打印页面

首页 > 物联网 美国政府推出物联网安全标签计划,中国物联网产业如何应对?

美国政府推出物联网安全标签计划,中国物联网产业如何应对?

作者:赵小飞

物联网智库 原创

导读

在物联网连接数快速增长并对人们生产生活产生重大影响的背景下,推动物联网安全标签计划具有重要意义,也对我国物联网产业发展带来一定启示。

近日,美国政府宣布了一个名为“U.S. Cyber Trust Mark”网络安全和认证的标签计划,该计划由美国联邦通讯委员会(FCC)发起,主要针对家庭物联网设备,将于2024年启动,目的是为了帮助消费者筛选那些不易受网络安全攻击的可信设备,保护消费者合法权益。“U.S. Cyber Trust Mark”计划是美国政府近年来针对物联网安全出台的系列措施中重要的组成部分,相对于其他政策,这一计划更具有商业可行性,因此受到业界高度关注。在物联网连接数快速增长并对人们生产生活产生重大影响的背景下,推动物联网安全标签计划具有重要意义,也对我国物联网产业发展带来一定启示。

一、物联网安全标签计划概况

从本次白宫和FCC发布的相关新闻稿可以看出,“U.S. Cyber Trust Mark”计划实施的相应条件已经具备,对于物联网设备网络安全和隐私保护有明显作用。该计划的主要内容包括:

1、该计划聚焦于消费物联网设备

目前该计划重点针对消费类物联网产品,包括智能冰箱、智能空调、智能电视、智能温控器、健身追踪器等家庭物联网设备,并已开始着手定义消费级路由器安全标准,未来也会将路由器纳入认证标签计划中;同时,美国能源部也宣布合作计划,研究和制定智能电表和电力逆变器的网络安全标签要求。

众所周知,物联网的安全隐患非常严峻,FCC引用美国第三方机构的数据显示,2021年前半年,针对物联网的安全供给已有15亿次,其中相当部分是针对家庭摄像头、智能冰箱等智能家居设备,所以通过物联网安全标识计划,对家庭物联网产品进行认证很有必要。

2、通过产品包装贴标签形式,给消费者购买时提供参考

“U.S. Cyber Trust Mark”计划通过产品标签形式实施,标签包括两部分,一个是粘贴或印刷在产品包装盒上的标识,另一个是二维码,通过这两部分内容,消费者可以获取所买物联网产品的安全信息。

标识方面,FCC已向美国专利商标局提交申请,正在为该计划申请独特的标识商标,是独特的盾牌标识的形状,粘贴于符合既定网络安全标准的产品上,表明产品已按标准通过网络安全认证。同时,FCC计划同时附上二维码,可以链接该设备安全认证平台,为消费者提供关于这些智能产品具体和可比的安全信息,包括收集了哪些传感器数据、哪些数据被共享、如何应对安全更新,例如消费者在新的网络安全威胁或需要打补丁时,可以扫描二维码,了解设备是否依然通过认证。

3、多个机构联合推动该计划实施

FCC是这一计划的发起机构,此前,FCC还联合美国政府以及多个行业组织来推动该计划的实施。

首先,在对物联网产品的认证标准方面,该计划将利用利益相关方主导的工作,根据美国国家标准和技术研究所(NIST)发布的具体网络安全标准来认证和标记产品,包括要求唯一和强大的默认密码、数据保护、软件更新和事件检测能力等方面的标准。NIST在去年9月发布了一个针对消费物联网产品的基线标准,后续相关标准将进一步完善。此外,美国联邦贸易委员会也在其中发挥重要作用。第三方机构的实验室可能将承担认证的工作,例如CSA(Connectivity Standards Alliance)、消费者技术协会(Consumer Technology Association)等。

其次,在该计划市场推广方面,美国政府相关机构将支持FCC对消费者进行教育,让消费者在做出购买决策时注意这一新标签,根据标签所载的安全信息做出购买决定,并鼓励美国主要零售商优先考虑将贴有这一标识的物联网产品放在货架上和电商平台上。

再次,在监督保障方面,FCC还计划与其他监管机构和美国司法部合作,建立监督和执行保障措施,以维持对该计划的信任和信心。

4、虽然是自愿性计划,但主导厂商已表示支持

“U.S. Cyber Trust Mark”并不是一个强制性的计划,白宫和FCC明确各制造商和零售商可自愿选择加入。不过,在这一计划发布的同时,与家庭物联网相关的头部厂商基本上已宣布支持该计划。白宫发布的新闻稿中提到,发布会当天参与的机构包括亚马逊、百思买、卡内基梅隆大学、CyLab、思科、CSA、消费者报告机构、消费者技术协会、谷歌、英飞凌、信息技术产业委员会、IoXT、是德科技、LG电子美国公司、罗技、OpenPolicy、Qorvo、高通、三星电子、UL、耶鲁和August U.S.。

