4 月 29 日,英国消费者互联产品安全制度正式开始生效,英国由此成为首个禁止在物联网设备上使用默认弱密码的国家。
图源:英国政府官网
该法案诞生的起源最早可以追溯到 2016 年 10 月 21 日发生的恶性网络攻击事件。
当时,黑客们使用了一种被称作“物联网破坏者”的 Mirai 病毒,该病毒每扫描到一个物联网设备(比如网络摄像头、智能开关等)后,就会尝试使用默认密码进行登陆(一般为 admin/admin,Mirai 病毒自带 60 个通用密码),一旦登陆成功,这台物联网设备就进入“肉鸡”名单,开始被黑客操控攻击其他网络设备。黑客们借此控制了美国大量的网络摄像头和相关的 DVR 录像机,然后操纵这些“肉鸡”攻击了美国的多个知名网站,包括 Twitter、Paypal、Spotify 在内等多个人们每天都用的网站被迫中断服务,几乎让美国大半个互联网陷入瘫痪状态。
Mirai 病毒由三名 20 岁左右的美国公民开发,虽然他们很快被逮捕并处罚,但该病毒却引发了产业的广泛担忧——如果物联网设备制造商的安全策略过于草率,那么有可能造成广泛的、出乎意料的影响。
英国最新法案的落地,正是对这类安全漏洞的有力回应。它要求物联网设备制造商在生产过程中就加强安全防护措施,从源头上杜绝弱密码等安全隐患。具体而言,物联网设备将不得使用“admin”或者“12345”等默认密码,而且制造商还需要发布联系方式,以便用户可以报告错误。
不符合规定的产品可能面临被召回,相关公司则面临最高 1000 万英镑或其全球收入 4% 的罚款,以较高者为准。
从 2024 年 4 月 29 日起,英国消费者互联产品安全制度正式生效。从该日期起,该法律将要求英国消费者互联产品(或“智能”产品)的制造商遵守该法案中规定的相关义务,其中包括确保他们及其产品满足相关的最低安全要求。
该制度由两项立法组成:
《2022 年产品安全和电信基础设施 ( PSTI ) 法案》第 1 部分;和
《2023 年产品安全和电信基础设施(相关互联产品的安全要求)法规》。
图源:英国政府官网
PSTI 法案于 2022 年 12 月获得批准。政府于 2023 年 4 月发布了 PSTI(相关互联产品的安全要求)法规的完整草案。这些法规于 2023 年 9 月 14 日签署成为法律。
谁受到新法规约束?
简单来说,相关互联产品的制造商、进口商和分销商将受到新法规约束。所以该法规会对中国物联网设备制造商的出海产生一定影响。
哪些产品受到管控?
PSTI 管控产品范围包括互联网连接的产品,例如网络摄像头、智能门锁、报警系统、智能家居助手、智能手机、智能家电、可穿戴设备等;也适用于不能直接连接到互联网但能同时连接到多个其他设备的产品,如智能照明器具、智能控制器、物联网基站等。
不在 PSTI 管控范围的产品包括计算机(a) 台式电脑;(b) 笔记本电脑;(c) 不具备连接蜂窝网络能力的平板电脑(根据制造商的预期用途,专为14岁以下儿童设计的,不属于例外产品)、医疗产品、智能电表产品、电动汽车充电器,及蓝牙一对一连接产品。
值得注意的是,这些产品也可能有网络安全要求,但不在PSTI法案管控范围,而是可能由其它法案管控。
法规关键要求
①通用默认密码要求:法规禁止通用默认密码,并对密码强度有相关要求。这意味着,用户在首次使用时需要提供唯一的密码,或需要更改密码。
②安全漏洞报告与处理:制造商必须提供有关如何向他们报告其产品安全漏洞的信息。制造商还必须提供有关时间范围的信息,在该时间范围内确认收到报告和状态更新,直到报告编写者可以预期所报告的安全问题得到解决。
③最短的安全更新周期信息:制造商需要有明确且透明的方式对用户公布最短的安全更新周期,即明确说明制造商将持续提供多长时间的更新。这些信息应以英文免费提供,无需事先请求,并且以不具备任何技术知识的读者也能理解的方式提供。
同时,法案范围内产品必须随附合规声明,其中必须包括以下信息:
产品(类型和批次)
每个制造商的名称和地址,以及(如适用)其授权代表
声明由产品制造商或其代表编写
符合相关安全要求(《PSTI条例》附表1)或符合视为符合的条件(附表2)的声明
制造商首次供应产品时正确的产品规定支持期
合规声明的签名、签名人姓名和职务以及签发地点和日期
法规如何执行?
