lián)網(wǎng)產(chǎn)品,包括智能冰箱、智能空調(diào)、智能電視、智能溫控器、健身追蹤器等家庭物聯(lián)網(wǎng)設(shè)備,并已開始著手定義消費級路由器安全標準,未來也會將路由器納入認證標簽計劃中;同時,美國能源部也宣布合作計劃,研究和制定智能電表和電力逆變器的網(wǎng)絡(luò)安全標簽要求。
(2)以產(chǎn)品包裝上粘貼標簽和二維碼形式為消費者提供相關(guān)信息
計劃通過產(chǎn)品標簽形式實施,標簽包括兩部分,一個是粘貼或印刷在產(chǎn)品包裝盒上的標識,另一個是二維碼,通過這兩部分內(nèi)容,消費者可以獲取所買物聯(lián)網(wǎng)產(chǎn)品的安全信息。以下圖片是標簽的示例。
標簽計劃推進組織已向美國專利商標局提交申請,正在為該計劃申請獨特的標識商標,是獨特的盾牌標識的形狀,粘貼于符合既定網(wǎng)絡(luò)安全標準的產(chǎn)品上,表明產(chǎn)品已按標準通過網(wǎng)絡(luò)安全認證。同時,該標簽也會附上二維碼,可以鏈接該設(shè)備安全認證平臺,為消費者提供關(guān)于這些智能產(chǎn)品具體和可比的安全信息,包括收集了哪些傳感器數(shù)據(jù)、哪些數(shù)據(jù)被共享、如何應對安全更新,例如消費者在新的網(wǎng)絡(luò)安全威脅或需要打補丁時,可以掃描二維碼,了解設(shè)備是否依然通過認證。
(3)進一步明確了推進該計劃的組織架構(gòu)
聯(lián)邦通訊委員會(FCC)是這一計劃的發(fā)起機構(gòu),聯(lián)合美國政府以及多個行業(yè)組織來推動該計劃的實施。
在物聯(lián)網(wǎng)產(chǎn)品安全的認證標準方面,由美國商務(wù)部旗下的國家標準和技術(shù)研究所(NIST)發(fā)布的具體網(wǎng)絡(luò)安全標準來認證和標記產(chǎn)品,包括要求唯一和強大的默認密碼、數(shù)據(jù)保護、軟件更新和事件檢測能力等方面的標準。NIST已發(fā)布了一個針對消費物聯(lián)網(wǎng)產(chǎn)品的基線標準,后續(xù)相關(guān)標準將進一步完善。第三方機構(gòu)的實驗室可能將承擔認證的工作,例如CSA聯(lián)盟(Connectivity Standards Alliance)、消費者技術(shù)協(xié)會(Consumer Technology Association)等。
在該計劃市場推廣方面,美國政府相關(guān)機構(gòu)將支持FCC對消費者進行教育,讓消費者在做出購買決策時注意這一新標簽,根據(jù)標簽所載的安全信息做出購買決定,并鼓勵美國主要零售商優(yōu)先考慮將貼有這一標識的物聯(lián)網(wǎng)產(chǎn)品放在貨架上和電商平臺上。
在監(jiān)督保障方面,F(xiàn)CC還計劃與其他監(jiān)管機構(gòu)和美國司法部合作,建立監(jiān)督和執(zhí)行保障措施,以維持對該計劃的信任和信心。
(4)大量頭部機構(gòu)已宣布支持該計劃
在這一計劃發(fā)布的同時,與家庭物聯(lián)網(wǎng)相關(guān)的頭部廠商基本上已宣布支持該計劃,在白宮發(fā)布會當天參與的機構(gòu)就包括亞馬遜、百思買、卡內(nèi)基梅隆大學、CyLab、思科、CSA聯(lián)盟、消費者報告機構(gòu)、消費者技術(shù)協(xié)會、谷歌、英飛凌、信息技術(shù)產(chǎn)業(yè)委員會、IoXT、是德科技、LG電子美國公司、羅技、OpenPolicy、Qorvo、高通、三星電子、UL、耶魯和August U.S.。
這些機構(gòu)涵蓋了消費物聯(lián)網(wǎng)全產(chǎn)業(yè)鏈各個環(huán)節(jié),且很多都是產(chǎn)業(yè)鏈具有話語權(quán)的機構(gòu),既有制造商,也有零售平臺,還有監(jiān)測認證機構(gòu)、聯(lián)盟組織和高校。有這些機構(gòu)的推動,“U.S. Cyber Trust Mark”雖然是自愿性計劃,但很有可能會成為市場廣為接受的“準強制性”要求。
(5)宣布與盟友加強合作,將該認證推向全球
2023年7月白宮在該計劃進展中提到,美國政府將支持FCC與盟友和合作伙伴一起協(xié)調(diào)標準,并尋求對類似標簽工作的相互認可。可以看出,美國政府也希望其物聯(lián)網(wǎng)可信安全標簽計劃能夠成為一個“全球公認的標簽”。