可以看出,这些机构涵盖了消费物联网全产业链各个环节,且很多都是产业链具有话语权的机构,既有制造商,也有零售平台,还有监测认证机构、联盟组织和高校,有这些机构的推动,“U.S. Cyber Trust Mark”虽然是自愿性计划,但很有可能会成为市场广为接受的“准强制性”要求。当然,在首批支持者群体中,少了苹果这一角色,似乎有些遗憾。

5、与盟友加强合作,意在将该认证推向全球

白宫在其新闻稿中提到,在国际上,美国政府将支持FCC与盟友和合作伙伴一起协调标准,并寻求对类似标签工作的相互认可。例如,美国提出已和欧盟推动统一标准的合作,并开始接触新加坡的网络安全标签计划。可以看出,美国政府也希望其物联网可信安全标签计划能够成为一个“全球公认的标签”。二、从能源之星计划的启示,更具商业可行性早在近10年前,美国立法者就意识到了物联网带来的安全威胁,开始推动物联网安全方面的立法。2018年9月,美国加利福尼亚州批准通过了《IoT设备网络安全法》,虽然只是加州的法律,但这是美国推出的首部物联网安全专门的立法,具有划时代意义,标志着对物联网安全监管取得实质性进展。2020年12月,时任美国总统特朗普正式签署《物联网网络安全改进法》,成为美国首个全国范围内的物联网安全法律。

美国《物联网网络安全改进法》中,对物联网产品进行明确定义,即至少有一个传感器(传感器或驱动器)用于物理世界直接交互,至少有一个网络接口,并且不是传统的信息技术设备,如智能手机和笔记本电脑,其网络安全特性的识别和实施已被充分了解,并且能够独立工作,而不是只能作为另一个设备组件进行工作,如处理器。根据这一定义,目前家庭中使用的各类智能家居设备产品都在这一范围之内。

2021年,美国总统拜登签发了《关于改善国家网络安全行政令》,该行政令中强调了改善物联网安全的必要性,并要求启动消费物联网标签计划,具体包括:

在本命令发布后的270天内,商务部长通过NIST局长与联邦贸易委员会(FTC)主席和NIST局长认为适当的其他机构的代表进行协调,确定消费者标签计划的物联网网络安全标准,并考虑此类消费者标签计划是否可以与任何符合适用法律的类似现有政府计划一起运作或复制。这些标准应反映产品可能经历的越来越全面的测试和评估水平,并应使用或兼容制造商用来告知消费者其产品安全性的现有标签方案。NIST总监应检查所有相关信息、标签和激励计划,并采用最佳实践。该审查应关注消费者的易用性,并确定可以采取哪些措施来最大限度地提高制造商的参与度。此后,物联网安全标签计划就紧锣密鼓推动起来。2022年10月,白宫召集了来自于物联网企业、高校、第三方协会和多个政府部门就物联网安全标签计划召开会议,其中提出了参考“能源之星(Energy Star)”计划来推动物联网安全标签计划。

能源之星是美国能源部和美国环保署共同推行的一项政府计划,旨在更好地保护生存环境,节约能源。1992年由美国环保署参与,最早在电脑产品上推广,后来纳入此认证范围的产品已达30多类,如家用电器、制热/制冷设备、电子产品照明产品等。

能源之星计划为自愿性,其标准通常比美国联邦标准节能20-30%,但能源之星评级已成为消费者和企业购买决策的一个重要组成部分。所有制造商必须提交由受认可的、批准的实验室出具的测试结果,以保证产品符合标准,才能获得能源之星认证标签。

借鉴能源之星计划,相关机构也推出了物联网安全标签的初步研究。例如,应邀参加会议的卡内基梅隆大学旗下的实验室就提出一个物联网安全标签的原型如下:

从标签原型可以看出,该标签提供了安全更新信息、控制访问方式、收集的数据信息等。更重要的是,标签本身还注明了收集数据的用途、存储位置、分享对象和是否售卖数据等信息,可以说这一标签包含了用户主要关注的隐私信息和厂商给出的承诺。当然,若标签信息全部显示,则其所占面积就非常大,很多产品包装盒上无疑无法给出这么大空间,因此可以通过二维码的形式来提供相关信息。

