为什么美国和欧盟应该抓住时机 ， 在物联网设备的网络安全标签上进行合作

为什么美国和欧盟应该抓住时机，在物联网设备的网络安全标签上进行合作 NIGELCORY|2024年3月28日 美国和欧盟应通过贸易和技术委员会努力调整各自的物联网网络安全标签计划，而不是让物联网安全成为贸易和技术合作的另一个技术壁垒。 KEYTKEAWAYS 包括物联网（IoT）在内的连接产品范围不断扩大—从智能扬声器到气候控制系统—容易受到越来越多的网络犯罪分子利用的相对常见的安全漏洞。 许多消费者对其设备的安全性并不了解，也没有一种清晰简便的方法来找到值得信赖的安全信息。标准化的标签系统-带有QR码以访问更多信息-将有助于满足这一需求。 美国和欧盟（EU）都在制定物联网设备的网络安全标签计划。但是不同或相互冲突的要求将为跨大西洋合作和贸易创造另一个技术壁垒。 跨大西洋合作，通过共同的技术标准，测试机构和相互承认协议，将是有价值的，因为它将为物联网网络安全提供一个共同的基准，并允许公司只测试一次，以便在两个市场销售。 美国和欧盟应该抓住机会，解决各自物联网标签计划中的主要差距和差异，特别是在技术标准和合格评定方面，而这两个计划仍处于形成阶段。 欧盟和美国在物联网网络安全标签上的合作似乎是一个深奥的技术问题，但成功导航它将提供一个路线图，以调整其他新兴技术问题的法规。 itif.org CONTENTS Introduction2 欧盟与美国在物联网网络安全标签上保持一致的障碍3 跨大西洋合作模式5 新加坡的经验教训：积极和陷阱5 《电信相互承认协议》7 跨大西洋合作必须涵盖技术标准、符合性评估和相互承认协议8 Recommendations11 结论12 尾注13 INTRODUCTION 美国和欧盟应该调整各自的方法，以物联网产品的网络安全标签-美国S.网络信任标志和欧盟的网络弹性法案（CRA）-通过技术标准和潜在的相互承认协议（MRA）。1这正是美国和欧盟在贸易和技术理事会（TTC）下开始的早期和积极的监管接触类型。一致的欧盟-美国S.该方法将允许公司只测试一次，以符合这两个系统。物联网网络安全标签方面的合作将避免在跨大西洋贸易和技术关系中产生另一个冲突的监管点。然而，为了实现这一目标，美国和欧盟需要解决各自计划中的主要差距和差异，特别是在技术标准和合格评定方面。关于物联网网络安全标签的合作似乎是一个深奥的技术问题，但如果成功导航，它将为未来的欧盟提供路线图。S.努力调整其他新兴技术问题的法规，因为核心组件（在技术标准和合格评定方面）将是相似的。 美国和欧盟需要超越说“是的，我们应该共同努力”的公共关系价值，并专注于在新技术和新兴技术问题上实际合作的方式。在TTC工作了两年多之后，许多议程中都缺少切实的行动。 物联网网络安全合作是纠正这种情况的一种方法。还有一个机会之窗，因为美国S.欧盟物联网网络安全标签计划正处于形成阶段。拜登政府应该在这一倡议中睁大眼睛，看看MRA在实践中做了什么，为什么它们在历史上很难谈判，以及为什么欧盟使用它们。它还应认识到，MRA需要大量的政治和机构支持以及资源才能有效。欧盟委员会最近对MRA的推动可能只是为了取代美国同行，他们可能不熟悉谈判和实施MRA所涉及的挑战。希望情况并非如此，而是欧盟委员会重新计算以与过去不同的方式使用MRA的一部分。 本报告研究了美国和欧盟物联网网络安全标签计划;新加坡的计划和电信设备的MRA如何成为潜在的参考点 合作以及这些应该如何影响潜在的欧盟-U。S.物联网网络安全标签方面的合作;技术要求和标准在双方各自计划中的作用;以及MRA在实践中做了什么，为什么它们很难谈判，以及为什么欧盟使用它们。最后，它提供了详细的建议，详细说明了美国和欧盟（单独和集体）需要解决的主要挑战，以在物联网网络安全标签上进行合作。 报告的建议摘要包括以下内容： ▪拜登政府应指示美国国家标准与技术研究所（NIST）优先考虑物联网网络安全标签，包括通过国际合作。