第157期
2024 年 4 月 24 日
  北美智权官网 智权报文章分类/搜寻   历期智权报   订阅北美智权报  
 
美国与欧盟应强化物联网设备与资安方面合作
林昱均/科技业分析师

对国家与企业而言,由于当前资安危机相当瞩目,许多立场相同的国家开始思索如何在产品资安上协作,而首要两大国家则是欧盟与美国为首的西方阵营,若双方合作成功,可能带动更多立场相似国家采取产品资安合作,避免受大规模网络攻击时陷入无能为力的窘境。


图片来源 : shutterstock、达志影像

一场危机四伏的资安漏洞正在民主国家发生

在当前中、俄黑客猛烈攻击下,美国和欧盟应透过技术标准和潜在的相互认可协议 (MRA) 调整各自的物联网产品网络安全卷标方法—美国网络信任标志和欧盟网络弹性法案 (CRA),这正是美国和欧盟在贸易和技术理事会 (TTC) 下计划开展的早期和主动监管参与类型,欧盟-美国一致的方法将允许企业只需测试一次即可遵守这两个系统,物联网网络安全卷标方面的合作将避免在跨大西洋贸易和技术关系中造成另一个监管冲突点。

美国、欧盟和其他国家正在制定物联网网络安全卷标计划,以帮助消费者就互联产品的激增做出更好的决策(例如智慧扬声器和门铃、监视器、打印机、智能冰箱、微波炉、电视、气候控制系统、健身追踪器和其他连接设备)并提高这些产品的信息安全。物联网产品容易受到各种相对常见的安全漏洞的影响,这些漏洞经常受黑客利用,侵犯使用者的隐私并威胁国家安全。例如,从 2022 年到 2023 年,源自不安全物联网装置的分布式阻断服务 (DDoS) 攻击增加了五倍,一些物联网产品甚至附带恶意软件,让人防不胜防。

研究发现,超过一半的受访消费者感觉不了解物联网设备收集的数据的安全性,也不重视制造商提供的信息,例如数据如何使用和储存、产品将在多长时间内收到安全更新、以及制造商的资安能力强弱等,使用者也缺乏一致的方法来查找信息,并且不确定所提供的信息是否值得信赖,因此,美欧应透过设立「标签」向消费者表明他们的产品符合物联网卷标计划的网络安全标准来帮助解决这一问题,这反过来又加强了他们自己家中的互联物联网产品链,并作为物联网生态系的一部分,防范来自极权国家的网络攻击。

美国首先带头实施相关政策

2023 年 7 月,拜登政府首次宣布美国网络信任标志,这是一项自愿网络安全认证计划,目的为更有效率告知消费者产品已满足基本资安要求,2024 年 3 月 19 日,联邦通信委员会投票决定建立美国网络信任标志,该项目将于 2024 年底启动,美国网络信任标志是一个二元系统/卷标—产品,只分成符合资格携带该标签与不符合资格(因此无法携带该标签)而二元分法,它将附有可扫描代码(例如,QR code),使消费者解特定物联网产品的更多详细信息。

2024 年 1 月 11 日,Anne Neuberger(拜登政府负责网络和新兴技术的副国家安全顾问)宣布寻求与欧盟就物联网网络安全卷标进行 MRA 的想法,与其他跨大西洋议题相比,美国颁布一系列有关物联网网络安全政策的法律、法规和政策,包括「殭尸网络报告和路线图」的第13800 号行政命令、2020 年物联网网络安全法案(该法案设定了最低标准联邦物联网采购)、关于改善国家网络安全的第 14028 号行政命令以及美国国家网络安全战略,不难看出,美国已经积极投入相关资安措施,剩下就等欧盟了。

案例研究:新加坡如何执行资安措施

新加坡是拜登政府官员在提议美国与欧盟在物联网网络安全卷标方面合作时考虑的典范,因为新加坡已与贸易伙伴(例如芬兰和德国)就互认协议进行谈判,以建立对其自己的网络安全卷标计划(CLS)的认可,于 2020 年推出,虽然 CLS 对于大多数产品来说是自愿的,但在新加坡销售的新网络路由器必须满足其 1 级标签的安全要求,在某些情况下需要由第三方进行测试,截至2024年3月19日,已有388种产品获得认证。

不过美国很难效法新加坡的做法,CLS 是分层系统,而美国网络信任标记是二进制系统,例如,CLS 的第四级适用于已通过结构化渗透测试并满足所有其他等级要求的产品,新加坡、芬兰和德国各自的互认授权意味着其系统认可经过特定级别认证的产品,基本上,新加坡的互认协议侧重于各自计划的结果,使其系统的特定层级满足另一个国家计划的要求(自愿而非强迫),这种模式可能难以在美国实施,毕竟美国还是希望能够主导技术标准。


新加坡的CLS分层系统能有效与盟国合作/数据源:ITIF

美欧如何合作较为适合?

