消費者IoT安全新進展！白宮將推出以能源之星為藍本的網絡安全標簽計劃

CyberScoop報道稱，一位要求匿名的白宮高級官員告訴該媒體，白宮國家安全委員會周二（10月11日）宣布一項消費品網絡安全標簽計劃的計劃，該計劃旨在改善對互聯網連接設備的數字保護。 來自消費品協會、制造公司和技術智囊團的大約50名代表將于10月19日在白宮召開會議專題討論，預計2023年春季推出該計劃。

白宮在周二發布的一份文件中簡要描述了這項工作，該文件概述了各種網絡安全舉措，主要包括十個方面的工作內容，其中第七項就是網絡安全標簽計劃。

1. 改善我們關鍵基礎設施的網絡安全。
2. 確保新的基礎設施是智能和安全的。
3. 加強聯邦政府的網絡安全要求，并通過政府的購買力提高標準。
4. 反擊勒索軟件攻擊，保護美國網民。
5. 與盟友和伙伴合作，打造更安全的網絡空間。
6. 執行國際公認的網絡規范。
7. 開發一個新的標簽，幫助美國人知道他們的設備是安全的。
8. 建設國家網絡隊伍，加強網絡教育。
9. 通過開發抗量子加密技術保護未來——從在線商務到國家機密。
10. 通過國家量子計劃和發布國家安全備忘錄-10(NSM-10)發展我們的技術優勢，促進美國在量子計算領域的領導地位，同時降低脆弱密碼系統的風險。

政府計劃首先推薦三到四個網絡安全標準，制造商可以將這些標準用作標簽的基礎，以傳達與使用所謂的物聯網設備相關的風險。

這位高級政府官員說，負責網絡和新興技術的國家安全副顧問Anne Neuberger是該計劃的帶頭人，該計劃以能源之星為藍本。能源之星是環境保護署和能源部為提高能源效率而開展的一項標簽計劃。

“今天人們購買技術時，他們購買它是為了一個很酷的功能，加快上市速度——網絡安全往往是事后才想到的，”這位官員說，他要求保持匿名，坦率地談論這項工作。“每個人都意識到這是一個時機成熟的想法。”

由于白宮希望帶有網絡安全標簽的產品在全球銷售，因此政府正在與歐盟合作制定標準。

這位官員說，正在考慮的標準可以根據制造商為軟件漏洞部署補丁的頻率或設備是否在沒有口令的情況下連接到互聯網來對產品進行評級。目前尚不清楚誰將核實公司的說法。

白宮希望該計劃能夠獎勵投資于網絡安全的公司，同時幫助消費者找到更安全的產品。這位官員表示，產品快速上市，讓消費者蒙混過關或忽視產品的網絡安全功能的現狀是“不可持續的”。

美國網絡安全日光浴室委員會在其最終報告中建議國會建立一個非營利性的國家網絡安全認證和標簽機構，其任務是“建立和管理信息和通信技術的自愿網絡安全認證和標簽計劃”，包括軟件、設備和工業控制系統。

日光浴室委員會執行董事 Mark Montgomery對白宮推行標簽計劃的決定表示歡迎，但警告說這將很難設計和站起來。

“我希望他們最初堅持使用OT和物聯網產品而不是軟件，因為軟件更新的傾向將使認證管理變得具有挑戰性，”蒙哥馬利說。“聯邦政府應該尋找一個非政府組織來執行這項工作，因為認證需要敏捷性和持久性，而聯邦機構很難滿足所有其他要求。”

長期以來，連接設備中網絡安全保護措施不佳或不存在一直是消費者和行業等問題。白宮的早期計劃包括在產品上創建類似條形碼的標簽，消費者可以用手機掃描以獲取更新的安全細節。盡管對于政府將如何開展這項工作仍有許多疑問，但這位官員表示，白宮決心向前邁進，并研究了在新加坡和芬蘭實施的類似計劃。

這位官員說，將使用美國國家標準與技術研究院的標準，并且需要為特定產品量身定制。然而，NIST目前沒有針對物聯網設備的技術控制標準，至少一位網絡安全專家表示，這一事實將使白宮的工作復雜化，因為設計它們將非常耗時。（NIST發布了物聯網網絡安全指南。）

“今天人們購買技術時，他們購買它是為了一個很酷的功能，加快上市速度——網絡安全通常是事后才考慮的。每個人都意識到這是一個時機成熟的想法。”

白宮官員淡化了這個問題，并表示一旦該計劃啟動，官員們就可以完善它。

“我們正在努力做的是與NIST合作，以在安全性和沒有50個標準之間取得適當的平衡，”這位官員說。“讓我們啟動這個程序，并設定一個適用于許多設備的關鍵標準……我認為完美將成為這方面的敵人。”

這位政府官員說，白宮希望在下周三(10月19日)的會議結束后，關鍵公司承諾參與該計劃。這位官員說，通過提早引入行業，白宮希望“與正在建立的標準同時”提高產品安全標準。

該計劃的一些批評者稱其為誤導，部分原因是美國并未制造美國消費者購買的大部分聯網產品。此外，其他人表示，美國可以采取的類似政策努力正在英國、歐盟和新加坡進行。

“NIST在物聯網方面做得很好，”大西洋理事會網絡治國倡議主任Trey Her 說。“如果政策制定者所能想象的只是將其轉變為另一種自上而下的監管計劃，那將是一種恥辱。”

Herr的團隊最近發布了一份關于物聯網網絡安全的報告，他說他不理解政府對數字世界中面向消費者的標簽的關注。 

“標簽是數據的門戶——驗證透明和可審計的安全行為的方法，”他說。“這不是在商店的盒子上看到一些金星；這是關于安全研究人員、投資者和其他公司使用這些數據來追究供應商的責任。現在的政策贏家是交易對手，而不僅僅是消費者。”

其他專家則更加謹慎。

非營利性研究組織Cyber Independent Testing Lab的首席科學家Sarah Zatko表示，消費者和網絡安全保險提供商迫切需要提高軟件安全的透明度，因為它們目前缺乏有效評估物聯網領域風險的數據。扎特科說，她理解白宮為何專注于紙質標簽——盡管它們“古怪”——因為消費者已經習慣了這種格式，而且紙質標簽可以很容易地與在線存儲的更多動態數據相關聯。

“紙質標簽包含可比較的信息，而不僅僅是一顆金星，這一點至關重要，”Zatko 說，他的組織專注于為消費者創建安全的軟件環境。 

她說，通過/失敗標準只激勵公司不惜一切代價達到通過的最低要求，這將是一個錯誤。

“消費者無法區分'勉強通過'和'通過出色的表現'，”Zatko說。“我喜歡能源之星這樣的標簽的部分原因是它以易于閱讀的方式展示了我可以比較的實際數據，這鼓勵了供應商之間的良性競爭。”  

參考資源：

1.https://www.cyberscoop.com/white-house-to-unveil-internet-of-things-labeling/

2.https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/11/fact-sheet-biden-harris-administration-delivers-on-strengthening-americas-cybersecurity/

3.https://www.nist.gov/itl/applied-cybersecurity/nist-cybersecurity-iot-program/consumer-iot-cybersecurity