它应该敦促联邦通信委员会（FCC）作为一个独立机构也这样做。 ▪拜登政府应指示NIST和FCC计划最终使用国际标准，以确保美国网络信任标记系统与欧盟的计划兼容。商务部的物联网公私顾问委员会将在制定和使用国际标准方面发挥重要作用。 ▪拜登政府和欧盟将需要就MRA进行谈判，以确保产品在美国获得认证S.的自愿和二进制物联网网络安全标签系统在欧盟被接受（反之亦然）。这类似于新加坡与德国和芬兰谈判MRA，以便在其自愿但分层的物联网网络安全标签系统下获得认证的产品在这两个国家都被接受。 ▪美国和欧盟应协调测试公司将需要完成（在需要时），以证明其符合各自的物联网网络安全标签计划。 ▪美国和欧盟应使用物联网网络安全标签作为其他新兴技术问题合作的路线图。 欧盟-美国的屏障物联网网络安全标签上的对齐 美国，欧盟和其他国家正在制定物联网网络安全标签计划，以帮助消费者对连接产品的扩散做出更好的决策（ 例如。Procedre，智能扬声器和门铃，婴儿监视器，打印机，智能冰箱，微波炉，电视，气候控制系统，健身追踪器和其他连接设备），并提高这些产品的网络安全。物联网产品容易受到各种相对常见的安全漏洞的影响 ，这些漏洞越来越多地被侵犯人们隐私并威胁国家安全的网络犯罪分子利用。例如，来自不安全物联网设备的分布式拒绝服务(DDoS)攻击从2022年增加了五倍，到2023.2一些物联网产品甚至在其中附带了恶意软件。 正如FCC指出的那样，消费者担心其物联网产品的安全性，但他们通常在购买之前无法访问有关这些产品的安全风险的方便信息。消费者报告研究发现，超过一半的受访消费者不了解物联网设备收集的数据的安全性，以及制造商提供的数据如何使用和存储、产品接收安全更新的时间以及制造商的安全实践有多好的价值信息。 没有一致的方法来找到这些信息，也不确定所提供的信息是否值得信任。5标签旨在通过向消费者展示他们的产品符合物联网标签计划的网络安全标准来帮助解决这一问题，这反过来又加强了联网产品在他们自己家中的链，并作为更大的国家物联网生态系统的一部分。 标签还支持改进的执法。监管机构可以要求他们在安全和隐私政策中详细说明合理的安全标准，而不是遵守模糊的合理安全标准，而是要求他们按照标签的技术要求行事。例如，FCC表示，它“将采取一切可用手段起诉不当或欺诈性使用FCCIoT标签的实体，其中可能包括但不限于执法行动，通过美国起诉的欺骗性做法的法律主张S.联邦贸易委员会。“6. 2023年7月，拜登政府首次宣布S.CyberTrstMar是一项自愿的网络安全认证计划，旨在更好地告知消费者产品已满足基线网络安全要求（见图1）。7在2024年3月19日，FCC投票决定（正式）创建美国S.网络信托Mar.8它将于2024年底开始。TheU.S.网络信任标记是一个二进制系统/标签。—产品将有资格携带标签或不合格（因此无法携带标签）。它将伴随一个可扫描代码（例如QR码），指导消费者获得特定物联网产品的更详细信息。 图1：美国网络信任标记示例9 FCC管理该计划，而NIST为该计划开发了基线标准和试点项目，其中包括产品配置，数据保护，接口访问控制 ，在许多技术问题中，软件更新和网络安全状态意识。10FCC最近关于物联网网络安全标签的报告和规则概述了他们用于电信设备授权的相同基本架构：产品的特定要求。 测试方法和认证将由美国网络信任标记的网络安全标签管理员（CLA）提出，并通过“首席管理员”提供给 FCC批准。11CLA都可能与私营部门实体竞争的事实是MRA结构的许多挑战之一。 目标是能够在消费物联网设备（如无人机）以外的不同技术中使用相同的标签。2024年1月11日，AeNeberger（拜登政府负责网络和新兴技术的副国家安全顾问）宣布了追求美国S.-欧盟关于物联网网络安全的MRA标签。