本文来自微信公众号“GoUpSec”。
继美国国会通过TikTok剥离法案后,新的物联网安全标签计划可能将美国的“国家安全”技术贸易壁垒扩大到所有消费电子、家用电器、物联网和智能设备;但同时,网络安全成为全球产品安全标准的趋势对于网络安全市场来说是一个重大利好。
近日,美国联邦通信委员会(FCC)宣布启动一项针对无线消费类物联网产品的自愿性网络安全标签计划。
网络安全正在成为新质产品力
FCC推动的物联网安全标签计划将允许通过认证的消费类智能设备制造商(以外部标签的方式)展示其产品符合FCC制定的严苛网络安全标准。
该计划包括一个新的“美国网络安全信任标识”(US Cyber Trust Mark),(其二维码)链接到国家认证设备注册表,消费者可以通过扫描该标签获取具体且可比较的产品网络安全信息,例如支持期限以及软件补丁和安全更新是否自动推送等。
FCC声称“信任标签”能够帮助消费者在购买决策中纳入网络安全因素,同时通过区分市场上的产品安全级别,激励物联网制造商提高产品安全性。
近年来,家用摄像头、健身追踪器和婴儿监视器等物联网设备一直是网络犯罪分子的主要目标。它们通常是针对企业发动攻击的跳板,一项近期研究表明,50%的公司曾遭遇过物联网网络安全事件。
据Statista预测,到2030年,全球运营的物联网设备将超过290亿台,这使得智能设备安全性问题受到各国政府关注。
欧盟和英国最近也出台了法规,要求智能设备制造商符合最低网络安全标准要求。
欧盟今年2月份推出的《欧盟共同标准网络安全认证方案》标志着网络安全能力已经成为欧盟所有数字产品的关键产品力和“市场通行证”。
根据《2023年消费者网络安全调查报告》:
●82%的消费者表示,如果他们知道某个品牌的产品曾遭受网络攻击,他们将不再购买该品牌的产品。
●73%的消费者表示,他们会在购买产品之前,先调查该产品的网络安全状况。
●65%的消费者表示,他们愿意为更安全的网络安全产品支付更高的费用。
网络安全市场的重大利好
信任标签计划由拜登政府于2023年7月宣布,其认证标准基于美国国家标准与技术研究院(NIST)发布的网络安全指南,包括强默认密码、数据保护、软件更新和事件检测功能。
除了消费电子、家用电器和智能联网设备(包括汽车)外,该计划还扩展到消费级路由器(一种高风险产品类别),并可能包括智能电表和逆变器,这些都是未来智能电网的重要组成部分。
计划强调了产品漏洞,尤其是零日漏洞的威胁。Closed Door Security首席执行官WilliamWright认为,参与该计划(并取得认证)的所有供应商必须始终如一地在其设备上进行主动渗透测试和漏洞评估,并确保在发现问题时可以轻松应用补丁和更新,这意味着相关领域的网络安全市场需求将大增。
“信任标签”有望成为全球物联网安全标准
FCC将负责监督该计划,经批准的第三方标签管理机构将负责评估生产申请、授权使用标签和消费者教育等活动,包括:
●这些管理机构将通过“严格的遴选程序”选出。
●经过认可的实验室将负责制造商的合规性测试。
●FCC正在征求公众意见,拟议增加额外的披露要求。
未来的潜在要求可能包括标注产品软件/固件是否由来自威胁美国国家安全的国家/地区的公司开发或部署的,以及产品收集的客户数据是否会发送到位于此类国家的服务器。
FCC主席Jessica Rosenworcel表示:“就像‘能源之星’标志帮助我们了解哪些设备节能一样,网络安全信任标签将帮助我们在将物联网产品引入家庭和企业时做出明智的选择,考虑其安全性和隐私性。”
她补充说:“我们期望随着时间的推移,越来越多的公司将使用网络安全信任标签,这也符合越来越多的消费者的安全诉求。这有可能成为全球范围内的安全物联网设备标准,为了实现这一目标,我们需要与联邦合作伙伴、制造商、零售商和网络安全团体合作。我们随时准备这样做。”
Synopsys软件完整性集团软件供应链风险负责人Tim Mackey在评论该公告时指出,新计划的自愿性质意味着商店货架或在线零售商不太可能出现大量经过认证的设备。
此外,FCC网络安全信任标签不适用于受FDA监管的医疗设备。
Mackey表示:“我们预计认真对待网络安全的制造商会积极寻求认证。”