除了能源之星的启示外,海外也有类似的物联网安全标签计划供参考,例如新加坡此前就推出了自己的网络安全标签计划,用于改善物联网安全性。这一计划最初只是为了覆盖路由器和网关而推出的,此后扩展到了所有消费级物联网设备上,比如摄像头、智能门锁、智能灯具和智能打印机等。

新加坡的物联网安全标签计划将所有联网的消费设备分为四级,第一级是满足基本的安全要求,第二级是遵守了安全设计规范,第三级则是不存在已知的常见软件漏洞,第四级为可抵抗常见的网络攻击。其中第一、第二两个等级只需制造商自己的符合性声明,而第三和第四两个等级都必须经过第三方独立测试才能通过认证。新加坡这一计划得到芬兰、德国的认可。

三、对国内物联网产业的建议2024年,“U.S. CyberTrust Mark”计划正式实施,届时很多消费类物联网产品都将进行标签认证并在美国乃至全球市场得到认可。国内物联网市场并不是一个封闭的群体,需高度关注这一计划的相关进度,积极推动物联网产品安全的建设。在笔者看来,我们可以从两方面来分析美国这一计划对国内的影响。1、国内出海的物联网企业应积极重视并加入这一计划

本次物联网安全计划针对的是消费物联网产品,尤其是智能家居产品。中国是智能家居产出的大国,也是智能家居出口的大国。以家电为例,根据海关总署的数据,2023年1-6月,我国累计出口家用电器17.3亿台,同比增长1.4 %,虽然对美国出口市场份额大幅下滑,但美国依然是我国家电业出口额最高的地区。出口的家电产品中,有相当部分是智能家电。

虽然“U.S. Cyber Trust Mark”计划不是强制性的,但它依然会显著影响到我国出口产品的竞争力。能源之星计划或许可以对其起到参考作用,根据海关总署发布的数据,2022年我国输美的电机、电气、音像设备及其零附件出口额高达9501.5亿元,其中相当一部分是能源之星认证范畴内的产品,能源之星认证推动本土品牌“走出去”,也优化了营商环境。

参考能源之星计划,我国企业可以提前了解“U.S. Cyber Trust Mark”计划的规则,积极加入这一认证,获得出海竞争力。实际上,国内多家企业已开始行动,例如涂鸦智能近期就宣布将推动其生态产品积极加入这一计划。鉴于美国计划将“U.S. Cyber Trust Mark”计划推向全球各盟国互认,未来我国物联网出海产品或许会将复合这一标签认证作为标配。

2、提前筹划,建设本土的物联网安全标签认证实验室

为获得“U.S. Cyber Trust Mark”标签,美国将委托第三方认证机构对物联网产品进行安全检测,对于国内出海产品,若能在本土授权机构获得认证,将大幅降低出海成本。

仍然以能源之星为例,2010年,美国环保署发布通知,要求进行能源之星产品检测的实验室需要提前获得其授权的认可机构认可,出具的检测结果才能被美方接受,这给我国电子电器、计算机、家用电器、照明等能源之星认证范围内的产品出口美国市场带来不确定性。中国合格评定国家认可委员会(CNAS)做了大量工作,最终正式进入能源之星授权的认可机构名录。目前我国获认可的能源之星实验室数量已达到80余家,约占全球总数的四分之一。依托认可的国际互认成果,国内实验室的检测数据直接被美方承认,不仅大大缩短了产品备案周期,还大幅节约企业尤其是中小微企业的测试验证成本。

借鉴这一经验,国内相关机构可以提前进行筹划,了解美国对于物联网安全认证的相关规范,建设本土认证实验室,助力国内物联网企业尤其是中小企业产品出口。

3、积极推动我国物联网安全研究和监管体系建设

我国物联网连接数已居全球首位,物联网安全压力很大,物联网安全体系建设不容忽视。目前,我国虽然在多个物联网政策中提出了加快物联网安全体系建设,但还没有专门针对物联网安全的法律法规。在海外物联网安全立法、物联网安全标签体系建设的背景下,国内需加强这一领域工作,借鉴海外经验,构建适合国内产业生态的安全体系。

原文标题 : 美国政府推出物联网安全标签计划,中国物联网产业如何应对?

文章来源:http://www.xinwulian.net/2023/0807/691.shtml