近日,美国联邦通讯委员会(FCC)公开投票正式通过了物联网安全标签计划(Cybersecurity Labeling Program),在该计划下,符合相关条件的消费物联网产品将被赋予网络安全标识标签(Cyber Trust Mark),方便消费者根据产品安全信息做出购买决策,同时安全可信产品在市场上具有差异化优势,激励物联网产品制造商推出符合更高安全标准的产品。
去年8月,FCC针对物联网安全标签计划起草了规则提案(NPRM)并广泛征求意见,本次投票表决通过了征求意见后的方案。虽然该计划还需要美国白宫管理和预算办公室(OMB)审查才能正式生效,但本次方案投票通过已解决了征求意见中提出的很多问题,使物联网安全标签计划实施的主要问题有了定论,成为该计划正式实施的主要依据,因此具有里程碑意义。
FCC对物联网安全标签计划主要强调哪些内容
FCC在新闻稿中提到,物联网安全标签计划主要关注点包括:
美国网络安全标识的logo将首先出现在符合该计划网络安全标准的无线消费物联网产品上;
网络安全标识logo会同时配套一个二维码,消费者通过扫码可以便捷了解产品安全的细节,例如产品支持期限、软件是否打补丁、安全更新是否是自动等;
物联网安全标签计划是一个自愿性项目,该项目依赖公共部门和私营机构共同合作来推进,FCC会进行统一监管并授权第三方标签管理机构推进日常事务,例如对产品安全进行评估、授权适用标签和消费者教育等;
物联网产品安全的复合性测试将由授权实验室进行;
适用于该计划的典型产品包括家庭安防摄像头、声控购物设备、联网家电、健身跟踪器、车库门开关、婴儿监视器等。
FCC还提到,该机构还会就其他潜在需披露信息的要求继续征求公众意见,例如产品相关软件或固件是否在那些对美国有安全隐患的国家开发,或者由这些国家的企业开发,以及产品收集的客户数据是否会发送到位于这些国家的服务器。
FCC引用第三方研究机构数据,仅在2021年前半年,针对物联网设备的攻击就超过15亿次。FCC预计,到2030年物联网设备将超过250亿台。因此,物联网安全标签计划可以为消费者带来潜在的巨大利益。
美国物联网安全标签计划的主要内容
本次投票通过的方案,用FCC的话来说,旨在为建立物联网安全标签计划提供合理必要的高水平规划结构,并为FCC的监督创造必要的框架。针对该计划的方案,笔者选择其中一些关键的部分,提炼出主要内容,供业界参考。
1、自愿性的项目
此前FCC起草的征求意见草案中提出该计划是非强制性的,企业可以自愿参与。在征求意见的过程中,大部分建议其仍保持自愿性,FCC也认为自愿参与将使物联网安全标签计划比强制要求参与新计划更容易实现。当然,选择参与物联网安全标签计划的企业必须符合该计划的要求和相关标准,才能获得和使用带有美国网络信任标志的物联网标签授权。
2、标签计划适用的产品和不适用的产品
FCC在通过的这一方案中,明确了标签计划适用的产品范畴为消费物联网产品,并对产品的定义和细节做了进一步明确。
首先,明确了物联网设备和物联网产品的定义,并明确标签计划适用于物联网产品。
针对物联网设备,FCC沿用了美国国家标准与技术研究院(NIST)的定义,即物联网设备满足:(1)能够自主发射射频能量的互联网连接设备,该设备具有至少一个用于直接与物理世界交互的传感器件(传感器或致动器),同时(2)至少有一个用于与数字世界交互的网络接口(如Wi-Fi和蓝牙)。虽然FCC最初将重点关注联网消费物联网产品,但不会排除将物联网安全标签计划扩展到非联网设备的可能性。
对于物联网产品,FCC依然采用NIST的定义,即包括物联网设备和为使用物联网设备所需的超出基本操作功能的任何附加组件,这些“组件”分为三种主要的类型:一是专用网络/网关硬件(例如使用物联网设备的系统内的集线器);二是配套应用软件(例如用于与物联网设备通信的移动应用程序);三是后端服务(例如可以存储、处理来自物联网设备的数据的云服务或多个服务)。