2023年12月,美國-歐盟在布魯塞爾舉行第九次網(wǎng)絡(luò)對話聯(lián)合聲明中提出,美國和歐盟推進了關(guān)于聯(lián)合網(wǎng)絡(luò)安全產(chǎn)品行動計劃的討論,以共同努力實現(xiàn)對各自政府支持的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全標簽計劃和法規(guī)的相互承認。近期美歐之間簽署合作協(xié)議,正是雙方在這一領(lǐng)域合作的標志性成果。
2024年1月舉辦的CES展會上,美國負責網(wǎng)絡(luò)和新興技術(shù)的副國家安全顧問Anne Neuberger宣布,美國已與歐盟簽署了一項“關(guān)于消費者標簽計劃聯(lián)合路線圖”的合作協(xié)議,推動消費物聯(lián)網(wǎng)設(shè)備安全標簽計劃的國際互認。
2024年12月, FCC宣布選定知名的測試、檢驗和認證服務(wù)商UL Solutions公司作為物聯(lián)網(wǎng)安全標簽計劃的首席管理員,來確定該標簽計劃的測試程序,并作為FCC和第三方安全標簽管理機構(gòu)的聯(lián)絡(luò)員。最終,經(jīng)過18個月的籌備和征求意見,美國版的物聯(lián)網(wǎng)安全標簽計劃終于落地,將為全球物聯(lián)網(wǎng)安全領(lǐng)域促成一個“事實標準”。
2、新加坡:亞太區(qū)首個物聯(lián)網(wǎng)安全標簽計劃
新加坡推出的物聯(lián)網(wǎng)安全標簽計劃名為“Cybersecurity Labelling Scheme (CLS)”,該計劃是由新加坡網(wǎng)絡(luò)安全局(CSA)牽頭推出,作為改善物聯(lián)網(wǎng)安全、提高整體網(wǎng)絡(luò)水平和更好地保護新加坡網(wǎng)絡(luò)空間的努力的一部分。
CLS計劃是亞太區(qū)首個物聯(lián)網(wǎng)安全標簽計劃項目,按照該計劃要求,物聯(lián)網(wǎng)設(shè)備將根據(jù)其網(wǎng)絡(luò)安全規(guī)定的等級進行評級,這將使消費者能夠識別具有更好網(wǎng)絡(luò)安全能力的產(chǎn)品,并做出購買的決策。
CLS計劃最初是為WiFi路由器和智能家居中控設(shè)備而推出的,由于這些產(chǎn)品作為消費物聯(lián)網(wǎng)的樞紐使用范圍更廣,而且這些產(chǎn)品安全隱患可能對用戶產(chǎn)生的影響更大,因此作為優(yōu)先認證對象納入該計劃中。此后,CLS計劃擴展到包括所有類別的消費物聯(lián)網(wǎng)設(shè)備,如IP攝像頭、智能門鎖、智能燈和智能打印機等。
CLS計劃對物聯(lián)網(wǎng)設(shè)備安全形成4個不同等級,同時有4不同的評估等級,每個評估等級按順序完成,反映了產(chǎn)品對可能遭受的網(wǎng)絡(luò)安全攻擊抵抗力不斷增強,相關(guān)體系如下:
第一層評估等級:安全基線要求。要求產(chǎn)品遵循歐洲通信標準化協(xié)會(ETSI)發(fā)布的ETSI EN 303 645標準中的基線要求,通過消除“常見錯誤”來防范大多數(shù)基于常見漏洞(如默認密碼)的攻擊,確保安全更新的可用性并實施管理漏洞報告。
第二層評估等級:生命周期要求。供應商的產(chǎn)品應確保遵守一套國際標準(基于ETSI EN 303 645標準中對設(shè)備所有強制性要求)。
第三層評估等級:軟件二元分析。供應商應根據(jù)《IMDA物聯(lián)網(wǎng)網(wǎng)絡(luò)安全指南》考慮安全因素,在物聯(lián)網(wǎng)設(shè)備的開發(fā)生命周期中采用安全最佳實踐(如威脅建模、安全工程方法、安全供應鏈、安全測試等)來確保設(shè)備的安全性。此外,測試實驗室使用自動二元分析工具對物聯(lián)網(wǎng)設(shè)備的軟件進行評估,以確保沒有已知的關(guān)鍵軟件缺陷、漏洞或惡意軟件。
第四層評估等級:滲透測試。連接的設(shè)備經(jīng)過測試實驗室的滲透測試,以提供對常見網(wǎng)絡(luò)安全攻擊的基本抵御能力。