美国和欧盟用于各自网络安全卷标计划的技术标准对于潜在合作至关重要。没有相同或相似的标准,就像将苹果与橘子进行比较一样。 NIST 已朝着正确的方向迈出了一步,因为美国网络信任标志的基线能力文件透过大量参考标准引用了其基线技术要求。然而,这些基准技术要求和参考资料与拜登政府声明中提到的「统一标准」之间存在显著差距,协调标准具有特定意义,在互认协议的背景下,统一标准实际上代表着双方使用相同的技术要求,不过,目前没有迹象表明美国和欧盟计划使用相同的标准。

欧盟 CRA 的技术标准正在制定中,理想情况下,欧盟最终会使用国际标准,因为这样做将使与美国(和其他国家)的监管协调更加容易,甚至在CRA 颁布之前,欧盟委员会就已向CENELEC(另外三个欧洲标准机构之一)和国际电工委员会(IEC) 的TC 65 委员会(该委员会开发世界领先的自动化和控制系统),以便他们可以启动标准化进程。

理想情况下,欧盟标准化过程应尽可能使用国际标准,例如关于信息安全管理的ISO/IEC 27001、关于物联网消费产品的ETSI EN 303 645、关于消费行动装置的ETSI TS 103 732 以及ETSI TS 103 848家庭网关产品,24目前正在开发的关于物联网网络安全卷标框架的 ISO/IEC 27404 借鉴新加坡 CLS 和 ETSI 标准,并将为未来提供一个全球框架,有助于与美国合作上的接轨。

如果欧盟不采用国际标准,物联网网络安全将成为与美国的另一个监管冲突点。在欧盟不使用国际标准且美国公司不使用欧洲标准的情况下,该公司必须使用指定的欧盟合格评定机构(CAB)来测试和表明其产品符合 CRA 的要求,由于欧盟对测试要求的限制性方法,这可能造成代技术贸易壁垒,使双方冲突进一步升高,欧盟 CAB 必须在欧盟设立,由欧盟认证机构认可,并由欧盟委员会指定测试其被认为有能力测试的任何监管要求;相较之下,美国和许多其他国家允许第三方 CAB 证明合规性,而无需制定特定部门的政府间互认协议,这让世界各地的公司更容易证明合规性符合其他市场的标准,双方在合规的范畴部分依旧存有分歧。

随着物联网设备的使用不断加速,Asimily的一份新报告强调未能正确保护其连接设备的企业所面临的日益增长的网络安全风险,随着医院、制造商、政府机构和其他组织越来越依赖连网技术来提高效率和提升客户体验,物联网生态系统已成为网络犯罪分子的主要目标。攻击者利用不安全的物联网端点作为存取更广泛的企业网络和敏感数据的入口点。

根据该报告,过时的遗留漏洞仍然是一个持续存在的问题。在 39 个最常用的 IoT 漏洞中,有 34 个漏洞平均存在三年以上,路由器占受感染 IoT 设备的 75%,因为它们扮演了存取网络上其他节点的角色,安全摄影机、数字广告牌系统、医疗设备和工业控制系统也名列最受攻击的目标。

随着攻击的增加,越来越多的网络保险公司限制保险赔偿,并需要先进的物联网安全控制来使组织有资格获得保单,如果没有足够的保护,制造商、金融服务和能源公司将面临更高的知识产权盗窃、营运中断和事故恢复成本高昂的风险,这也是美欧再合作上刻不容缓的原因之一。

 

好消息~北美智权报有微信公众号了!

《北美智权报》内容涵盖世界各国的知识产权新闻、重要的侵权诉讼案例分析、法规解析,以及产业与技术新知等等。

立即关注北美智权微信公众号→ NAIP_IPServices

~欢迎读者分享与转发~


【本文只反映专家作者意见,不代表本报立场。】

作者: 林昱均
现任: 台湾光电大厂财务分析师
学历: 台湾政治大学 财政所
经历: 台湾零售龙头经营企划分析师
四大会计事务所专员

 


 





感谢您阅读「北美智权报」,欢迎分享智权报连结。如果您对北美智权电子报内容有任何建议或欲获得授权,请洽:Editorial@naipo.com
本电子报所登载之文章皆受著作权保护,未经本公司授权, 请勿转载!
© 北美智权股份有限公司 & 北美联合专利商标事务所 版权所有 234 台湾地区新北市永和区福和路389号五楼 TEL:+886-2-8923-7350