itif. org为什么美国和欧盟应该抓住时机 ， 在物联网设备的网络安全标签上进行合作NIGEL CORY|2024 年 3 月 28 日美国和欧盟应通过贸易和技术委员会努力调整各自的物联网网络安全标签计划 ， 而不是让物联网安全成为贸易和技术合作的另一个技术壁垒。KEY TKEAWAYS 包括物联网 （ IoT ） 在内的连接产品范围不断扩大—从智能扬声器到气候控制系统—容易受到越来越多的网络犯罪分子利用的相对常见的安全漏洞。 许多消费者对其设备的安全性并不了解 ， 也没有一种清晰简便的方法来找到值得信赖的安全信息。标准化的标签系统 - 带有 QR 码以访问更多信息 - 将有助于满足这一需求。 美国和欧盟 （ EU ） 都在制定物联网设备的网络安全标签计划。但是不同或相互冲突的要求将为跨大西洋合作和贸易创造另一个技术壁垒。 跨大西洋合作 ， 通过共同的技术标准 ， 测试机构和相互承认协议 ， 将是有价值的 ， 因为它将为物联网网络安全提供一个共同的基准 ， 并允许公司只测试一次 ， 以便在两个市场销售。 美国和欧盟应该抓住机会 ， 解决各自物联网标签计划中的主要差距和差异 ， 特别是在技术标准和合格评定方面 ， 而这两个计划仍处于形成阶段。 欧盟和美国在物联网网络安全标签上的合作似乎是一个深奥的技术问题 ， 但成功导航它将提供一个路线图 ， 以调整其他新兴技术问题的法规。 信息技术与创新基金会 | 2024 年 3 月PAGE 页2CONTENTSIntroduction 2欧盟与美国在物联网网络安全标签上保持一致的障碍 3跨大西洋合作模式 5新加坡的经验教训 ： 积极和陷阱............................................................................................................5《电信相互承认协议》 7跨大西洋合作必须涵盖技术标准、符合性评估和相互承认协议 8Recommendations.............................................................................................................................11结论 12尾注 13INTRODUCTION美国和欧盟应该调整各自的方法，以物联网产品的网络安全标签 - 美国S.网络信任标志和欧盟的网络弹性法案 （ CRA ） - 通过技术标准和潜在的相互承认协议 （ MRA ） 。 1 这正是美国和欧盟在贸易和技术理事会 （ TTC ） 下开始的早期和积极的监管接触类型。一致的欧盟 - 美国S.该方法将允许公司只测试一次，以符合这两个系统。物联网网络安全标签方面的合作将避免在跨大西洋贸易和技术关系中产生另一个冲突的监管点。然而，为了实现这一目标，美国和欧盟需要解决各自计划中的主要差距和差异，特别是在技术标准和合格评定方面。关于物联网网络安全标签的合作似乎是一个深奥的技术问题，但如果成功导航，它将为未来的欧盟提供路线图。S.努力调整其他新兴技术问题的法规，因为核心组件 （ 在技术标准和合格评定方面 ） 将是相似的。美国和欧盟需要超越说 “是的 ， 我们应该共同努力 ” 的公共关系价值 ， 并专注于在新技术和新兴技术问题上实际合作的方式。在 TTC 工作了两年多之后 ， 许多议程中都缺少切实的行动。物联网网络安全合作是纠正这种情况的一种方法。还有一个机会之窗，因为美国S.欧盟物联网网络安全标签计划正处于形成阶段。拜登政府应该在这一倡议中睁大眼睛，看看 MRA 在实践中做了什么，为什么它们在历史上很难谈判，以及为什么欧盟使用它们。它还应认识到，MRA 需要大量的政治和机构支持以及资源才能有效。欧盟委员会最近对 MRA 的推动可能只是为了取代美国同行，他们可能不熟悉谈判和实施 MRA 所涉及的挑战。