其中第一、第二兩個層級評估只需制造商自己的符合性聲明,而第三和第四兩個層級評估必須經(jīng)過第三方獨立測試才能通過認證。
通過4不同層級的評估,最終給予相應物聯(lián)網(wǎng)設(shè)備賦予不同等級標簽,用不同數(shù)量星號標識出來,并顯示其安全等級。相關(guān)標簽可以粘貼在智能家居產(chǎn)品包裝上,示例如下:
其中一級表示該產(chǎn)品已滿足基本的安全要求;二級表示該產(chǎn)品滿足1級要求并符合國際標準的所有強制性安全要求;三級表示滿足2級要求,并采用設(shè)計安全原則開發(fā),通過了經(jīng)批準的第三方測試實驗室對軟件二元評估;四級表示該產(chǎn)品滿足3級要求,并經(jīng)過了經(jīng)批準的第三方測試實驗室的結(jié)構(gòu)化滲透測試。
3、日本:即將啟動的標簽計劃
2024年3月,日本經(jīng)濟產(chǎn)業(yè)省發(fā)布了《物聯(lián)網(wǎng)安全合格評估計劃草案》征求意見稿,該草案可以看作是日本版物聯(lián)網(wǎng)安全標簽計劃,對標美國、歐盟、新加坡等國家和地區(qū)的物聯(lián)網(wǎng)安全標簽計劃。
日本經(jīng)濟產(chǎn)業(yè)省于2022年11月成立了一個“物聯(lián)網(wǎng)產(chǎn)品安全合格評估計劃研究小組”,該小組經(jīng)過調(diào)研討論,決定建立一個物聯(lián)網(wǎng)產(chǎn)品安全符合性評估方案并在全社會廣泛傳播,《物聯(lián)網(wǎng)安全合格評估計劃草案》正是該小組的成果,全面介紹了日本版物聯(lián)網(wǎng)安全標簽計劃的目標定位、管理架構(gòu)、適用范圍、評估標準等。
和美國版物聯(lián)網(wǎng)安全標簽計劃類似,日本首先也強調(diào)該方案是一個自愿性項目。同時,關(guān)于物聯(lián)網(wǎng)產(chǎn)品的定義,該計劃沿用歐洲通信標準化協(xié)會ETSI EN 303 645標準中對物聯(lián)網(wǎng)的定義,包括物聯(lián)網(wǎng)產(chǎn)品和相關(guān)服務(wù)。這一定義和范疇與美國版物聯(lián)網(wǎng)安全標簽計劃適用范圍基本吻合,都包含了物聯(lián)網(wǎng)產(chǎn)品及其附加服務(wù)。
日本版計劃通過建立物聯(lián)網(wǎng)安全分級機制來實施不同的評估。該機制一共分為4個層級,層級1為符合安全基線的標準,以解決適用范圍內(nèi)所有物聯(lián)網(wǎng)產(chǎn)品常見的、最低威脅基準,層級2至層級4的標準要求逐漸提高。
獲得不同層級標簽的方式不同,其中,針對層級1和層級2,通過物聯(lián)網(wǎng)產(chǎn)品供應商自我符合性聲明即可獲得安全標簽,以促進該計劃的傳播;對于層級3和層級4,將根據(jù)獨立測試實驗室的第三方評估后再決定授予標簽,尤其是層級3及以上旨在供政府機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施提供商采購使用,因此會要求高可靠性。
管理機制方面,日本明確由經(jīng)濟產(chǎn)業(yè)省旗下的信息處理推進機構(gòu)(Information-technology Promotion Agency, IPA)作為所有者來統(tǒng)一運營標簽計劃,IPA本身也運營著的日本信息技術(shù)安全評估和認證計劃,未來將這一計劃將擴大到包括物聯(lián)網(wǎng)安全標簽計劃。IPA將為該計劃設(shè)立一個秘書處,以促進該計劃的傳播。
日本在該方案中提到了與其他國家物聯(lián)網(wǎng)安全標簽計劃的合作,主要包括美國、歐盟、新加坡和英國。預計2025年將正式實施層級1標簽計劃,接受企業(yè)符合性聲明形式獲得標簽,屆時會宣布與新加坡和英國相對應計劃的互認。而對于美國和歐盟,會在后續(xù)實施中選擇適當時候公布互認合作。
4、芬蘭:歐洲首個物聯(lián)網(wǎng)安全標簽計劃
早在2019年11月,芬蘭交通和通信管理機構(gòu)Traficom發(fā)布了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標簽計劃“Cybersecurity Label”,該計劃向消費者保證貼有標簽的設(shè)備具有基本的信息安全功能,旨在通過該標簽提高消費者對信息安全和安全使用物聯(lián)網(wǎng)設(shè)備的意識。