12与其他跨大西洋问题相比，美国颁布了一系列有关物联网网络安全政策的法律，法规和政策，包括关于“僵尸网络报告和路线图”的第13800号行政命令，《2020年物联网网络安全法案》（为联邦物联网采购设定了最低标准），关于改善国家网络安全的第14028号行政命令，以及美国国家网络安全战略13。 2024年，预计欧盟议会将最终确定CRA，该CRA引入了整个欧盟硬件和软件产品的设计，开发和生产的网络安全要求。它将在未来几年内生效。最终涵盖的产品列表尚未最终确定，但可能包括涵盖软件和连接设备的项目，如智能家居设备、连接玩具和可穿戴设备。符合CRA的产品制造商将贴上CE标志（证明产品符合欧盟健康、安全和环境要求的标签）。 跨大西洋合作模型 新加坡的经验教训：积极和陷阱 新加坡是拜登政府官员在提议美国S.欧盟在物联网网络安全标签方面的合作，因为新加坡已与贸易伙伴（例如 与芬兰和德国）就MRA进行谈判，以建立对自己的网络安全标签计划（CLS）的认可。15虽然CLS是大多数产品自愿使用的，但在新加坡销售的新互联网路由器必须满足其1级标签的安全要求，需要第三方在某些情况下进行测试。 图2：新加坡的四层物联网网络安全标签计划18 但新加坡的做法对美国来说是具有挑战性的。CLS是一个分层系统，而美国S.网络信任标记是二进制的（见图3 ）。例如，CLS四级适用于通过结构化渗透测试并满足所有其他级别要求的产品。它们各自的MRA意味着新加坡，芬兰和德国的系统认可特定级别的认证产品。基本上，新加坡的MRA专注于他们。 各自计划的总体结果，因为它们在使其自愿系统的特定层满足另一个国家计划的二元要求方面基本上连接了类似的结果。目前尚不清楚这将如何与二元和自愿系统一起工作，例如在美国。 新加坡可以更轻松地追求MRA，因为CLS使用了第一个全球且最广泛适用的消费者物联网标准（由欧洲电信标准协会（ETSI）开发的EN303645）。19使用相同的标准在查看另一个国家的技术要求时提供了苹果对苹果的比较。 美国网络信托标记使用自己的基准技术要求，虽然它确实参考了这一标准和其他标准，但目前还不清楚美国计划是否会发展并直接使用这一或新的国际标准。 图3：新加坡的网络安全标签计划20 ETSI是三个正式认可的欧盟标准机构之一，这意味着使用其标准（称为“协调欧洲标准”）的公司符合相关的欧盟法律（它们被赋予了所谓的符合性推定）。使用任何 标准ETSI最终确定或发展为CRA将被自动视为符合它。ETSI可能是基于欧盟的，但其成员包括许多 ETSI303645很可能会成为欧盟CRA的基础，因为它已经构成了英国产品安全法律制度和芬兰、德国、印度 、越南和澳大利亚其他一些监管制度的基础。 图4：物联网网络安全计划与第一个全球适用的消费者物联网技术标准（ETSI标准EN303645）保持一致的国家 《电信相互承认协议》 美国和欧盟需要MRA来识别测试安排，以便在大西洋一侧进行的测试在另一侧被接受。美国就电信设备进行谈 判的MRA是拜登政府提出EU-U的另一个关键参考点。S.物联网网络安全标签方面的合作。21总的来说，美国S.政府反对谈判MRA。此外，FCC的重点是监管美国S.网络，而不是推动新的国际协议。这将需要所有相关的US.政府机构(e.Procedre，国务院，商务部，NIST等）发展物联网网络安全标签方面的国际合作，包括通过MRA。 2000年制定的EU-U.S.电信设备上的MRA已经成功。电信MRA的目标与物联网产品的普及大致相同-有许多手机型号进入市场，并且FCC对每个型号进行认证是不可行的（或有效的），因此他们与主要合作伙伴建立了实验室测试，第三方认证和MRA，以简化相同标准的流程。电信MRA是向FCC和其他人展示如何确保MRA有效的形成经验。但这并不容易，因为它需要持续的机构领导、技术专长和专用资源。例如，有三名全职NIST工作人员在美国工作S.电信MRA，以确保经认可的评估机构符合标准，向机构更新新信息，并与同行进行互动，以及其他活动。 跨大西洋合作必须涵盖技术标准、一致性评估和相互认可协议 关于物联网网络安全标签的美国-欧盟