可以看出,物联网产品的范畴更广。相比于去年8月的草案,FCC将物联网安全标签计划应用于更广泛的“物联网产品”类别,而不是仅限于“物联网设备”。FCC提出,获得物联网安全标签授权的制造商应确保整个物联网产品的安全,包括产品的内部通信链路以及将产品连接到外部世界的通信链路;同时,若制造商允许第三方应用程序连接并控制其物联网产品,则制造商将负责连接链路和应用程序的安全。这一适用范围的扩展,使美国该计划的要求与欧盟、英国的要求保持一致,有利于标签的跨国互认合作。
其次,明确标签计划针对消费物联网产品,但将医疗设备排除在外。
物联网安全标签计划适用于为消费者使用的物联网产品(例如智能家居、穿戴设备等),不适用于主要用于制造、工业控制或其他企业应用的物联网产品。同时,由于担心标签计划缺乏控制和造成消费者混淆的可能性,该计划也将受美国食品药品监督管理局监管的消费医疗设备排除在外。
值得注意的是,标签计划专门点名将各类管制清单和涉军清单的中国企业排除在外。
在标签计划的方案中,FCC提出,考虑到国家安全,物联网安全标签计划将FCC管制清单、其他政府部门管制清单和涉军清单的实体生产的设备排除在外。在该方案中,FCC专门点名以美国商务部实体清单和国防部涉军企业清单的中国企业,意味着这些企业不可能获得安全认证。
过去一年,美国众议院指控中国蜂窝物联网模组企业移远通信、广和通涉及国家安全隐患,并建议FCC和其他政府机构采用管制清单的手段。若相关机构对中国蜂窝物联网模组企业采取行动,则采用这些企业模组的物联网产品不可能获得物联网安全标签,产品竞争力在市场上将大打折扣。
3、标签计划的监管体系
早在去年7月,白宫已授权FCC作为物联网安全标签计划的牵头负责机构,负责整体监督和管理。FCC委托其旗下的公共安全和国土安全局(PSHSB)推进监管,该机构会接受第三方安全标签管理机构(CLA)的申请,选择多个CLA推进日常管理工作,并从中确定一个首席管理员,组成了美国物联网安全标签管理架构。
其中,安全标签管理机构(CLA)将对企业物联网产品安全标签申请进行评估,确保厂商产品能够访问必需的安全信息,并执行标签上市后的持续监督工作,可以说CLA主要承担着标签计划认证的具体工作,因此其角色非常关键。而首席管理员除了要承担CLA的角色外,还充当各个CLA之间联络和协调员的角色。
4、标签计划的认证流程
在本次通过的方案中,FCC建立了2阶段的物联网安全标签认证流程,第一步由授权实验室进行产品安全符合性测试,第二步由CLA进行产品安全标签认证。
在第一步产品安全符合性测试中,FCC要求测试实验室必须按照特定标准和程序进行测试,FCC不认可供应商自身做出符合性声明的形式,所有产品必须在授权的第三方实验室测试。
在第二步认证中,使用安全标签的制造商需要向CLA提交认证申请,其中包括一份详细的、由授权实验室进行的符合性测试的报告。CLA可以收取合理的费用,以支付审核申请的成本以及CLA需执行的其他任务的成本。
CLA将详细审查申请和支持文件以确保其完整和合规,并出具批准或拒绝申请的结论。若拒绝申请需说明被拒的原因,申请人将有机会纠正CLA确定的缺陷并重新提交申请。针对有争议的决议,有专门的复审流程。
公共安全和国土安全局会发布公告,提供有关如何申请和使用物联网安全标签的更多详细信息,包括但不限于申请的信息元素、备案要求和标签使用信息,如标签的描述或照片以及如何以及粘贴到产品什么位置,也包括如何请求对提交的信息进行保密处理等。
授权实验室是认证过程中的关键机构,它们负责进行物联网产品安全符合性测试并生成报告。FCC接受各种类型的实验室作为物联网安全标签测试实验室,包括已有的网络安全测试实验室、CLA运营的实验室等,FCC也认可已获得ISO/IEC 17025标准认证的测试实验室可进行符合性测试。公共安全和国土安全局会发布授权实验室的要求和标准,授权实验室可以设在美国境外,但可能会有一些额外的标准和程序。首席管理员将对所有经过认证和认可的授权实验室进行定期审计和审查。