Traficom下設(shè)的芬蘭國家網(wǎng)絡(luò)安全中心(NCSC-FI)開發(fā)了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標簽的認證流程,其認證依據(jù)ETSI發(fā)布的標準ETSI EN 303 645。物聯(lián)網(wǎng)安全標簽直接向客戶表明產(chǎn)品安全相關(guān)功能已實施了安全措施,包括:密碼、軟件更新、數(shù)據(jù)保護、數(shù)據(jù)的安全傳輸和存儲、安全默認設(shè)置等。
物聯(lián)網(wǎng)產(chǎn)品制造商除了要對安全信息進行自我、自我評估聲明外,還需要進行第三方的信息安全測試和評估。獲得標簽后,每年還需要進行審查,審查產(chǎn)品信息安全功能是否發(fā)生變化,若發(fā)生變化還需要進一步申請和評估。
5、德國:寬松的標簽申請流程,但進行事后監(jiān)督
2021年9月,德國聯(lián)邦信息安全辦公室也推出了自己的物聯(lián)網(wǎng)安全標簽計劃,該計劃名稱為“IT-Security Label”。產(chǎn)品供應商要獲得標簽,可以向德國聯(lián)邦信息安全辦公室提出申請,聯(lián)邦信息安全辦公室在對提交文件進行檢查后,生成一定有效期限的標簽。
“IT-Security Label”計劃依據(jù)的也是ETSI EN 303 645標準,不同于新加坡和芬蘭的標簽計劃,德國的物聯(lián)網(wǎng)安全標簽計劃要求產(chǎn)品供應商進行自我聲明的形式,沒有安排第三方機構(gòu)進行認證。這似乎會無法保障安全信息的真實性,讓一些產(chǎn)品制造商鉆空子,不過后期還有一些安排來規(guī)避這一問題。
在產(chǎn)品上市后,德國市場監(jiān)管部門會對物聯(lián)網(wǎng)產(chǎn)品制造商聲明的安全特征信息進行檢查,采用抽查、例行檢查或根據(jù)情況進行轉(zhuǎn)型審計形式,測試產(chǎn)品上粘貼的安全標簽包含的信息是否和產(chǎn)品實際情況相符。檢查不符的,將撤銷標簽,對品牌和產(chǎn)品形象會造成不可挽回的損失,這在很大程度上規(guī)避了制造商造假。
“IT-Security Label”也是以粘貼在產(chǎn)品包裝上的標簽展示的,包括符合德國聯(lián)邦信息安全辦公室的聲明以及安全相關(guān)信息。以下的標簽就是小米一款在德國售賣的掃地機器人的物聯(lián)網(wǎng)安全標簽。
通過這一標簽,消費者可以了解到以下信息:安全信息透明度、訪問控制、安全通信、軟件更新、安全機制可用性、產(chǎn)品接口保護等。
(二)針對物聯(lián)網(wǎng)產(chǎn)品專門法案相繼推出
1、英國:即將到來的強制性安全法規(guī)
2021年11月,英國數(shù)字、文化、媒體和體育部提出了《產(chǎn)品安全和電信基礎(chǔ)設(shè)施(PSTI)法案》。PSTI法案關(guān)注的一個重點是消費物聯(lián)網(wǎng)設(shè)備的安全性,于2022年12年獲得批準,將于2024年4月29日生效。
對于消費物聯(lián)網(wǎng)設(shè)備,英國政府提到包括智能電視、游戲機、安防攝像頭和報警系統(tǒng)、智能玩具和嬰兒監(jiān)視器、智能家居中控、智能音響以及洗衣機和冰箱等智能家電。該法案通過確保這些產(chǎn)品在設(shè)計時內(nèi)置強大的網(wǎng)絡(luò)安全功能,將保護設(shè)備安全的責任從消費者身上轉(zhuǎn)移開來。
早在2018年,英國政府發(fā)布了一份名為《Code of Practice for Consumer IoT Security》的安全準則,該準則包含物聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全最佳實踐的13項指導方針,不過,這一準則不具有法律約束力。
PSTI法案是建立在該準則基礎(chǔ)上,該法案的第一部分側(cè)重于消費物聯(lián)網(wǎng)設(shè)備本身的安全性,對于相關(guān)設(shè)備制造商、進口商和零售商提出了強制性要求,重點是從三個方面對物聯(lián)網(wǎng)產(chǎn)品安全性產(chǎn)生重大影響:
一是支持期的明確信息披露要求:制造商必須提供有關(guān)其產(chǎn)品更新和支持持續(xù)時間的明確信息,這種透明度確保消費者知道他們的物聯(lián)網(wǎng)設(shè)備可以獲得的支持的時間范圍;
二是默認密碼的要求:每個產(chǎn)品都有一個唯一的密碼,首次登錄時必須使用該密碼,禁止使用容易猜到的默認密碼,確保每臺設(shè)備從一開始就使用獨特且可靠的密碼進行保護;
三是安全問題的報告:制造商必須建立并傳達報告安全漏洞的明確程序,包括提供報告漏洞的聯(lián)系信息,確保客戶及時了解任何已識別的漏洞并獲得及時的修復。
對于違反PSTI法案的行為,立法監(jiān)管機構(gòu)可能對違法企業(yè)處以1000萬英鎊或企業(yè)年營業(yè)額4%的罰款,或許還會要求對產(chǎn)品的召回。
2、歐盟:針對物聯(lián)網(wǎng)安全的里程碑式法案
2022年,歐盟提出了《網(wǎng)絡(luò)彈性法案》(Cyber Resilience Act,CRA),該法案對包括物聯(lián)網(wǎng)設(shè)備在內(nèi)的數(shù)字產(chǎn)品從設(shè)計到上市都提出了嚴格的網(wǎng)絡(luò)安全要求,不少從業(yè)者認為,該法案代表了整個歐盟在物聯(lián)網(wǎng)設(shè)備安全標準化方面邁出的重要一步,同時也對物聯(lián)網(wǎng)供應鏈管理提出了嚴格的要求。
具體來說,CRA明確提出,法案適用于所有直接或間接連接到另一設(shè)備或網(wǎng)絡(luò)的數(shù)字產(chǎn)品,其中數(shù)字產(chǎn)品包括“任何軟件或硬件產(chǎn)品及其遠程數(shù)據(jù)處理解決方案,包括單獨投放市場的軟件或硬件組件”。很明顯,物聯(lián)網(wǎng)設(shè)備基本都會納入這一法案的范疇。
同時,該法案將適用于這些產(chǎn)品從設(shè)計階段到淘汰階段的整個生命周期。此外,制造商將有義務(wù)持續(xù)和系統(tǒng)地識別和記錄相關(guān)的網(wǎng)絡(luò)安全內(nèi)容,漏洞必須在產(chǎn)品的生命周期內(nèi)得到有效處理,這包括立即補救安全漏洞的風險相關(guān)義務(wù)(特別是通過提供軟件更新形式)。
CRA引入了一個產(chǎn)品分類系統(tǒng),根據(jù)產(chǎn)品對網(wǎng)絡(luò)安全的潛在影響,將這些產(chǎn)品劃分為三個等級,其中基本的安全要求可以由制造商自我評估,高等級可能會引入第三方評估機構(gòu)進行強制認證。基本的安全要求包括“適當”級別的網(wǎng)絡(luò)安全、禁止發(fā)布具有任何已知漏洞的產(chǎn)品、默認配置的安全性、防止未經(jīng)授權(quán)的訪問、限制攻擊面和最小化事件影響,產(chǎn)品必須確保數(shù)據(jù)的機密性,包括使用加密、保護其完整性以及僅處理其運行所必需的數(shù)據(jù)。
不遵守基本要求的罰款可能高達 1500 萬歐元或年營業(yè)額的 2.5%,以較高者為準。
這一法案影響范圍很大,因此在法案生效前還需要進行長時間的準備,包括準備相關(guān)指導文件、產(chǎn)品名單以及所涵蓋產(chǎn)品的統(tǒng)一標準等。美歐網(wǎng)絡(luò)安全對話聯(lián)合聲明中提到的物聯(lián)網(wǎng)安全合作,其中也提到了推出物聯(lián)網(wǎng)安全標簽是CRA法案落實中的一個領(lǐng)域。
二、不斷推進的物聯(lián)網(wǎng)安全舉措帶來的啟示
物聯(lián)網(wǎng)連接數(shù)的快速上升,帶來巨大的安全隱患已成為共識,很少有人反對針對物聯(lián)網(wǎng)安全采取有效措施。通過對以上多個發(fā)達經(jīng)濟體在物聯(lián)網(wǎng)安全措施的分析,我們可以總結(jié)出一些啟示。
(一)對消費物聯(lián)網(wǎng)產(chǎn)品安全采取措施是當務(wù)之急
市場研究機構(gòu)IoT Analytics數(shù)據(jù)顯示,預計2023全球物聯(lián)網(wǎng)連接數(shù)超過160億。而這么大規(guī)模的物聯(lián)網(wǎng)連接中,超過70%的設(shè)備是通過WiFi、藍牙、Zigbee等短距離通信技術(shù)連接的,產(chǎn)品形態(tài)以智能家居、穿戴設(shè)備等消費類物聯(lián)網(wǎng)設(shè)備為主。
