本文來(lái)自微信公眾號(hào)“GoUpSec”。
繼美國(guó)國(guó)會(huì)通過(guò)TikTok剝離法案后,新的物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃可能將美國(guó)的“國(guó)家安全”技術(shù)貿(mào)易壁壘擴(kuò)大到所有消費(fèi)電子、家用電器、物聯(lián)網(wǎng)和智能設(shè)備;但同時(shí),網(wǎng)絡(luò)安全成為全球產(chǎn)品安全標(biāo)準(zhǔn)的趨勢(shì)對(duì)于網(wǎng)絡(luò)安全市場(chǎng)來(lái)說(shuō)是一個(gè)重大利好。
近日,美國(guó)聯(lián)邦通信委員會(huì)(FCC)宣布啟動(dòng)一項(xiàng)針對(duì)無(wú)線消費(fèi)類物聯(lián)網(wǎng)產(chǎn)品的自愿性網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃。
網(wǎng)絡(luò)安全正在成為新質(zhì)產(chǎn)品力
FCC推動(dòng)的物聯(lián)網(wǎng)安全標(biāo)簽計(jì)劃將允許通過(guò)認(rèn)證的消費(fèi)類智能設(shè)備制造商(以外部標(biāo)簽的方式)展示其產(chǎn)品符合FCC制定的嚴(yán)苛網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
該計(jì)劃包括一個(gè)新的“美國(guó)網(wǎng)絡(luò)安全信任標(biāo)識(shí)”(US Cyber Trust Mark),(其二維碼)鏈接到國(guó)家認(rèn)證設(shè)備注冊(cè)表,消費(fèi)者可以通過(guò)掃描該標(biāo)簽獲取具體且可比較的產(chǎn)品網(wǎng)絡(luò)安全信息,例如支持期限以及軟件補(bǔ)丁和安全更新是否自動(dòng)推送等。
FCC聲稱“信任標(biāo)簽”能夠幫助消費(fèi)者在購(gòu)買(mǎi)決策中納入網(wǎng)絡(luò)安全因素,同時(shí)通過(guò)區(qū)分市場(chǎng)上的產(chǎn)品安全級(jí)別,激勵(lì)物聯(lián)網(wǎng)制造商提高產(chǎn)品安全性。
近年來(lái),家用攝像頭、健身追蹤器和嬰兒監(jiān)視器等物聯(lián)網(wǎng)設(shè)備一直是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。它們通常是針對(duì)企業(yè)發(fā)動(dòng)攻擊的跳板,一項(xiàng)近期研究表明,50%的公司曾遭遇過(guò)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全事件。
據(jù)Statista預(yù)測(cè),到2030年,全球運(yùn)營(yíng)的物聯(lián)網(wǎng)設(shè)備將超過(guò)290億臺(tái),這使得智能設(shè)備安全性問(wèn)題受到各國(guó)政府關(guān)注。
歐盟和英國(guó)最近也出臺(tái)了法規(guī),要求智能設(shè)備制造商符合最低網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求。
歐盟今年2月份推出的《歐盟共同標(biāo)準(zhǔn)網(wǎng)絡(luò)安全認(rèn)證方案》標(biāo)志著網(wǎng)絡(luò)安全能力已經(jīng)成為歐盟所有數(shù)字產(chǎn)品的關(guān)鍵產(chǎn)品力和“市場(chǎng)通行證”。
根據(jù)《2023年消費(fèi)者網(wǎng)絡(luò)安全調(diào)查報(bào)告》:
●82%的消費(fèi)者表示,如果他們知道某個(gè)品牌的產(chǎn)品曾遭受網(wǎng)絡(luò)攻擊,他們將不再購(gòu)買(mǎi)該品牌的產(chǎn)品。
●73%的消費(fèi)者表示,他們會(huì)在購(gòu)買(mǎi)產(chǎn)品之前,先調(diào)查該產(chǎn)品的網(wǎng)絡(luò)安全狀況。
