芯耀
378
作者:赵小飞 原创
今年1月,美国宣布物联网安全标签计划(US Cyber Trust Mark)正式启动。这一计划是2021年5月拜登政府发布的网络安全总统行政命令的一部分,目的是推动符合安全标准的物联网智能设备上张贴或显示网络安全信任标识,就像目前已经被广泛认可的“能源之星”标签为节能电子和电器产品粘贴标签一样,让消费者可以优先选择通过标签认证的产品。
然而,在物联网安全标签计划经历数年筹备,进入最后实施阶段时,却被突然叫停,让这一计划能否后续推进遭遇很大不确定性:2025年6月,美国联邦通讯委员会(FCC)开始对物联网安全标签计划的首席管理员UL Solutions进行调查。目前,这一调查已过了近半年时间,但依然没有结论,FCC也没有透露调查进展,让物联网安全标签计划的实施无限期延迟。多个网络安全专家认为,漫长的调查可能会破坏这一项目。由此,很多业界人士发出一个疑问,美国物联网安全标签计划是否会“半途而废”?
多年筹备,临门一脚却遭受阻碍
采用物联网安全标签计划,是美国应对日益增长的物联网终端设备带来安全隐患的重要手段。过去十多年时间中,美国针对物联网安全做了大量工作,其中不乏进行立法,例如2018年9月,美国加利福尼亚州批准通过了《IoT设备网络安全法》,虽然只是加州的法律,但这是美国推出的首部物联网安全专门的立法,具有划时代意义,标志着对物联网安全监管取得实质性进展。2020年12月,时任美国总统特朗普正式签署《物联网网络安全改进法》,成为美国首个全国范围内的物联网安全法律。
虽然《物联网网络安全改进法》是以立法形式推出,但这一立法只是对联邦政府使用的物联网设备的最低标准,还没形成有面向全国范围的物联网网络安全监管框架和标准。2021年,美国总统拜登签发了《关于改善国家网络安全行政令》,该行政令中强调了改善物联网安全的必要性,并要求启动消费物联网标签计划。这一行政命令代表了美国对于改善全国物联网网络安全更广泛的举措,为物联网产品设定了安全标准、明确了机构责任。
在这一行政命令的驱动下,美国的物联网安全标签计划紧锣密鼓地推动起来。2022年10月,白宫召集了来自于物联网企业、高校、第三方协会和多个政府部门就物联网安全标签计划召开会议,其中提出了参考“能源之星(Energy Star)”计划来推动物联网安全标签计划。2023年7月,美国宣布“U.S. Cyber Trust Mark”计划将于2024年正式启动,并进一步明确地标签计划推进的一些细节。
从物联网安全标签计划相关内容看,该计划的定位是一个自愿性项目,即企业可以根据自身需求自愿参与,FCC也认为自愿参与将使该标签计划比强制要求参与更容易实现,随着该计划的推进,物联网安全标签有助于区分市场上符合最低要求的产品,并为消费者提供选择,形成一定规模和消费者的认可,让消费者自发决策是否选择带有安全标识的产品,实现消费者“用脚投票”,最终可能达到一个事实标准的结果。
另外,物联网安全标签计划管理机制是一个公私部门充分合作的机制。FCC在计划制定中充分认识到,自愿性物联网安全标签计划要想取得成功,就必须包括联邦政府、行业和其他利益相关者之间的密切伙伴关系和合作,因此FCC引进了多个第三方私营机构组成管理架构。
早在2023年7月,白宫已授权FCC作为物联网安全标签计划的牵头负责机构,负责该计划的整体监督和管理。FCC委托旗下的公共安全和国土安全局(PSHSB)推进监管,该机构接受第三方安全标签管理机构(CLA)的申请,选择多个CLA推进日常管理工作,并从中确定一个首席管理员,组成了美国物联网安全标签管理架构。
其中,安全标签管理机构(CLA)多数为私营机构,将对企业物联网产品安全标签申请进行评估,确保厂商产品能够访问必需的安全信息,并执行标签上市后的持续监督工作,可以说CLA主要承担着标签计划认证的具体工作,因此其角色非常关键。而首席管理员除了要承担CLA的角色外,还充当各个CLA之间联络和协调员角色。