物聯(lián)網(wǎng)設(shè)備安全隱患日益突出,網(wǎng)絡(luò)攻擊、隱私泄露等問題層出不窮,這其中消費類物聯(lián)網(wǎng)設(shè)備的安全隱患更為突出。加上消費類物聯(lián)網(wǎng)設(shè)備出貨量規(guī)模超過產(chǎn)業(yè)物聯(lián)網(wǎng)設(shè)備,對于消費物聯(lián)網(wǎng)設(shè)備安全進行認證就顯得很有必要。畢竟用戶不希望智能冰箱、智能門鎖有安全隱患,不想在家里有一雙眼睛長期盯著自己。
產(chǎn)業(yè)物聯(lián)網(wǎng)面向的是各類企業(yè),大量企業(yè)自身具有識別安全問題的技術(shù)能力,也建立了企業(yè)網(wǎng)絡(luò)安全相關(guān)標準,加上企業(yè)和供應商簽訂的合同中,一般都有非常嚴格的安全條款,能夠在一定程度上保障自身的安全性,因此產(chǎn)業(yè)物聯(lián)網(wǎng)的安全隱患相對小一些。
但是,個人消費者、家庭用戶沒有專業(yè)的知識,對自身使用產(chǎn)品的網(wǎng)絡(luò)安全信息了解非常有限,即使發(fā)生安全按事故,由于使用人群非常分散,維權(quán)也非常困難,消費物聯(lián)網(wǎng)領(lǐng)域很容易成為隱私泄露和信息安全重災區(qū)。
因此,各國不論是推進物聯(lián)網(wǎng)安全立法,還是推進物聯(lián)網(wǎng)安全標簽計劃,都主要針對的是消費類物聯(lián)網(wǎng)。目前,消費物聯(lián)網(wǎng)領(lǐng)域的安全問題已經(jīng)在不斷積累,持續(xù)下去會造成非常惡劣的影響,因此針對消費物聯(lián)網(wǎng)安全采取措施是物聯(lián)網(wǎng)安全工作的當務(wù)之急。
(二)物聯(lián)網(wǎng)安全標簽計劃是一種有效的市場化手段
如何才能有效地推動消費物聯(lián)網(wǎng)安全相關(guān)工作落地?從前面分析中可以看出,各國采取立法和安全標簽計劃來實施。
通過立法手段雖然能夠形成強制性,但由于物聯(lián)網(wǎng)碎片化的特點,不同產(chǎn)品面臨的安全要求不同,立法在很大程度上只能對安全基線或框架性要求做出規(guī)定并強制推動執(zhí)行。另外,立法涉及面非常廣,制定周期和實施周期也很長。
物聯(lián)網(wǎng)安全標簽計劃給出了一個簡單有效的落地方法,這一計劃是非強性的,但能真實反映不同產(chǎn)品安全的有效信息,讓用戶一目了然能夠知曉相關(guān)信息,同時以市場化的機制激勵企業(yè)在安全領(lǐng)域做更多投資,將安全作為一個差異化的能力,提升自身競爭力。
例如,芬蘭Traficom此前對消費者購買和使用物聯(lián)網(wǎng)設(shè)備的態(tài)度和意愿進行調(diào)研,一個重要發(fā)現(xiàn)是,大部分芬蘭人都關(guān)心這些智能設(shè)備的信息安全問題,而其中三分之二的人認為提供易于理解的物聯(lián)網(wǎng)設(shè)備安全信息非常重要。然而,市場上物聯(lián)網(wǎng)設(shè)備的安全級別各不相同,而此前還沒有一種簡單的方法讓消費者知道哪些產(chǎn)品是安全的、哪些是不安全的。因此,芬蘭政府決定推出物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標簽工具,通過幫助消費者快速識別足夠安全的設(shè)備,使購買決策變得更加容易。
另外,標簽計劃能夠幫助產(chǎn)品制造廠商從競爭中脫穎而出。美國的標簽計劃參考“能源之星”認證,能源之星是美國能源部和美國環(huán)保署共同推行的一項政府計劃,旨在更好地保護生存環(huán)境,節(jié)約能源。1992年由美國環(huán)保署參與,最早在電腦產(chǎn)品上推廣,后來納入此認證范圍的產(chǎn)品已達30多類,如家用電器、制熱/制冷設(shè)備、電子產(chǎn)品照明產(chǎn)品等。