●65%的消費(fèi)者表示,他們?cè)敢鉃楦踩木W(wǎng)絡(luò)安全產(chǎn)品支付更高的費(fèi)用。
網(wǎng)絡(luò)安全市場(chǎng)的重大利好
信任標(biāo)簽計(jì)劃由拜登政府于2023年7月宣布,其認(rèn)證標(biāo)準(zhǔn)基于美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的網(wǎng)絡(luò)安全指南,包括強(qiáng)默認(rèn)密碼、數(shù)據(jù)保護(hù)、軟件更新和事件檢測(cè)功能。
除了消費(fèi)電子、家用電器和智能聯(lián)網(wǎng)設(shè)備(包括汽車(chē))外,該計(jì)劃還擴(kuò)展到消費(fèi)級(jí)路由器(一種高風(fēng)險(xiǎn)產(chǎn)品類別),并可能包括智能電表和逆變器,這些都是未來(lái)智能電網(wǎng)的重要組成部分。
計(jì)劃強(qiáng)調(diào)了產(chǎn)品漏洞,尤其是零日漏洞的威脅。Closed Door Security首席執(zhí)行官WilliamWright認(rèn)為,參與該計(jì)劃(并取得認(rèn)證)的所有供應(yīng)商必須始終如一地在其設(shè)備上進(jìn)行主動(dòng)滲透測(cè)試和漏洞評(píng)估,并確保在發(fā)現(xiàn)問(wèn)題時(shí)可以輕松應(yīng)用補(bǔ)丁和更新,這意味著相關(guān)領(lǐng)域的網(wǎng)絡(luò)安全市場(chǎng)需求將大增。
“信任標(biāo)簽”有望成為全球物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)
FCC將負(fù)責(zé)監(jiān)督該計(jì)劃,經(jīng)批準(zhǔn)的第三方標(biāo)簽管理機(jī)構(gòu)將負(fù)責(zé)評(píng)估生產(chǎn)申請(qǐng)、授權(quán)使用標(biāo)簽和消費(fèi)者教育等活動(dòng),包括:
●這些管理機(jī)構(gòu)將通過(guò)“嚴(yán)格的遴選程序”選出。
●經(jīng)過(guò)認(rèn)可的實(shí)驗(yàn)室將負(fù)責(zé)制造商的合規(guī)性測(cè)試。
●FCC正在征求公眾意見(jiàn),擬議增加額外的披露要求。
未來(lái)的潛在要求可能包括標(biāo)注產(chǎn)品軟件/固件是否由來(lái)自威脅美國(guó)國(guó)家安全的國(guó)家/地區(qū)的公司開(kāi)發(fā)或部署的,以及產(chǎn)品收集的客戶數(shù)據(jù)是否會(huì)發(fā)送到位于此類國(guó)家的服務(wù)器。
FCC主席Jessica Rosenworcel表示:“就像‘能源之星’標(biāo)志幫助我們了解哪些設(shè)備節(jié)能一樣,網(wǎng)絡(luò)安全信任標(biāo)簽將幫助我們?cè)趯⑽锫?lián)網(wǎng)產(chǎn)品引入家庭和企業(yè)時(shí)做出明智的選擇,考慮其安全性和隱私性。”
她補(bǔ)充說(shuō):“我們期望隨著時(shí)間的推移,越來(lái)越多的公司將使用網(wǎng)絡(luò)安全信任標(biāo)簽,這也符合越來(lái)越多的消費(fèi)者的安全訴求。這有可能成為全球范圍內(nèi)的安全物聯(lián)網(wǎng)設(shè)備標(biāo)準(zhǔn),為了實(shí)現(xiàn)這一目標(biāo),我們需要與聯(lián)邦合作伙伴、制造商、零售商和網(wǎng)絡(luò)安全團(tuán)體合作。我們隨時(shí)準(zhǔn)備這樣做。”
Synopsys軟件完整性集團(tuán)軟件供應(yīng)鏈風(fēng)險(xiǎn)負(fù)責(zé)人Tim Mackey在評(píng)論該公告時(shí)指出,新計(jì)劃的自愿性質(zhì)意味著商店貨架或在線零售商不太可能出現(xiàn)大量經(jīng)過(guò)認(rèn)證的設(shè)備。
此外,F(xiàn)CC網(wǎng)絡(luò)安全信任標(biāo)簽不適用于受FDA監(jiān)管的醫(yī)療設(shè)備。
Mackey表示:“我們預(yù)計(jì)認(rèn)真對(duì)待網(wǎng)絡(luò)安全的制造商會(huì)積極尋求認(rèn)證。”