希望情况并非如此，而是欧盟委员会重新计算以与过去不同的方式使用 MRA 的一部分。本报告研究了美国和欧盟物联网网络安全标签计划; 新加坡的计划和电信设备的 MRA 如何成为潜在的参考点 信息技术与创新基金会 | 2024 年 3 月PAGE 页3合作以及这些应该如何影响潜在的欧盟 - U 。S.物联网网络安全标签方面的合作; 技术要求和标准在双方各自计划中的作用; 以及 MRA 在实践中做了什么，为什么它们很难谈判，以及为什么欧盟使用它们。最后，它提供了详细的建议，详细说明了美国和欧盟 （ 单独和集体 ） 需要解决的主要挑战，以在物联网网络安全标签上进行合作。报告的建议摘要包括以下内容 ：▪ 拜登政府应指示美国国家标准与技术研究所 （ NIST ） 优先考虑物联网网络安全标签 ， 包括通过国际合作。它应该敦促联邦通信委员会 （ FCC ） 作为一个独立机构也这样做。▪ 拜登政府应指示 NIST 和 FCC 计划最终使用国际标准 ， 以确保美国网络信任标记系统与欧盟的计划兼容。商务部的物联网公私顾问委员会将在制定和使用国际标准方面发挥重要作用。▪ 拜登政府和欧盟将需要就 MRA 进行谈判，以确保产品在美国获得认证S.的自愿和二进制物联网网络安全标签系统在欧盟被接受 （ 反之亦然 ） 。这类似于新加坡与德国和芬兰谈判 MRA，以便在其自愿但分层的物联网网络安全标签系统下获得认证的产品在这两个国家都被接受。▪ 美国和欧盟应协调测试公司将需要完成 （ 在需要时 ） ， 以证明其符合各自的物联网网络安全标签计划。▪ 美国和欧盟应使用物联网网络安全标签作为其他新兴技术问题合作的路线图。欧盟 - 美国的屏障物联网网络安全标签上的对齐美国，欧盟和其他国家正在制定物联网网络安全标签计划，以帮助消费者对连接产品的扩散做出更好的决策 （ 例如。Procedre， 智能扬声器和门铃，婴儿监视器，打印机，智能冰箱，微波炉，电视，气候控制系统，健身追踪器和其他连接设备 ），并提高这些产品的网络安全。物联网产品容易受到各种相对常见的安全漏洞的影响，这些漏洞越来越多地被侵犯人们隐私并威胁国家安全的网络犯罪分子利用。例如，来自不安全物联网设备的分布式拒绝服务 (DDoS) 攻击从 2022 年增加了五倍，到 2023.2 一些物联网产品甚至在其中附带了恶意软件。正如 FCC 指出的那样 ， 消费者担心其物联网产品的安全性 ， 但他们通常在购买之前无法访问有关这些产品的安全风险的方便信息。消费者报告研究发现 ， 超过一半的受访消费者不了解物联网设备收集的数据的安全性 ， 以及制造商提供的数据如何使用和存储、产品接收安全更新的时间以及制造商的安全实践有多好的价值信息。 信息技术与创新基金会 | 2024 年 3 月PAGE 页4没有一致的方法来找到这些信息 ， 也不确定所提供的信息是否值得信任。 5 标签旨在通过向消费者展示他们的产品符合物联网标签计划的网络安全标准来帮助解决这一问题 ， 这反过来又加强了联网产品在他们自己家中的链 ， 并作为更大的国家物联网生态系统的一部分。标签还支持改进的执法。监管机构可以要求他们在安全和隐私政策中详细说明合理的安全标准，而不是遵守模糊的合理安全标准，而是要求他们按照标签的技术要求行事。例如，FCC 表示，它 “将采取一切可用手段起诉不当或欺诈性使用 FCC IoT 标签的实体，其中可能包括但不限于执法行动，通过美国起诉的欺骗性做法的法律主张S.联邦贸易委员会。“6.2023 年 7 月，拜登政府首次宣布S.Cyber Trst Mar 是一项自愿的网络安全认证计划，旨在更好地告知消费者产品已满足基线网络安全要求 （ 见图 1 ） 。 7 在 2024 年 3 月 19 日，FCC 投票决定 （ 正式 ） 创建美国S.网络信托 Mar.8 它将于 2024 年底开始。The U.S.网络信任标记是一个二进制系统 / 标签。—产品将有资格携带标签或不合格 （ 因此无法携带标签 ） 。