据悉,产品安全和标准办公室 (OPSS) 将根据与 DSIT 签署的谅解备忘录,自 2024 年 4 月 29 日起负责执行 2022 年PSTI 法案和 2023 年法规。
OPSS 隶属于商业贸易部,已经执行英国现有的产品安全法规 OPSS 将利用现有流程和关系,以稳健和基于风险的方式执行英国产品安全制度,并对不遵守义务的企业采取适当和相称的行动。
据研究机构预测,到 2030 年物联网设备数量将超过 294.2 亿,按照联合国预测 2030 年全球人口 85 亿计算的话,届时平均每个人就对应 3 台物联网设备。
随着联网设备的激增,IoT 设备终端受到网络攻击的次数也越来越多,消费者对网络安全和隐私保护意识在逐渐增强,品牌商的网络安全和数据保护已提升到了战略地位。网络安全法规强制性化渐成趋势,各个国家纷纷出台了网络安全法规,例如中国、欧盟、英国、新加坡、巴西、日本以及美国都已经提上了日程,以增强市场物联网产品规范化管理。
早在 2020 年,新加坡网络安全局 (CSA) 表示,新加坡已加入制定网络安全标签计划的国家行列,这在亚太地区尚属首次。该计划允许用户在购买产品之前轻松评估产品的安全性,识别具有更好网络安全措施的产品,并做出明智的决定。随后的几年间,新加坡陆续推动了和多个国家、地区、联盟的网络安全标签互认证。
今年 3 月,美国联邦通讯委员会 (FCC) 公开投票正式通过了物联网安全标签计划 (Cybersecurity Labeling Program),在该计划下,符合相关条件的消费物联网产品将被赋予网络安全标识标签 (Cyber Trust Mark),方便消费者根据产品安全信息做出购买决策,同时安全可信产品在市场上具有差异化优势,激励物联网产品制造商推出符合更高安全标准的产品。
随后不久的 4 月,日本经济产业省发布了《物联网安全合格评估计划草案》征求意见稿,可以看作是日本版物联网安全标签计划,对标美国、新加坡等国家和地区的物联网安全标签计划。
同样是在 4 月,欧盟投票通过了《网络安全弹性法案(CRA)》,这是一项旨在全面提升欧盟境内数字产品安全防护水平的重大举措。该法案的覆盖范围广泛,不仅关注产品的设计和生产过程,还延伸到产品的销售、使用以及报废处理等环节。这意味着,在欧盟市场上销售的每一款数字产品,都必须经过严格的审查,确保其符合法案规定的网络安全标准。以漏洞报告为例:制造商必须在24小时内向其指定的欧盟成员国计算机安全事故响应小组 (CISRT) 报告任何被恶意行为者利用的产品漏洞。然后,制造商必须在72小时内提交一份总体跟进报告,并在缓解措施出台后 14 天内提交一份详细报告。
再看我国, 2021 年,工信部印发物联网基础安全标准体系建设指南的通知,提出到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。到2025年,推动形成较为完善的物联网基础安全标准体系,研制行业标准30项以上,提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者安全使用。
近期,Asimily 发布了一份题为《2024 年物联网设备安全:无所作为的高昂成本》的新报告,报告有一些核心洞察值得关注:
从受攻击的设备来看,路由器是最具针对性的物联网设备,占所有物联网感染的 75%。黑客利用路由器作为访问网络内其他连接设备的垫脚石。安全摄像头和 IP 摄像头是第二大目标设备,占所有攻击的 15%。其他常见的目标设备包括数字标牌、媒体播放器、数字录像机、打印机和智能照明。该报告还强调了与专业设备相关的特别严重的风险,包括对医疗保健中的患者护理至关重要的设备(包括血糖监测仪和起搏器)、制造业的实时监测设备以及市政当局的水质传感器。
从受攻击的行业来看,犯罪分子越来越将注意力集中在制造业、金融和能源行业,零售、教育、医疗保健和政府组织仍然是热门目标,而媒体和交通在过去几年中已不再受到重视。
同时,网络保险公司正在限制赔付金额。随着网络攻击变得越来越普遍,网络安全保险变得越来越昂贵且难以获得。现在,越来越多的保险公司要求企业具备强大的物联网安全和风险管理能力,以获得承保资格,并且越来越多地拒绝或限制那些不符合特定阈值的企业的承保范围。在网络保险公司拒绝承保的原因中,缺乏安全协议是最常见的,占 43%。不遵守合规程序占承保拒绝的 33%。
显然,安全风险为物联网设备制造商带来了新的挑战,而各个国家新法案的实施都意味着制造商需要承担更多的责任和义务。他们需要确保所生产的物联网产品具备足够的安全性,包括防止未经授权的访问、保护数据的完整性和有效性等方面。同时,他们还需要建立相应的流程和文件,以证明其产品符合法案的要求。
从各个国家的法律来看,违反方案会遭遇严厉的处罚,除了巨额的赔偿金外,企业的声誉损失可能更加难以挽回——这将对那些忽视网络安全问题、企图通过降低成本来获取市场竞争力的制造商形成有力的震慑。
对中国这样的物联网产品生产和出口大国而言,相关制造商需要积极应对。一方面,制造商要确保设计的产品符合标准要求后再投入生产从而进入市场,相关厂家应该在产品开发过程中尽早了解相关法律法规,以便更好地规划产品设计、生产和出海,确保产品符合安全标准。另一方面,制造商也要持续加大技术研发和创新投入,提升产品的安全水平,形成差异化竞争优势,从而在全球市场中争得更多的份额。