近日,日本经济产业省发布了《物联网安全合格评估计划草案》征求意见稿,该草案可以看作是日本版物联网安全标签计划,对标美国、欧盟、新加坡等国家和地区的物联网安全标签计划。
从多个国家和地区推进的情况来看,物联网安全标签计划已经成为一个全球主要经济体共同认可的项目,通过给符合相关安全标准的物联网产品赋予安全标签,让消费者能够获得产品安全方面的信息,从而做出购买决策。这一计划由政府和企业合作推进,以更加市场化的形式,让消费者购买决策来倒逼物联网厂商提升产品安全水平。
在这份草案中,日本经济产业省提出,随着数字化的推进,近年来物联网产品的数量迅速增加,针对其漏洞的网络攻击数量也在增加。在此背景下,世界各国正在考虑确保物联网产品安全措施的方案,包括美国的物联网安全标签计划、欧盟《网络弹性法案》(Cyber Resilience Act,CRA)、英国《产品安全和电信基础设施(PSTI)法案》、新加坡物联网安全标签计划以及德国、芬兰的物联网安全标签计划。
同时,草案回顾了日本政府多个部门针对物联网产品安全所出台的一些措施。然而,草案提出,目前日本还没有较好的手段让物联网产品生产者将其在安全防护方面的努力传递给最终客户。所以,必须通过有效的措施,可以涵盖更广范围的物联网产品,让消费者能够快速接受,并不会增加产品生产者太多成本。
因此,日本经济产业省考虑在日本建立类似于海外物联网安全标签计划的项目,并将其作为优先事项之一,旨在推广满足一定安全标准措施的物联网产品,同时考虑与其他国家的类似项目合作。
为此,经济产业省于2022年11月成立了一个“物联网产品安全合格评估计划研究小组”,该小组经过调研讨论,决定建立一个物联网产品安全符合性评估方案并在全社会广泛传播。该研究小组在制定相关计划时,重点强调的目标包括:
一是该计划须有助于相关公共组织选择和采购满足一定安全级别的物联网产品,对产品采用通用标准评估并实现可视化。受益于该计划的公共组织初期包括政府机构、关键基础设施提供商和地方政府。
二是该计划须为采购和使用物联网产品提供安全定义,让每个行业组织可以指定必要的认证和标签,也就是说让该计划可以作为特定组织的物联网产品安全标准。
三是该计划将通过与其他国家的计划进行协调,来降低物联网产品供应商在出口时所需的合规性评估成本,并旨在实现相互认可。
根据该研究小组的研究报告,日本经济产业省发布了《物联网安全合格评估计划草案》征求意见稿,意见反馈截至2024年4月15日。
从其背景和目标可以看出,日本版物联网安全标签计划和美欧等国出发点、路径等方面都比较类似,物联网安全标签计划的全球共识正在形成。
日本发布的《物联网安全合格评估计划草案》近30页,全面介绍了日本版物联网安全标签计划的目标定位、管理架构、适用范围、评估标准等,以下主要内容值得关注:
1、自愿性项目的定位
和美国版物联网安全标签计划类似,日本首先也强调该方案是一个自愿性项目,不会强制所有企业和机构参与。该方案也考虑到与日本已有的自愿性安全政策的整合和协调,并考虑到物联网产品供应商的成本。
与美国版标签计划不同的是,日本版的标签计划将鼓励政府机构、关键基础设施提供商和地方政府将符合必要安全要求的标签产品纳入其采购要求,通过类似于政府采购的形式,鼓励物联网产品供应商加入标签计划。其次,如果物联网产品用于特定行业,并且行业要求将此类物联网产品的安全作为其特定的行业标准,以便采购商和最终用户能够通过标签确认物联网产品符合一定的安全要求,则该计划秘书处将与相关行业协会和工作组合作推动行业制定相关要求。
2、标签计划适用范围
日本版标签计划也明确提出了其适用于消费物联网产品。关于物联网产品的定义,该计划沿用欧洲通信标准化协会ETSI EN 303 645标准中对物联网的定义,包括物联网产品和相关服务。这一定义和范畴与美国版物联网安全标签计划适用范围基本吻合,都包含了物联网产品及其附加服务。