它将伴随一个可扫描代码 （ 例如 QR 码 ） ， 指导消费者获得特定物联网产品的更详细信息。图 1 ： 美国网络信任标记示例9FCC 管理该计划，而 NIST 为该计划开发了基线标准和试点项目，其中包括产品配置，数据保护，接口访问控制 ，在许多技术问题中，软件更新和网络安全状态意识。 10 FCC 最近关于物联网网络安全标签的报告和规则概述了他们用于电信设备授权的相同基本架构 ： 产品的特定要求。 信息技术与创新基金会 | 2024 年 3 月PAGE 页5测试方法和认证将由美国网络信任标记的网络安全标签管理员 （ CLA ） 提出 ， 并通过 “首席管理员 ” 提供给 FCC 批准。 11 CLA 都可能与私营部门实体竞争的事实是 MRA 结构的许多挑战之一。目标是能够在消费物联网设备 （ 如无人机 ） 以外的不同技术中使用相同的标签。2024 年 1 月 11 日，Ae Neberger （ 拜登政府负责网络和新兴技术的副国家安全顾问 ） 宣布了追求美国S.- 欧盟关于物联网网络安全的 MRA 标签。 12 与其他跨大西洋问题相比，美国颁布了一系列有关物联网网络安全政策的法律，法规和政策 ，包括关于 “僵尸网络报告和路线图 ” 的第 13800 号行政命令，《 2020 年物联网网络安全法案》 （ 为联邦物联网采购设定了最低标准 ），关于改善国家网络安全的第 14028 号行政命令，以及美国国家网络安全战略 13 。2024 年，预计欧盟议会将最终确定 CRA，该 CRA 引入了整个欧盟硬件和软件产品的设计，开发和生产的网络安全要求。它将在未来几年内生效。最终涵盖的产品列表尚未最终确定，但可能包括涵盖软件和连接设备的项目，如智能家居设备、连接玩具和可穿戴设备。符合 CRA 的产品制造商将贴上 CE 标志 （ 证明产品符合欧盟健康、安全和环境要求的标签 ） 。跨大西洋合作模型新加坡的经验教训 ： 积极和陷阱新加坡是拜登政府官员在提议美国S.欧盟在物联网网络安全标签方面的合作，因为新加坡已与贸易伙伴 （ 例如与芬兰和德国 ） 就 MRA 进行谈判，以建立对自己的网络安全标签计划 （ CLS ） 的认可。15 虽然 CLS 是大多数产品自愿使用的，但在新加坡销售的新互联网路由器必须满足其 1 级标签的安全要求，需要第三方在某些情况下进行测试。图 2 ： 新加坡的四层物联网网络安全标签计划18但新加坡的做法对美国来说是具有挑战性的。CLS 是一个分层系统，而美国S.网络信任标记是二进制的 （ 见图 3 ） 。例如，CLS 四级适用于通过结构化渗透测试并满足所有其他级别要求的产品。它们各自的 MRA 意味着新加坡，芬兰和德国的系统认可特定级别的认证产品。基本上，新加坡的 MRA 专注于他们。 信息技术与创新基金会 | 2024 年 3 月PAGE 页6各自计划的总体结果 ， 因为它们在使其自愿系统的特定层满足另一个国家计划的二元要求方面基本上连接了类似的结果。目前尚不清楚这将如何与二元和自愿系统一起工作 ， 例如在美国。新加坡可以更轻松地追求 MRA ， 因为 CLS 使用了第一个全球且最广泛适用的消费者物联网标准 （ 由欧洲电信标准协会 （ ETSI ） 开发的 EN 303 645 ） 。 19 使用相同的标准在查看另一个国家的技术要求时提供了苹果对苹果的比较。美国网络信托标记使用自己的基准技术要求 ， 虽然它确实参考了这一标准和其他标准 ， 但目前还不清楚美国计划是否会发展并直接使用这一或新的国际标准。图 3 ： 新加坡的网络安全标签计划20ETSI 是三个正式认可的欧盟标准机构之一 ， 这意味着使用其标准 （ 称为 “协调欧洲标准 ” ） 的公司符合相关的欧盟法律 （ 它们被赋予了所谓的符合性推定 ） 。使用任何标准 ETSI 最终确定或发展为 CRA 将被自动视为符合它。 ETSI 可能是基于欧盟的 ， 但其成员包括许多ETSI 303 645