能源之星計劃為自愿性,其標準通常比美國聯(lián)邦標準節(jié)能20-30%,但能源之星評級已成為消費者和企業(yè)購買決策的一個重要組成部分。目前能源之星計劃已得到全球主要經(jīng)濟體的認可,成為各類產(chǎn)品出海的“通行證”。我國也有很多出口的電器產(chǎn)品在出口前提交由受認可的、批準的實驗室出具的測試結(jié)果,獲得能源之星認證標簽,這個標簽成為進入發(fā)達國家市場競爭力的標志之一。
若是物聯(lián)網(wǎng)安全標簽計劃能夠像能源之星計劃一樣實施,相信能夠快速驅(qū)動大部分消費物聯(lián)網(wǎng)廠商加大對安全的投入,從很大程度上提升物聯(lián)網(wǎng)總體安全水平,保護消費者利益。
(三)物聯(lián)網(wǎng)安全標簽國際統(tǒng)一互認趨勢明顯
消費物聯(lián)網(wǎng)產(chǎn)品面向的是全球市場,為了避免物聯(lián)網(wǎng)安全標簽的碎片化,給產(chǎn)品在不同國家和地區(qū)的應用造成影響,主要經(jīng)濟體推動統(tǒng)一安全標簽標準和互認是一個確定的趨勢。前文中提到,美國已和歐盟簽署物聯(lián)網(wǎng)安全標簽合作協(xié)議,若兩方能夠順利推進,則會形成歐美物聯(lián)網(wǎng)安全大市場,讓銷往歐美的物聯(lián)網(wǎng)產(chǎn)品面對著同一標準。
過去幾年,物聯(lián)網(wǎng)安全標簽互認也取得一些進展。例如,此前新加坡推動和芬蘭、德國進行標簽的互認,簽訂互認協(xié)議。根據(jù)協(xié)議,符合芬蘭標簽計劃的消費物聯(lián)網(wǎng)產(chǎn)品可以視為符合新加坡標簽計劃的第3等級要求,符合德國標簽計劃消費物聯(lián)網(wǎng)產(chǎn)品可以被認定為達到新加坡標簽計劃第2等級要求。通過這些互認的協(xié)議,降低了進入這3個國家產(chǎn)品的成本。
另一個值得關(guān)注的方向是這些標簽計劃認證背后依據(jù)的標準。從前文分析中可以看出,ETSI EN 303 645這一標準得到新加坡、德國、芬蘭、英國等廣泛采用,成為一個高度認可的標準,未來可能將繼續(xù)發(fā)揮作用。
三、推出中國版物聯(lián)網(wǎng)安全標簽計劃
海外物聯(lián)網(wǎng)安全標簽計劃發(fā)展得如火如荼,中國作為全球最大的物聯(lián)網(wǎng)應用和產(chǎn)品生產(chǎn)國,必須盡快將物聯(lián)網(wǎng)安全標簽計劃提上議事日程,支持國內(nèi)龐大的物聯(lián)網(wǎng)產(chǎn)品提升全球競爭力。在這個過程中政策制定者、產(chǎn)業(yè)鏈各類企業(yè)、標準化組織、測試認證機構(gòu)等主體都需要對其進行深入研究并推動布局。
一是深入研究海外標簽計劃并鼓勵企業(yè)加入這一計劃。
我國是出口大國,近年來出口商品中,智能化產(chǎn)品成為一個亮點,出口規(guī)模不斷增長。以家電為例,海關(guān)總署數(shù)據(jù)顯示,2023年1-10月我國累計出口家電超過30億臺,同比增長8.4%,其中,出口空調(diào)4172萬臺,冰箱5549萬臺,洗衣機2370萬臺。這些出口的家電中,相當比例是智能家電產(chǎn)品,帶有聯(lián)網(wǎng)功能。除了這些大家電之外,智能門鎖、智能掃地機器人、智能炒菜機等新型家電也是海外青睞的產(chǎn)品。
各類出口產(chǎn)品首先必須符合海外相關(guān)法律法規(guī),并參與一些主要認證,提升自身產(chǎn)品的競爭力。物聯(lián)網(wǎng)安全標簽計劃重點針對的是消費物聯(lián)網(wǎng)產(chǎn)品,尤其是智能家居產(chǎn)品,以上出口的智能家電基本都會納入物聯(lián)網(wǎng)安全標簽計劃中。
物聯(lián)網(wǎng)安全標簽計劃不是強制性的,但它依然會顯著影響到我國出口產(chǎn)品的競爭力。能源之星計劃或許可以對其起到參考作用,過去多年,我國出口的機電產(chǎn)品中相當一部分是能源之星認證范疇內(nèi)的產(chǎn)品,能源之星認證推動本土品牌“走出去”,也優(yōu)化了營商環(huán)境。
參考能源之星計劃,我國企業(yè)應深入研究物聯(lián)網(wǎng)安全標簽計劃的規(guī)則,積極加入這一認證,獲得出海競爭力。在物聯(lián)網(wǎng)安全標簽計劃全球主要經(jīng)濟體互認的趨勢下,加入標簽計劃能夠為建立全球更多國家市場競爭力打下基礎(chǔ)。