2024年3月,FCC作为牵头部门,通过公开会投票方式正式通过了物联网安全标签计划,在该计划下,符合相关条件的消费物联网产品将被赋予网络安全标识标签(Cyber Trust Mark),方便消费者根据产品安全信息做出购买决策,同时安全可信产品在市场上具有差异化优势,激励物联网产品制造商推出符合更高安全标准的产品。
2024年12月, FCC宣布选定知名的测试、检验和认证服务商UL Solutions公司作为物联网安全标签计划的首席管理员,来确定该标签计划的测试程序,并作为FCC和第三方安全标签管理机构的联络员。最终,经过18个月的筹备和征求意见,美国版的物联网安全标签计划终于落地,将为全球物联网安全领域促成一个“事实标准”。
然而,天有不测风云,FCC突然宣布将对UL Solutions进行调查,重点调查的是该公司与中国的合作关系。作为首席管理员,UL Solutions被联邦征服调查,直接让这一计划处于停滞状态,至今也没有进一步推进的迹象。
看似自愿性和市场化的计划,实则是一场政治干预
UL Solutions作为一家第三方认证公司,对多种技术解决方案进行认证,物联网安全认证也是其中一项重要的业务。UL Solutions此次被选为物联网安全标签计划的首席管理员,背后有其对于物联网测试认证长期的积累。例如,早在2020年,UL Solutions就推出了专为物联网产品设计的安全验证和标签解决方案——物联网安全评级服务,按照青铜、白银、黄金、铂金和钻石五个等级进行产品分类,经过验证的产品将获得相应的UL物联网安全评级验证标签(指明产品达到的安全级别),并由UL进行持续评估。
UL Solutions进入中国四十多年,在国内广泛开展业务,目前在国内设有12个分支机构以及8个大型实验室,以及众多获得UL认可的第三方合作实验室和客户实验室。2016年在东莞松山湖建立的物联网实验室就是国内8个大型实验室之一,其中最重要的一个任务就是对企业生产的智能产品进行多个方面的测试,包括互通性、兼容性、可用性、数据安全性、网络安全性、快速充电、电磁兼容性等,已覆盖智能家居、车载信息娱乐设备、可穿戴设备、机器人、VR等众多领域。
不过,UL Solutions在中国广泛开展业务,成了美国政府对其调查的一个借口。在物联网安全标签计划的方案中就提出,要将“不可信”的实验室剔除出去,其中包括来自中的是实验室。今年以来,特朗普政府的新任FCC主席加强对“不可信”的实验室从计划中剔除力度,6月份对UL Solutions进行调查,其对外措辞是UL Solutions与中国国有企业成立合资公司,以及在中国运营实验室。
在笔者看来,美国FCC的这一行为,进一步将市场行为政治化,对于未来该计划的推进,笔者认为可以从以下角度分析:
第一,物联网安全标签计划或将升级为美国针对全球物联网市场抛出的一个政治武器。当前,美国对该计划的“首席管理员”进行调查,并全面清除与该计划有关的“不可信”实验室,让这一计划“自愿性”和市场化定位沦为一个空头承诺,转而加强对整个体系认证过程的全面控制。未来,若这一计划继续实施,未来销往美国市场的所有物联网产品将面临更加严格的安全要求,虽然物联网产品企业可以自愿加入这一计划,但若没有获得标签认证,预计产品很难进入美国市场。
第二,物联网安全标签计划不会“胎死腹中”,但后续将进一步加强认证体系和与盟友的合作。在笔者看来,物联网安全标签计划最终不会取消。今年6月6日,特朗普签署了一项总统行政令,加强美国国家网络安全并重新确定网络安全工作的优先级,该行政令包括对奥巴马和拜登时代的行政命令相关条款进行修订、指示联邦政府推进安全的软件开发、将人工智能网络安全工作的重点重新放在识别和管理漏洞上等。物联网相关内容也包含在本行政令中,总体来看并未否定拜登政府对物联网所做的工作,而且对于一些方向进一步做了强调,对于物联网安全标签计划也有进一步推进的意向。
物联网安全标签计划目前已成为全球主要经济体的共识,但当这一市场化的行为上升为政治武器时,全球物联网市场面临着新的不确定性,对于中国来说,推出中国版物联网安全标签计划非常必要。同时,国内的物联网企业,尤其是消费物联网厂商面对海外市场,必须加强对物联网安全标签计划的研究,与合格的测试认证机构合作,深入跟踪标签计划实施的细则,提升产品出海的竞争力。