其中,消费物联网设备是指具有使用互联网协议(IP)、通过互联网发送和接收数据能力的广泛物联网产品,包括间接连接到互联网的产品,但不包括个人电脑、智能手机等。
3、物联网安全分级
日本版计划通过建立物联网安全分级机制来实施不同的评估。该机制一共分为4个层级,层级1为符合安全基线的标准,以解决适用范围内所有物联网产品常见的、最低威胁基准,层级2至层级4的标准要求逐渐提高。
获得不同层级标签的方式不同,其中,针对层级1和层级2,通过物联网产品供应商自我符合性声明即可获得安全标签,以促进该计划的传播;对于层级3和层级4,将根据独立测试实验室的第三方评估后再决定授予标签,尤其是层级3及以上旨在供政府机构和关键基础设施提供商采购使用,因此会要求高可靠性。
美国版计划暂时没有形成明确的4层分级体系,也不允许物联网产品供应商通过自我符合性声明来获取标签,供应商必须经过第三方授权实验室测试。从这个角度来看,日本版物联网安全标签计划与美国的区别较大,但与新加坡版计划更加类似,新加坡版计划也是通过分为4层,以及1-2层符合性声明的模式获取标签。
4、管理体系架构
日本版物联网安全标签计划明确由经济产业省旗下的信息处理推进机构(Information-technology Promotion Agency, IPA)作为所有者来统一运营,IPA本身也运营着的日本信息技术安全评估和认证计划,未来将这一计划将扩大到包括物联网安全标签计划。
该计划的技术咨询委员会将作为主要管理组织,讨论合格标准的批准和该计划的其他技术事项,技术咨询委员会下设立合格标准工作组,以制定每个产品类别的合格标准草案。符合性标准工作组将主要由物联网产品供应商、主要采购组织及其相关组织和团体组成,并将向技术咨询委员会提交符合性标准草案以供批准。此外,IPA和经济产业省将为该计划设立一个秘书处,以促进该计划的传播,与现有的国内计划整合和协调,并推动与其他国家协调相互承认等合作。
5、与其他国家类似计划的合作互认
日本在该方案中提到了与其他国家物联网安全标签计划的合作,主要包括美国、欧盟、新加坡和英国。其中,日本版计划预计在启动时,其层级1标准将涵盖新加坡和英国法案基线标准。对于欧盟的《网络弹性法案》(CRA)和美国的物联网安全标签计划,预计在层级1实施时,该计划秘书处通过修订计划一些条款以解决差异,例如,通过修订层级1的符合性声明要求,或通过宣布解决差异所需的额外措施来实现融合。
日本版方案专门强调,预计2025年将正式实施层级1标签计划,接受企业符合性声明形式获得标签,届时会宣布与新加坡和英国相对应计划的互认。而对于美国和欧盟,会在后续实施中选择适当时候公布互认合作。
6、评估标准
对于层级1的实施,日本已制定了初步的安全要求、符合性标准和评估程序。研究小组根据对整个方案所需安全要求的分析、实际产品概念验证的结果以及对国内标准/方案和其他国家标准/方案重叠要求的分析,制定了层级1实施相关标准,其参考的海外标准包括欧洲通信标准化协会ETSI EN 303 645标准和美国国家标准与技术研究院NISTIR 8425标准。
从2024年4月起,经济产业省将针对每个物联网产品类别开展更高级别的安全合规性标准讨论。
日本版物联网安全标签计划草案已发布,至此,全球主要发达经济体针对物联网安全采取的路径基本达成共识。可以看出,随着物联网连接数不断增长,物联网安全形势越来越严峻,消费者面对物联网产品,无从知晓其是否符合安全要求,各国将解决这一问题提到较优先的议事日程。在此背景下,中国版物联网安全标签计划需要尽快出炉,通过这一全球通用方式,保护消费者合法权益,同时提供中国物联网企业的竞争力。