二是必須意識到推出物聯(lián)網(wǎng)安全標簽計劃的緊迫性。
從過去幾年主要發(fā)達經(jīng)濟體的做法來看,物聯(lián)網(wǎng)安全標簽計劃已經(jīng)成為一個主流的選擇,我國需要盡快推出中國版的物聯(lián)網(wǎng)安全標簽計劃。
推出中國版的物聯(lián)網(wǎng)安全標簽計劃,需要建立完善物聯(lián)網(wǎng)安全標準。參考歐洲通信標準化協(xié)會ETSI EN 303 645標準,建議國內(nèi)物聯(lián)網(wǎng)標準化組織加快制定與海外主流標準相符的安全標準體系,支撐標簽計劃開展。
2023年8月,由中國質(zhì)量認證中心、中國家用電器研究院、工業(yè)和信息化部電子第五研究所等單位聯(lián)合起草的物聯(lián)網(wǎng)家電產(chǎn)品網(wǎng)絡(luò)安全標準和認證規(guī)則正式發(fā)布,基于這一標準物聯(lián)網(wǎng)家電產(chǎn)品認證的相關(guān)工作也同步展開起來。可以看出,針對消費物聯(lián)網(wǎng)安全的認證工作已得到業(yè)界認可,但我們在標簽計劃方面的經(jīng)驗還不足。
通過建立物聯(lián)網(wǎng)安全標簽計劃,也是規(guī)范我國物聯(lián)網(wǎng)產(chǎn)品市場的有效手段。正如海外各國政府推動物聯(lián)網(wǎng)安全標簽計劃初衷,通過物聯(lián)網(wǎng)安全標簽計劃,可以大幅度提升公眾對于物聯(lián)網(wǎng)產(chǎn)品的安全意識,同時讓那些欠缺安全能力、不注重安全方案的廠商和產(chǎn)品逐漸被淘汰。
三是大力推動中國版物聯(lián)網(wǎng)安全標簽計劃與海外的互認。
物聯(lián)網(wǎng)安全標簽計劃國際互認是一個大趨勢,我國在建立中國版物聯(lián)網(wǎng)安全標簽計劃的過程中,同步可以推動與主要國家的深度合作,爭取我國的標簽計劃出臺后,主要國家也可以認可,提升我國在物聯(lián)網(wǎng)安全方面的話語權(quán)。基于這一條件,國內(nèi)廠商只要符合中國版物聯(lián)網(wǎng)安全標簽計劃要求,即可得到海外主要國家的認可,大幅降低我國物聯(lián)網(wǎng)產(chǎn)品企業(yè)出海的成本。
同時,提前籌劃建設(shè)本土的物聯(lián)網(wǎng)安全標簽認證實驗室也可以提上日程。海外多個國家的標簽計劃都會委托第三方認證機構(gòu)對物聯(lián)網(wǎng)產(chǎn)品進行安全檢測,對于國內(nèi)出海產(chǎn)品,若能在本土授權(quán)機構(gòu)獲得認證,將大幅降低出海成本。
仍然以能源之星為例,2010年,美國環(huán)保署發(fā)布通知,要求進行能源之星產(chǎn)品檢測的實驗室需要提前獲得其授權(quán)的認可機構(gòu)認可,出具的檢測結(jié)果才能被美方接受,這給我國電子電器、計算機、家用電器、照明等能源之星認證范圍內(nèi)的產(chǎn)品出口美國市場帶來不確定性。中國合格評定國家認可委員會(CNAS)做了大量工作,最終正式進入能源之星授權(quán)的認可機構(gòu)名錄。目前我國獲認可的能源之星實驗室數(shù)量已達到80余家,約占全球總數(shù)的四分之一。依托認可的國際互認成果,國內(nèi)實驗室的檢測數(shù)據(jù)直接被美方承認,不僅大大縮短了產(chǎn)品備案周期,還大幅節(jié)約企業(yè)尤其是中小微企業(yè)的測試驗證成本。
借鑒這一經(jīng)驗,國內(nèi)相關(guān)機構(gòu)可以提前進行籌劃,了解物聯(lián)網(wǎng)安全認證的相關(guān)規(guī)范,建設(shè)本土認證實驗室,助力國內(nèi)物聯(lián)網(wǎng)企業(yè)尤其是中小企業(yè)產(chǎn)品出口。
市場研究機構(gòu)Statista研究報告顯示,到2027年全球預計有6.72億家庭會使用智能家居設(shè)備,市場規(guī)模的擴大也帶來安全隱患將更為嚴峻。物聯(lián)網(wǎng)安全標簽計劃或許是當前和以后階段最為有效的市場化手段,來應對這一安全隱患,屆時安全能力將成為物聯(lián)網(wǎng)企業(yè)的一個顯性競爭力表現(xiàn)。