5、标签计划遵循的标准
FCC采用NIST推荐的物联网标准作为物联网安全标签计划的基础,即NIST IR 8425标准《消费物联网产品核心基线文件》,该标准包括以下产品能力:资产识别、产品配置、数据保护、接口访问控制、软件更新、网络安全国家意识。
FCC将与利益相关者合作,确定涵盖核心基线或提供同等要求的公认标准。FCC将指导首席管理员根据NISTIR 8425中包含的消费物联网产品核心基线进行具体标准的制定,NIST标准是通用指南,但其必须进一步发展为产品规范和相应的测试程序,确保能够进行一致性测试。首席管理员可以确定市场上已经存在的现有标准或方案,这些标准或方案可以随时调整应用于标签计划中。例如,方案中提到,征求意见阶段多个组织提出欧洲和新加坡的物联网安全标签计划遵循欧洲通信标准化协会(ETSI)出台的EN 303 645标准,未来,不排除ETIS相关标准与NIST融合为美欧通用标准。
6、标签形态和披露信息
与此前市场预期一样,标签形态包括2个形态,即1个美国网络安全标识和1个可扫描的二维码。前者代表产品符合FCC消费物联网安全基准标准,后者则通过手机扫码后使消费者能够了解产品特定安全信息。
二维码链接到一个动态的、分布式公共注册中心,该中心包含了物联网产品具体的安全信息,获得安全标签的制造商必须通过API的形式让公共注册中心调用这些信息,每个产品制造商可维护自己的信息,显示的信息主要包括:产品名称、制造商名称、物联网标签授权日期、测试实验室和审查CLA的名称、有关如何更改默认密码和安全配置设备的信息,以及制造商是否维护软件物料清单等。
FCC将只关注纳入注册中心的所有物联网设备的最关键信息,对于额外数据元素的潜在披露需求,FCC将授权公共安全和国土安全局根据公告和评论决定未来是否要求披露更多数据。此前草案中,提出了披露包括所有已知安全漏洞的实时列表的提议,本次最终方案中并未将其纳入,但将要求制造商披露包括“软件更新和补丁是否是自动的,如果不是自动的,如何获取这些更新和补丁”以及“产品的最低保证支持期”等。同时要求,制造商不能自行决定在注册中心披露哪些信息,因为统一的要求能为消费者提供了更大的一致性。首席管理员将监督和运营注册中心,包括接收和解决与通过二维码访问和显示注册管理机构相关的技术问题、相关API和消费者投诉。
7、其他内容
在该方案中,FCC也提出了安全标签上市后的持续监管和执法、安全标签国际互认合作、消费者教育等主题。
其中,国际互认方面,今年1月份,美国已和欧盟签署了合作协议,共同推动安全标签的互认。德国、芬兰、新加坡等国已启动了物联网安全标签计划,美国也在寻求与这些国家的互认合作。另外,一些也在计划推出物联网安全标签计划的国家,已经开始加强与美国的合作,例如日本的标签计划虽然还未推出,但已与美国发布联合声明,承诺将与美国合作,以确保其目前正在开发的物联网安全标签计划的互操作性。随着主要国家标签计划互认范围扩大,这一自愿性方案将可能发展为一个全球事实标准。
消费者教育也是至关重要,方案中提出首席管理员将制定一项全国消费者教育方案,由公共安全和国土安全局审查和实施,FCC将会根据需要与相关机构进行协调,包括美国国土安全部、网络安全和基础设施安全局、联邦调查局、联邦贸易委员会、消费者产品安全委员会以及其他能从物联网安全标签计划中获益的机构。通过广泛的消费者教育,物联网安全标签计划将会像“能源之星”一样成为体现物联网产品的竞争力的重要因素。
物联网安全标签计划虽然不是新鲜事物,但美国全力推进让这一计划的影响力进一步扩大,有望成为全球物联网市场的统一要求,尤其是对出海的物联网企业带来新的挑战,但同时也倒逼企业通过提升产品安全能力来提升自身的竞争力,建议国内企业持续关注这一项目进展,对于产品提前进行规划和投资。
